EDRSilencer
#EDR #bypass #RedTeam
Полностью отключает отправку каких-либо событий EDR с помощью легитимного WFP API в Windows.
Список средств защиты, которые перестанут функционировать:
Ссылка на инструмент.
#рекомендация
#рекомендации
LH | Новости | Курсы | Мемы
Onion Market — анонимный Р2Р-обменник для людей!
#EDR #bypass #RedTeam
Полностью отключает отправку каких-либо событий EDR с помощью легитимного WFP API в Windows.
Список средств защиты, которые перестанут функционировать:
— Microsoft Defender for Endpoint and Microsoft Defender Antivirus
— Elastic EDR
— Trellix EDR
— Qualys EDR
— SentinelOne
— Cylance
— Cybereason
— Carbon Black EDR
— Carbon Black Cloud
— Tanium
— Palo Alto Networks Traps/Cortex XDR
— FortiEDR
— Cisco Secure Endpoint (Formerly Cisco AMP)
— ESET Inspect
— Harfanglab EDR
— TrendMicro Apex One
Ссылка на инструмент.
#рекомендация
#рекомендации
LH | Новости | Курсы | Мемы
Onion Market — анонимный Р2Р-обменник для людей!
👍11🔥5❤2⚡1
EDR & Antivirus Bypass to Gain Shell Access
#EDR #shellcode #bypass #RedTeam
Репозиторий содержит proof-of-concept для обхода EDR и антивирусов с помощью техники инъекции в память, выполняя shellcode для создания обратной оболочки и успешно избегая обнаружения различными механизмами безопасности.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#EDR #shellcode #bypass #RedTeam
Репозиторий содержит proof-of-concept для обхода EDR и антивирусов с помощью техники инъекции в память, выполняя shellcode для создания обратной оболочки и успешно избегая обнаружения различными механизмами безопасности.
Ссылка на GitHub.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍11🔥9❤2
PatchlessCLRLoader
#AMSI #AV #RedTeam #payload
#malware #bypass #ETW
Загрузчик .NET assembly с обходом AMSI и ETW с использованием аппаратных точек прерывания. Позволяет избежать использования широко известных API, таких как NtProtectVirtualMemory, которые тщательно отслеживаются системами безопасности. Аппаратные точки прерывания не требуют изменения файлов, что могло бы быть обнаружено системами мониторинга целостности файлов или EDR. Это делает данный метод более скрытным.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#AMSI #AV #RedTeam #payload
#malware #bypass #ETW
Загрузчик .NET assembly с обходом AMSI и ETW с использованием аппаратных точек прерывания. Позволяет избежать использования широко известных API, таких как NtProtectVirtualMemory, которые тщательно отслеживаются системами безопасности. Аппаратные точки прерывания не требуют изменения файлов, что могло бы быть обнаружено системами мониторинга целостности файлов или EDR. Это делает данный метод более скрытным.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍13🔥6❤4
Как провести Havoc agent через Windows Defender (2024)
#AV #bypass #C2 #payload #статья #pentest
Сегодня я покажу вам метод, как обойти последнюю версию Windows Defender с помощью Havoc Demons по состоянию на сентябрь 2024 года.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#AV #bypass #C2 #payload #статья #pentest
Сегодня я покажу вам метод, как обойти последнюю версию Windows Defender с помощью Havoc Demons по состоянию на сентябрь 2024 года.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
🔥11👍7❤5
InvisibilityCloak
#RedTeam #pentest #bypass
Инструмент для обфускации инструментов на C#. Алгоритм обфускации:
- Измение имени инструмента
- Изменение GUID проекта
- Обфускация совместимых строк в исходных кодах на основе метода обфускации, указанного пользователем
- Удаление комментариев (например, // это комментарий)
- Удаление опции строки PDB для скомпилированной сборки .NET в режиме релиза
Ссылка на инструмент.
Прочитать подробнее.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#RedTeam #pentest #bypass
Инструмент для обфускации инструментов на C#. Алгоритм обфускации:
- Измение имени инструмента
- Изменение GUID проекта
- Обфускация совместимых строк в исходных кодах на основе метода обфускации, указанного пользователем
- Удаление комментариев (например, // это комментарий)
- Удаление опции строки PDB для скомпилированной сборки .NET в режиме релиза
Ссылка на инструмент.
Прочитать подробнее.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍7🔥7❤2
User Account Control/Uncontrol: Mastering the Art of Bypassing Windows UAC
#Windows #RedTeam #UAC #bypass #pentest
UAC (User Account Control) – механизм, который призван предотвратить несанкционированные административные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО. В статье рассмотрена механика работы UAC и есть разбор некоторых рабочих методов по обходу UAC.
Ссылка на статью.
