.NetConfigLoader
#софт #av #evasion #bypass
Список приложений.Net, подписанных корпорацией Майкрософт, которые можно использовать для загрузки библиотеки DLL через CONFIG-файл. Идеально подходит для обхода политик EDR/AV.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#софт #av #evasion #bypass
Список приложений.Net, подписанных корпорацией Майкрософт, которые можно использовать для загрузки библиотеки DLL через CONFIG-файл. Идеально подходит для обхода политик EDR/AV.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍8🔥3❤1
Beyond Detection SMB Staging for Antivirus Evasion
#evasion #Malware
В продолжающейся игре в кошки-мышки между киберпреступниками и защитниками поле битвы сместилось от традиционной тактики вредоносного ПО к более изощренным методам. Одним из таких методов является SMB (Server Message Block) staging — маневр, который позволяет злоумышленникам обходить антивирусное программное обеспечение и получать несанкционированный доступ к системам. В этой статье мы углубимся в запутанный мир разработки вредоносного ПО, изучив некоторые механики.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#evasion #Malware
В продолжающейся игре в кошки-мышки между киберпреступниками и защитниками поле битвы сместилось от традиционной тактики вредоносного ПО к более изощренным методам. Одним из таких методов является SMB (Server Message Block) staging — маневр, который позволяет злоумышленникам обходить антивирусное программное обеспечение и получать несанкционированный доступ к системам. В этой статье мы углубимся в запутанный мир разработки вредоносного ПО, изучив некоторые механики.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
👍6👀6🔥3
ShellGhost
#evasion #av #RedTeam
Метод обхода на основе памяти, который делает шелл-код невидимым от начала до конца процесса.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#evasion #av #RedTeam
Метод обхода на основе памяти, который делает шелл-код невидимым от начала до конца процесса.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
🔥15👍5❤3👨💻1
AMSI Write Raid Vulnerability
#AMSI #bypass #evasion
В этой статье показана новая техника обхода AMSI без API VirtualProtect и без изменения защиты памяти.
Ссылка на инструмент.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#AMSI #bypass #evasion
В этой статье показана новая техника обхода AMSI без API VirtualProtect и без изменения защиты памяти.
Ссылка на инструмент.
Ссылка на статью.
LH | Новости | Курсы | Мемы
👍9🔥5❤3
Simple reverse ICMP shell
#RedTeam #evasion #reverseshell #pentest
Иногда сетевые администраторы усложняют жизнь тестировщикам на проникновение(используют брандмауэры по назначению). Разрешение трафика только на известные машины, порты и сервисы (фильтрация входящего трафика) и установка строгих списков контроля доступа для исходящего трафика — это один из таких случаев. В таких сценариях не всегда тривиально получить обратную оболочку через TCP, не говоря уже о соединении через bind shell.
Однако как насчет использования ICMP в качестве канала для получения обратной оболочки? В этом инструменте основное внимание уделяется ICMP, как каналу связи между атакующим и подконтрольной системой.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#RedTeam #evasion #reverseshell #pentest
Иногда сетевые администраторы усложняют жизнь тестировщикам на проникновение(используют брандмауэры по назначению). Разрешение трафика только на известные машины, порты и сервисы (фильтрация входящего трафика) и установка строгих списков контроля доступа для исходящего трафика — это один из таких случаев. В таких сценариях не всегда тривиально получить обратную оболочку через TCP, не говоря уже о соединении через bind shell.
Однако как насчет использования ICMP в качестве канала для получения обратной оболочки? В этом инструменте основное внимание уделяется ICMP, как каналу связи между атакующим и подконтрольной системой.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
3👍13🔥7❤5
Call Stack Spoofing для запутывания EDR
#edr #evasion #статья #malware #eng
Статья посвящена технике Call Stack Spoofing для обхода обнаружения средствами EDR. В ней объясняется, как скрыть вредоносную активность, например, доступ к процессу lsass, под видом легитимных операций.
Ссылка на статью
Ссылка на POC
LH | Новости | Курсы | OSINT
#edr #evasion #статья #malware #eng
Статья посвящена технике Call Stack Spoofing для обхода обнаружения средствами EDR. В ней объясняется, как скрыть вредоносную активность, например, доступ к процессу lsass, под видом легитимных операций.
Ссылка на статью
Ссылка на POC
LH | Новости | Курсы | OSINT
👍11🔥7❤2
Amsi-Bypass-Powershell
#amsi #bypass #evasion #RedTeam #pentest
В этом репозитории содержатся некоторые методы обхода Antimalware Scan Interface (AMSI).
