Phant0m

O Svchost é essencial na implementação dos chamados processos de serviços partilhados, onde vários serviços podem partilhar um processo para reduzir o consumo de recursos. Agrupar vários serviços em um único processo conserva os recursos computacionais, e esta consideração foi de particular preocupação para os projetistas do NT porque a criação de processos do Windows leva mais tempo e consome mais memória do que em outros sistemas operacionais, por exemplo, na família Unix. ¹

Isso significa brevemente isso; Nos sistemas operacionais Windows, svchost.exe gerencia os serviços e os serviços estão sendo executados em svchost.exe como threads. Phant0m tem como alvo o serviço Log de Eventos e encontrando o processo responsável pelo serviço Log de Eventos, ele detecta e elimina os threads responsáveis ​​pelo serviço Log de Eventos. Assim, embora o serviço Log de eventos pareça estar em execução no sistema (porque o Phant0m não eliminou o processo), ele na verdade não é executado (porque o Phant0m eliminou threads) e o sistema não coleta logs.

Phant0m usa duas opções diferentes para detectar o ID do processo do serviço Log de eventos. A primeira é detectar via SCM (Service Control Manager) e a segunda é detectar via WMI (Windows Management Instrumentation). Com qual método você deseja que o Phant0m detecte o ID do processo do serviço Log de eventos, altere as seguintes linhas no arquivo main.cpp.

Por exemplo, se quiser que o ID do processo seja detectado via SCM, você deve editá-lo da seguinte maneira. (Não defina todos os valores ao mesmo tempo, defina apenas a técnica desejada.)

 // PID detection techniques configuration section.
# define PID_FROM_SCM 1 // If you set it to 1, the PID of the Event Log service is obtained from the Service Manager.
# define PID_FROM_WMI 0 // If you set it to 1, the PID of the Event Log service is obtained from the WMI.

Por exemplo, se você deseja que os threads sejam eliminados usando a Técnica-1, você deve editá-los da seguinte maneira. (Não defina todos os valores ao mesmo tempo, defina apenas a técnica desejada.)

 // TID detection and kill techniques configuration section. 
# define KILL_WITH_T1 1 // If you set it to 1, Technique-1 will be use. For more information; https://github.com/hlldz/Phant0m
# define KILL_WITH_T2 0 // If you set it to 1, Technique-2 will be use. For more information; https://github.com/hlldz/Phant0m 

Phant0m usa duas opções diferentes para detectar e eliminar os threads do serviço Log de Eventos.

Quando cada serviço é registrado em uma máquina que executa o Windows Vista ou posterior, o Service Control Manager (SCM) atribui uma tag numérica exclusiva ao serviço (em ordem crescente). Então, no momento da criação do serviço, a tag é atribuída ao TEB da thread de serviço principal. Essa tag será então propagada para cada thread criado pelo thread de serviço principal. Por exemplo, se o thread de serviço Foo criar um thread de trabalho RPC (nota: os threads de trabalho RPC não usam o mecanismo de pool de threads mais sobre isso posteriormente), esse thread terá a etiqueta de serviço do serviço Foo. ²

Portanto, nesta técnica o Phant0m detectará threads do serviço Log de Eventos com a API NtQueryInformationThread para obter o endereço TEB do thread e ler o SubProcessTag do TEB. Em seguida, ele elimina os threads relacionados ao serviço Log de Eventos. Os códigos para esta técnica estão no arquivo the technique_1.h .

Nesta técnica, o Phant0m detecta os nomes das DLLs associadas aos threads. O serviço de log de eventos do Windows usa wevtsvc.dll . O caminho completo é %WinDir%System32wevtsvc.dll . Se o thread estiver usando essa DLL, é o thread do serviço de log de eventos do Windows e então Phant0m mata o thread. Os códigos para esta técnica estão no arquivo the technique_2.h .

Você pode usar o Phant0m como um EXE independente e como uma DLL reflexiva. Abra o projeto no Microsoft Visual Studio, faça as configurações (selecione as técnicas de detecção e eliminação) e compile. Você também pode usar a versão Reflective DLL com Cobalt Strike, para isso existe um arquivo Aggressor Script (phant0m.cna) no repositório.

O método Fork and Inject foi usado com bdllspawn no tipo de execução do Aggressor Script (phant0m.cna) para Cobalt Strike. Se quiser injetar Phant0m em seu processo existente e executá-lo, você pode revisar este projeto (https://github.com/rxwx/cs-rdll-ipc-example) e pode fazer isso facilmente. Você também pode converter o código em DLL e depois em Shellcode com Donut.

NOTA: O projeto suporta apenas arquitetura x64.

• Detectando ataques na memória com Sysmon e Azure Security Center - https://azure.microsoft.com/tr-tr/blog/detecting-in-memory-attacks-with-sysmon-and-azure-security-center/
• Experimentos com Invoke-Phant0m - http://www.insomniacsecurity.com/2017/08/27/phant0m.html
• Adulteração do log de eventos, parte 1: interrupção do serviço EventLog - https://medium.com/@7a616368/event-log-tampering-part-1-disrupting-the-eventlog-service-8d4b7d67335c
• Voando sob o radar - https://www.exploit-db.com/docs/english/45898-flying-under-the-radar.pdf?rss
• Denetim e Log'lamanın Elli Tonu - https://gallery.technet.microsoft.com/Denetim-ve-Loglamann-Elli-cbed0000
• Desativando logs de eventos do Windows suspendendo threads de serviço EventLog - https://www.ired.team/offensive-security/defense-evasion/disabling-windows-event-logs-by-suspending-eventlog-service-threads
• Serviço de log de eventos – entre ofensivo e defensivo - https://blog.cybercastle.io/event-log-service-between-offensive-and-defensive/
• Acobertamento de registro de eventos de caça - https://malwarenailed.blogspot.com/2017/10/update-to-hunting-mimikatz-using-sysmon.html
• Evasão de defesa: registro de eventos do Windows (T1562.002) - https://hacker.observer/defense-evasion-windows-event-logging-t1562-002/
• Pwning Windows Event Logging com regras YARA - https://labs.jumpsec.com/pwning-windows-event-logging-with-yara-rules/
• Várias notas - Resposta de incidência em truques de invasores para EventLog - https://hannahsuarez.github.io/2019/IncidentResponseNotes-Attackers-EventLog/