LH | Новости | OSINT | Курсы
#Windows #RedTeam #UAC #bypass #pentest
UAC (User Account Control) – механизм, который призван предотвратить несанкционированные административные действия, потенциально опасные для системы. UAC Bypass является достаточно распространённой атакой среди вредоносного ПО. В статье рассмотрена механика работы UAC и есть разбор некоторых рабочих методов по обходу UAC.
Ссылка на статью.
LH | Новости | OSINT | Курсы
👍11🔥6❤4
Создание незаметного вредоносного ПО для Windows (C2-фреймворк Villain + обфускация PowerShell + недетектируемая доставка)
#статья@haccking #перевод@haccking #bypass #AV #Defender #payload #C2
Антивирусные системы и Windows Defender используют сочетание сигнатурного и поведенческого обнаружения, а также современные решения на основе ИИ для выявления и блокировки вредоносного ПО или попыток подключения к C2-серверу. Как правило, сигнатурное обнаружение проще всего обойти, однако злоумышленникам сложнее преодолеть анализ, выполняемый на хосте в процессе исполнения скрипта, например, с использованием AMSI. Я обнаружил интересный инструмент под названием Villain и решил найти способ использовать его для обхода современных антивирусных решений или, как минимум, актуальной версии Windows Defender, который ориентирован на выявление угроз в реальном времени.
Ссылка на статью.
LH | Новости | OSINT | Курсы
#статья@haccking #перевод@haccking #bypass #AV #Defender #payload #C2
Антивирусные системы и Windows Defender используют сочетание сигнатурного и поведенческого обнаружения, а также современные решения на основе ИИ для выявления и блокировки вредоносного ПО или попыток подключения к C2-серверу. Как правило, сигнатурное обнаружение проще всего обойти, однако злоумышленникам сложнее преодолеть анализ, выполняемый на хосте в процессе исполнения скрипта, например, с использованием AMSI. Я обнаружил интересный инструмент под названием Villain и решил найти способ использовать его для обхода современных антивирусных решений или, как минимум, актуальной версии Windows Defender, который ориентирован на выявление угроз в реальном времени.
Ссылка на статью.
LH | Новости | OSINT | Курсы
👍19🔥6😁4❤2
Встраивание вредоносного исполняемого файла в обычный PDF или EXE
#malware #payload #bypass #AV #статья@haccking #перевод@haccking
Сегодня мы покажем, как создать вредоносный исполняемый файл, который выглядит как PDF, документ Word или исполняемый файл веб-браузера с функциональностью обычного файла или программы, но с встраиванием нашего вредоносного исполняемого файла. Для этого мы будем использовать WinRAR.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#malware #payload #bypass #AV #статья@haccking #перевод@haccking
Сегодня мы покажем, как создать вредоносный исполняемый файл, который выглядит как PDF, документ Word или исполняемый файл веб-браузера с функциональностью обычного файла или программы, но с встраиванием нашего вредоносного исполняемого файла. Для этого мы будем использовать WinRAR.
Ссылка на статью.
LH | Новости | Курсы | Мемы
👍17🔥7❤2👏2
Шишинг с Rogue RDP. Используем встроенные средства Windows для проникновения в сеть
#статья@haccking #phishing #bypass #RedTeam #pentest
За последний год EDR и XDR значительно повысили уровень защиты от фишинга. Особые трудности доставляет эвристический анализ. Классическая рассылка документов теперь почти не работает. В качестве альтернативы я выбрал Rogue RDP как средство доставки и технику Living off the Land Binaries — для первичного доступа в сети заказчика.
Ссылка на статью
LH | Новости | Курсы | OSINT
#статья@haccking #phishing #bypass #RedTeam #pentest
За последний год EDR и XDR значительно повысили уровень защиты от фишинга. Особые трудности доставляет эвристический анализ. Классическая рассылка документов теперь почти не работает. В качестве альтернативы я выбрал Rogue RDP как средство доставки и технику Living off the Land Binaries — для первичного доступа в сети заказчика.
Ссылка на статью
LH | Новости | Курсы | OSINT
❤9👍7🔥3
Создание Powershell Shellcode Downloader для обхода Defender (Без обхода Amsi)
#paylaoad #shellcode #av #bypass #статья #перевод
Сегодня я покажу, как модифицировать powershell shellcode runner для загрузки и выполнения нагрузки в обход Windows Defender.
Ссылка на статью
LH | Новости | Курсы | OSINT
#paylaoad #shellcode #av #bypass #статья #перевод
Сегодня я покажу, как модифицировать powershell shellcode runner для загрузки и выполнения нагрузки в обход Windows Defender.