Большинство скриптов обнаруживаются самим AMSI. Поэтому нужно найти триггер и изменить сигнатуру в соответствующей части, используя переименование переменных/функций, замену строк или кодирование и декодирование во время выполнения.
👩💻 Ссылка на GitHub
LH🥷 | Новости 💬 | OSINT 🥷
#amsi #bypass #evasion #RedTeam #pentest
В этом репозитории содержатся некоторые методы обхода Antimalware Scan Interface (AMSI).
Большинство скриптов обнаруживаются самим AMSI. Поэтому нужно найти триггер и изменить сигнатуру в соответствующей части, используя переименование переменных/функций, замену строк или кодирование и декодирование во время выполнения.
LH
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤4🔥3
Gocheck
DefenderCheck
#evasion #av #RedTeam #payload #malware
Альтернатива DefenderCheck, которая тоже позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу.
👩💻 Ссылка на инструмент
LH | News | OSINT | AI
DefenderCheck
#evasion #av #RedTeam #payload #malware
Альтернатива DefenderCheck, которая тоже позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥4❤3
LOLBAS
#RedTeam #evasion #полезное
Living Off The Land Binaries and Scripts — это проект, который собирает и систематизирует бинарные файлы, сценарии и библиотеки для Windows, которые могут быть использованы в иных целях, часто злоумышленниками или красными командами. Проект помогает осознать возможные способы использования законных инструментов Windows злоумышленниками, для того, чтобы дальше оставаться незамеченными.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#RedTeam #evasion #полезное
Living Off The Land Binaries and Scripts — это проект, который собирает и систематизирует бинарные файлы, сценарии и библиотеки для Windows, которые могут быть использованы в иных целях, часто злоумышленниками или красными командами. Проект помогает осознать возможные способы использования законных инструментов Windows злоумышленниками, для того, чтобы дальше оставаться незамеченными.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12👍6🔥5
Пишем на C самоизменяющуюся программу x86_64
#статья #evasion #bypass #redteam #полезное
«Зачем вообще писать программу, меняющую код в процессе выполнения? Это же ужасная идея!»
Да, всё так и есть. Но это и хороший опыт. Такое делают только тогда, когда хотят что-то исследовать, или из любопытства.
Самоизменяемые/самомодифицируемые программы не обладают особой полезностью. Они усложняют отладку, программа становится зависимой от оборудования, а изучение кода превращается в очень утомительный и запутанный процесс, если только вы не опытный разработчик на ассемблере. Единственный разумный сценарий применения самоизменяемых программа в реальном мире — это механизм маскировки зловредного ПО от антивирусов. Моя цель исключительно научна, поэтому ничем подобным я заниматься не буду.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #evasion #bypass #redteam #полезное
«Зачем вообще писать программу, меняющую код в процессе выполнения? Это же ужасная идея!»
Да, всё так и есть. Но это и хороший опыт. Такое делают только тогда, когда хотят что-то исследовать, или из любопытства.
Самоизменяемые/самомодифицируемые программы не обладают особой полезностью. Они усложняют отладку, программа становится зависимой от оборудования, а изучение кода превращается в очень утомительный и запутанный процесс, если только вы не опытный разработчик на ассемблере. Единственный разумный сценарий применения самоизменяемых программа в реальном мире — это механизм маскировки зловредного ПО от антивирусов. Моя цель исключительно научна, поэтому ничем подобным я заниматься не буду.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤5🔥5
StopDefender
#av #redteam #evasion
Остановите Windows Defender программно с помощью кражи токена из процессов TrustedInstaller и winlogon.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#av #redteam #evasion
Остановите Windows Defender программно с помощью кражи токена из процессов TrustedInstaller и winlogon.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍8❤4😈1
Defendnot
#AV #evasion #RedTeam #bypass
Улучшенная версия no-defender — инструмента, который взаимодействует с WSC API для отключения Windows Defender. WSC (Windows Security Center) используется антивирусами для уведомления системы о наличии другого антивируса, из-за чего Windows Defender отключается.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#AV #evasion #RedTeam #bypass
Улучшенная версия no-defender — инструмента, который взаимодействует с WSC API для отключения Windows Defender. WSC (Windows Security Center) используется антивирусами для уведомления системы о наличии другого антивируса, из-за чего Windows Defender отключается.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥5❤3🤔3