没有调试器,但有大量“DbgUiRemoteBreakin”线程

信息安全 Windows 7的
2021-09-09 00:18:50

我注意到我的 Windows 7 桌面上几乎每个正在运行的进程——无论是 explorer.exe、lsm.exe、winlogon.exe 还是 firefox.exe 都至少有 1 个(通常是 6 个以上)以下线程:“ntdll. dll!DbgUiRemoteBreakin"

据我所知,“ntdll!DbgUiRemoteBreakIn 被调试器用来闯入一个进程,并且调试器假定 DbgUiRemoteBreakIn 的本地地址与目标进程中 DbgUiRemoteBreakIn 的远程地址匹配。Kernel32 必须位于相同的基地址,因为有许多内部 kernel32 例程,类似于 ntdll!DbgUiRemoteBreakIn,用于跨进程线程注入。”

并且,“DebugBreakProcess API 将远程线程注入目标进程的地址空间。”

我没有使用或拥有任何我知道的调试器软件/程序,并且在计算机启动后没有程序运行时线程处于活动状态。

如果我理解正确,“ntdll.dll!DbgUiRemoteBreakin”是被注入计算机的远程线程。这似乎不太好。

一个例子: 在此处输入图像描述

关于如何防止它和/或弄清楚它为什么会发生的任何想法?

谢谢!

3个回答

我只是遇到了这个问题,在阅读了DbgUiRemoteBreakin Technet 线程中的所有回复后,我在最后找到了答案。

您正在查看的不是“ntdll!DbgUiRemoteBreakIn”而是“ntdll!DbgUiRemoteBreakIn+0x50”,这是一个不同的地址,但调试器(进程资源管理器)不知道/具有该地址的名称,因为它使用的是过时的符号.

要更正此问题,请转到选项->配置符号...,在符号路径中输入“srv* https://msdl.microsoft.com/download/symbols ”(或下载符号并使用本地缓存而不是 MS 符号服务器)并将dbghelp.dll替换为WinDbg 版本(“C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\dbghelp.dll”)。您需要安装WinDbg(Windows 驱动程序工具包、Windows SDK 的一部分),因为 C:\Windows\System32\dbghelp.dll 不支持符号服务器并且不会下载正确的符号。

配置符号

现在它应该显示地址的正确名称,即“TppWorkerThread”。

lsm.exe

对于应用程序被神秘地“调试”,我想到的第一个解释是,您被某种恶意软件感染,该恶意软件将自身注入其他程序(这样,恶意行为似乎来自这些正常程序)。

防止它的方法显然是从您的系统中删除此类恶意软件。困难的部分是识别它。您是否查看了加载的库和启动过程

忽略反对票。如果它不是“TppWorkerThread”,则可能是mimikats 恶意软件......您可以通过禁用调试来缓解 mimikats 和其他调试器攻击,如下所述:https ://medium.com/blue-team/preventing-mimikatz-attacks- ed283e7ebdd5 如果您缺少禁用调试所需的组策略(就像我一样),请按照此处的简单步骤 操作(这与 Windows 7 相关。)为了您的方便,您不必安装安全合规管理器和 SQL服务器快递,你可以只使用这个LocalGPO.msi

  1. 在工作站/服务器上运行并安装文件“LocalGPO.msi”
  2. 打开命令提示符并浏览到:“C:\Program Files (x86)\LocalGPO”
  3. 运行以下命令“Cscript LocalGPO.wsf /ConfigSCE”
  4. 现在 MSS 设置(和其他设置)将在本地组策略设置的安全选项中可见。

如何防止这种情况?进一步的预防:继续强化你的系统和环境,包括你的路由器固件和硬件......让一切保持最新...... mimikats 感染有上百万种不同的方法,可能是最常见的调试器类型攻击。 该视频内容丰富,有助于了解可能发生调试器攻击的常见方法。换句话说,让你的 Windows 机器保持最新并记住 mimikats 只是 metasploit 中数百个利用脚本之一。

在命令行运行 SFC /Scannow 和DISM以检查系统损坏:

Dism /在线 /Cleanup-Image /ScanHealth

如果检测到损坏,请运行:

Dism /在线 /Cleanup-Image /RestoreHealth

作为恶意软件感染的最后但通常必要的手段,您可能需要考虑进行就地 dist-upgrade以清除任何隐藏的恶意软件或可能对系统及其权限所做的更改。一旦机器被击中,如果没有这个,损坏可能是无法弥补的。这就是我必须做的来解决这个完全相同的调试器问题。

进一步预防:就像一个硬件示例一样,如果您正在运行 AMD Ryzen 处理器调试器漏洞利用可能会作为硬件/芯片组级漏洞利用的附属物发生......确保您的主板固件是最新的。华硕亲自告诉我,在这篇文章发布前 2-3 周,他们仍在努力修补以下网络/可远程利用的硬件漏洞威胁:

  1. CVE-2018-8930:AMD EPYC(霄龙)服务器、Ryzen、Ryzen Pro 和 Ryzen Mobile 处理器芯片对硬件验证启动(即 MASTERKEY-1、MASTERKEY-2 和 MASTERKEY-3)的执行不足。
  2. CVE-2018-8931:AMD Ryzen、Ryzen Pro 和 Ryzen Mobile 处理器芯片对安全处理器(即 RYZENFALL-1)的访问控制不足。
  3. CVE-2018-8932:AMD Ryzen 和 Ryzen Pro 处理器芯片对安全处理器(即 RYZENFALL-2、RYZENFALL-3 和 RYZENFALL-4)的访问控制不足。
  4. CVE-2018-8933:AMD EPYC 服务器处理器芯片对受保护的内存区域(即 FALLOUT-1、FALLOUT-2 和 FALLOUT-3)的访问控制不足。
  5. CVE-2018-8934:在 AMD Ryzen 和 Ryzen Pro 平台中使用的 Promontory 芯片组在固件中有一个后门,即 CHIMERA-FW。
  6. CVE-2018-8935:在 AMD Ryzen 和 Ryzen Pro 平台中使用的 Promontory 芯片组在 ASIC 中有一个后门,也就是 CHIMERA-HW。
  7. CVE-2018-8936:AMD EPYC(霄龙)服务器、Ryzen、Ryzen Pro 和 Ryzen Mobile 处理器芯片允许平台安全处理器 (PSP) 权限升级。
其它你可能感兴趣的问题
上一篇AirPcap 已停产。你推荐什么替代品? 下一篇如何检测恶意 fb2 和 epub 文件?