Ссылка на статью
LH | Новости | Курсы | OSINT
🔥12👍5❤2
DripLoader
#pentest #payload #bypass #edr
#shellcode
Загрузчик шелл-кода для обхода детектов средствами (EDR). Проект нацелен на освещение проблемы идентификации инъекций, основанной на событиях, и демонстрацию необходимости более продвинутого сканирования памяти в системах обнаружения и реагирования на конечных точках.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
#pentest #payload #bypass #edr
#shellcode
Загрузчик шелл-кода для обхода детектов средствами (EDR). Проект нацелен на освещение проблемы идентификации инъекций, основанной на событиях, и демонстрацию необходимости более продвинутого сканирования памяти в системах обнаружения и реагирования на конечных точках.
Ссылка на GitHub
LH | Новости | Курсы | OSINT
🔥12👍5❤2
LexiCrypt
#shellcode #AV #payload #pentest #bypass
Инструмент для обфускации, который преобразует исходные байты шеллкода в "лексикон" слов, основанный на именах файлов из системной директории Windows system32. Полученный закодированный вывод затем может быть встроен в шаблон кода на различных языках программирования (например, C++, Rust, C#, Go, VBScript/WScript). Этот подход может помочь замаскировать шеллкод и обойти примитивные механизмы обнаружения.
Ссылка на инструмент
LH | Новости | Курсы | OSINT
#shellcode #AV #payload #pentest #bypass
Инструмент для обфускации, который преобразует исходные байты шеллкода в "лексикон" слов, основанный на именах файлов из системной директории Windows system32. Полученный закодированный вывод затем может быть встроен в шаблон кода на различных языках программирования (например, C++, Rust, C#, Go, VBScript/WScript). Этот подход может помочь замаскировать шеллкод и обойти примитивные механизмы обнаружения.
Ссылка на инструмент
LH | Новости | Курсы | OSINT
👍14🏆4❤3🔥3😁2
Amsi-Bypass-Powershell
#amsi #bypass #evasion #RedTeam #pentest
В этом репозитории содержатся некоторые методы обхода Antimalware Scan Interface (AMSI).
Большинство скриптов обнаруживаются самим AMSI. Поэтому нужно найти триггер и изменить сигнатуру в соответствующей части, используя переименование переменных/функций, замену строк или кодирование и декодирование во время выполнения.
👩💻 Ссылка на GitHub
LH🥷 | Новости 💬 | OSINT 🥷
#amsi #bypass #evasion #RedTeam #pentest
В этом репозитории содержатся некоторые методы обхода Antimalware Scan Interface (AMSI).
Большинство скриптов обнаруживаются самим AMSI. Поэтому нужно найти триггер и изменить сигнатуру в соответствующей части, используя переименование переменных/функций, замену строк или кодирование и декодирование во время выполнения.
LH
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤4🔥3
Пишем на C самоизменяющуюся программу x86_64
#статья #evasion #bypass #redteam #полезное
«Зачем вообще писать программу, меняющую код в процессе выполнения? Это же ужасная идея!»
Да, всё так и есть. Но это и хороший опыт. Такое делают только тогда, когда хотят что-то исследовать, или из любопытства.
Самоизменяемые/самомодифицируемые программы не обладают особой полезностью. Они усложняют отладку, программа становится зависимой от оборудования, а изучение кода превращается в очень утомительный и запутанный процесс, если только вы не опытный разработчик на ассемблере. Единственный разумный сценарий применения самоизменяемых программа в реальном мире — это механизм маскировки зловредного ПО от антивирусов. Моя цель исключительно научна, поэтому ничем подобным я заниматься не буду.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #evasion #bypass #redteam #полезное
«Зачем вообще писать программу, меняющую код в процессе выполнения? Это же ужасная идея!»
Да, всё так и есть. Но это и хороший опыт. Такое делают только тогда, когда хотят что-то исследовать, или из любопытства.
Самоизменяемые/самомодифицируемые программы не обладают особой полезностью. Они усложняют отладку, программа становится зависимой от оборудования, а изучение кода превращается в очень утомительный и запутанный процесс, если только вы не опытный разработчик на ассемблере. Единственный разумный сценарий применения самоизменяемых программа в реальном мире — это механизм маскировки зловредного ПО от антивирусов. Моя цель исключительно научна, поэтому ничем подобным я заниматься не буду.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤5🔥5
Defendnot
#AV #evasion #RedTeam #bypass
Улучшенная версия no-defender — инструмента, который взаимодействует с WSC API для отключения Windows Defender. WSC (Windows Security Center) используется антивирусами для уведомления системы о наличии другого антивируса, из-за чего Windows Defender отключается.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#AV #evasion #RedTeam #bypass
Улучшенная версия no-defender — инструмента, который взаимодействует с WSC API для отключения Windows Defender. WSC (Windows Security Center) используется антивирусами для уведомления системы о наличии другого антивируса, из-за чего Windows Defender отключается.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥5❤3🤔3