Evasion Adventures.pdf
1.6 MB
Классная инструкция, как построить инфраструктуру C2 на Azure
https://0xdarkvortex.dev/c2-infra-on-azure/
#redteam #evasion
https://0xdarkvortex.dev/c2-infra-on-azure/
#redteam #evasion
В ресерче описана техника инъекции в процессы, которая позволяет обходить некоторые EDR (без создания удалённого потока).
Ресерч: https://www.riskinsight-wavestone.com/en/2023/10/process-injection-using-ntsetinformationprocess/
PoC: https://github.com/OtterHacker/SetProcessInjection
#pentest #redteam #evasion #bypass #maldev
Ресерч: https://www.riskinsight-wavestone.com/en/2023/10/process-injection-using-ntsetinformationprocess/
PoC: https://github.com/OtterHacker/SetProcessInjection
#pentest #redteam #evasion #bypass #maldev
RiskInsight
Process Injection using NtSetInformationProcess - RiskInsight
Process injection is a family of malware development techniques allowing an attacker to execute a malicious payload into legitimate addressable memory space of a legitimate process. These techniques are interesting because the malicious payload is executed…
Рекомендую блог тем, кому интересен малдев, да и просто для понимания работы той или иной техники уклонения. В использовании VEH ничего нового нет, но Daniel Feichter очень подробно разбирает использование сисколов посредством глобального обработчика исключений.
https://redops.at/en/blog/syscalls-via-vectored-exception-handling
#malware #evasion #redteam
https://redops.at/en/blog/syscalls-via-vectored-exception-handling
#malware #evasion #redteam
Аналог
https://github.com/WKL-Sec/FuncAddressPro
#redteam #maldev #evasion
GetProcAddress
, но написан на ассемблере. Гуд... https://github.com/WKL-Sec/FuncAddressPro
#redteam #maldev #evasion
GitHub
GitHub - WKL-Sec/FuncAddressPro: A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative…
A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative to GetProcAddress. - WKL-Sec/FuncAddressPro
@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.
https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html
#bypass #evasion #edr #redteam #maldev
https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html
#bypass #evasion #edr #redteam #maldev
Tier Zero Security
Information Security Services. Offensive Security, Penetration Testing, Mobile and Application, Purple Team, Red Team