文章总结: 文档介绍一种红队免杀技术,通过直接调用NtDeviceIoControlFile与afd.sys驱动通信,绕过用户态网络API监控实现无C2植入体。关键点包括避免加载ws2_32.dll、利用内核层AFD驱动直接处理网络流量,并提出三种ETW绕过方法如PatchEtwEventWrite或寄生现有连接。文末附免杀培训及往期技术文章链接。 综合评分: 72 文章分类: 免杀,红队,恶意软件,内网渗透,安全工具
)。 https://www.unknowncheats.me/forum/c-and-c-/500413-native-tcp-client-socket.html 注:帖子基本上只有代码,没有任何解释,复制下来运行会大量报错 如何构造IOCTL,参考这篇帖子:https://leftarcode.com/posts/afd-reverse-engineering-part1/。
Nt宏定义:https://github.com/winsiderss/systeminformer/blob/master/phnt/include/ntafd.h
正常网络通信路径(EDR 可感知)
text
应用层 (WinHttp.dll / ws2_32.dll) ↓Windows Sockets API (Winsock) ↓Winsock 内核接口 (mswsock.dll → afd.sys) ↓TCP/IP 驱动栈 (tcpip.sys) ↓NDIS 网络接口
用户态的 EDR、抓包工具等,通常在 WinHttp.dll、ws2_32.dll 层面做 hook,监控 connect/send/recv 等 API 调用。
该后门的通信路径(完全绕过用户态网络 API)
text
后门进程 (Ring 3) ↓ntdll!NtDeviceIoControlFile (直接 syscall) ↓afd.sys (Ancillary Function Driver) ← 直接在内核层处理网络 ↓TCP/IP 驱动栈 (tcpip.sys) ↓NDIS 网络接口
关键点:
- 不加载
ws2_32.dll、winhttp.dll或任何网络库 - 不调用 传统的
socket/connect/send/recvAPI - 直接通过
NtDeviceIoControlFile向\Device\Afd设备发送 IOCTL - AFD.SYS 是 Windows 的核心网络驱动,正常情况下
ws2_32.dll在底层也是通过它来通信,但该后门把中间的用户态网络组件全部剥掉,自己实现了一套“裸”的网络客户端
可惜使用System infromer依然能监控到流量,这是由于内核ETW(事件跟踪)的 Microsoft-Windows-Kernel-Network 提供器,内核级别的事件追踪,可以捕捉到 AFD 的 Socket 创建和数据传输事件,可供Ring3使用。
绕过
方法 1:Patch EtwEventWrite 调用链
定位 ntdll!EtwEventWrite 并直接 patch,让用户态 ETW 上报失效。但这只影响用户态 ETW,内核 ETW 提供程序不受影响。
方法 2:Hook 内核 ETW 提供程序注册(Ring 0)
用内核驱动在 EtwRegister 时拦截特定的 Provider ID,阻止安全软件的 ETW 消费者订阅 Microsoft-Windows-AFD 等提供程序。
方法 3:把流量寄生在已有连接上
最实用的方法:不创建新连接,直接注入到系统进程,复用它们已经建立的 Socket。 这样 AFD 层没有新的 IOCTL 调用,自然不会产生新的 ETW 事件。
免杀培训:
【五一优惠】| 2026老鑫安全0基础培训
往期技巧分享:
红队免杀技巧分享:躲避现代检测系统的命令执行
红队技巧分享:看看二进制漏洞研究与免杀相结合
银狐二开特征码定位:从“玄学注释”到“字节级精确制导”
免杀Loader设计:精准打击EDR盲区,拒绝技术堆砌
自研C2不可缺少的模块-多态恶意软件的艺术,终结基于特征码的扫描
二开C2中睡眠混淆的内存隐蔽艺术与应对分析
告别流量拦截!手把手教你配置哥斯拉动态特征
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:老鑫安全 老鑫安全 老鑫安全《红队免杀技巧分享:无需加载任何网络 C2 植入体实现》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论