飞星划破夜空：StarFly注入器深度解析与EDR突防实战

EDR Evading Red Team Techniques

发布日期: 2025-04-05

更新日期: 2025-04-05

文章字数: 1.1k

阅读时长: 4 分

飞星StarFly：为用户态隐匿对抗而生的利刃

在现代网络攻防的激烈战场上端点检测与响应（EDR）系统如同密不透风的城墙时刻警惕着任何恶意行为而 飞星StarFly注入器 则是为穿透EDR防御而生

揭秘核心：StarFly的隐匿之道

StarFly的成功并非偶然它凝聚了诸多巧妙的技术构思：

GalaxyGate - 栈欺骗与间接系统调用的双重护盾：
为了在EDR的严密监视下隐匿行踪我们引入了自研的GalaxyGate技术它能有效对抗栈回溯（Stack Walking）分析并通过间接系统调用（Indirect Syscalls）绕过用户模式API Hook 让我们的行为如同鬼魅般难以捕捉
巧夺天工 - 借力内核漏洞提权：
要触及系统核心进程Winlogon.exe 以最小痕迹取得权限是第一道门槛众所周知创建内核对象会触发PreOperation回调函数而我们利用了一个自18年至今仍未修复的句柄提权内核逻辑漏洞该漏洞允许在特定条件下（线程与目标进程同属一用户）将任意权限句柄提升至完全访问权限为此我们通过窃取并模拟SYSTEM令牌 将执行线程的权限提升至系统最高级别从而为后续操作铺平道路
洞察时机 - Winlogon的“打盹”时刻：
通过细致的调试与反汇编分析我们发现Winlogon.exe的主线程在大部分时间里都静静地停留在NtWaitForSingleObject的等待状态中这为我们寻找注入点提供了宝贵的线索

精准落点 - StateMachineRun中的“黄金”Hook点：
在Winlogon.exe的StateMachineRun函数内部靠近第二个NtWaitForSingleObject调用栈返回地址处我们发现了一个绝佳的注入点这里的代码序列尤为关键：

; ... 省略部分代码 ...
00007ff7`3206138c e8b7b50500      call    winlogon!CGlobalStore::ReportApplicationEvent ; 调用一个事件报告函数
00007ff7`32061391 8b442430        mov     eax,dword ptr [rsp+30h]
; ... 省略部分代码 ...
00007ff7`320613b8 48ff15a9570900  call    qword ptr [winlogon!_imp_RtlGetActiveConsoleId] ; 调用获取控制台ID的函数
00007ff7`320613bf 0f1f440000      nop     dword ptr [rax+rax]  ; <--- 绝佳的Hook点！
; ... 后续代码 ...

注意地址 00007ff7320613bf 处的 nop dword ptr [rax+rax] 指令这恰好是5个字节的Nop指令 其长度完美匹配一个call指令！这使得我们可以直接将其替换实现对Winlogon主映像的内联Hook (Inline Hook) 将执行流引导至我们的Shellcode

另辟蹊径 - 融入宿主隐匿无形：
为何不采用标准的无线程注入方式比如Hook某个Windows API的返回点？答案很简单：如今的EDR早已对这种手法了如指掌它们会严格校验关键DLL文件的映像完整性

因此 StarFly选择了更高明的策略：将Shellcode直接融入Winlogon的主映像中 相比于寻找内存空洞或申请独立内存块（这些都容易被内存扫描和YARA规则捕获）这种“寄生”方式如同变色龙融入环境极大地降低了被检测的风险
物尽其用 - C运行时库的“沉睡”空间：
在Winlogon.exe的众多函数中 C标准库的启动函数（如 pre_c_init, pre_cpp_init, __mainCRTStartup）在程序初始化完成后便功成身退几乎不再被调用这些“沉睡”的代码区域为我们提供了宝贵的空间——总计约912字节！这足以容纳大多数分阶段加载的Payload或反弹Shell的Shellcode