Ralf Hacker Channel
26.7K subscribers
407 photos
16 videos
503 files
487 links
Download Telegram
Приведено описание метода обхода Windows Defender:

http://hyp3rlinx.altervista.org/advisories/MICROSOFT_WINDOWS_DEFENDER_DETECTION_BYPASS.txt

#malware #bypass #av
И ещё с DefCon'a:

https://github.com/wavestone-cdt/EDRSandblast/tree/DefCon30Release

EDR bypass:
* Kernel callbacks removal;
* Deactivation of the ETW TI provider;
* Uerland hooking bypass;

+ RunAsPPL bypass;
+ Credential Guard bypass;

#redteam #maldev #bypass
Довольно интересная статья, как обходить EDR с помощью python)))

https://www.naksyn.com/edr%20evasion/2022/09/01/operating-into-EDRs-blindspot.html

#redteam #pentest #bypass
На Source Zero Con 2022 представили данный инструмент. Если кратко: кидаете скомпилированный бинарь, тулза из бинаря убирает известные IoC строки, подписывает сертом из другого бинаря, ну и помогает EDR обходить (за счёт увеличения размера файла)

https://github.com/optiv/Mangle

#redteam #pentest #bypass
Это реально круто!

Вкратце: позволяет записывать файлы, созданные маяком кобальта (на примере кобальта), в память, а не на диск в системе.

https://github.com/Octoberfest7/MemFiles

#redteam #pentest #git #cs #bypass
Просто свежий список хуков для продуктов CrowdStrike, SentinelOne и TrendMicro.

https://github.com/VirtualAlllocEx/AV-EPP-EDR-Windows-API-Hooking-List

#edr #bypass #redteam
Ну вот как можно спать, когда публикуют такие ресерчи🥺

Если кратко, то рассмотрены методы Initial Access через ClickOnce с рекомендациями "как при этом не быть сожженным EDR'ами".

https://posts.specterops.io/less-smartscreen-more-caffeine-ab-using-clickonce-for-trusted-code-execution-1446ea8051c5

#initial #redteam #pentest #bypass #dev
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
🔨KRBUACBypass

By adding a KERB-AD-RESTRICTION-ENTRY to the service ticket, but filling in a fake MachineID, we can easily bypass UAC and gain SYSTEM privileges.

Research:
https://www.tiraniddo.dev/2022/03/bypassing-uac-in-most-complex-way.html

Source:
https://github.com/wh0amitz/KRBUACBypass

#ad #kerberos #uac #bypass
Довольно интересное чтиво про Remote Browser Isolation и способы обхода для выполнения нагрузки

https://posts.specterops.io/calling-home-get-your-callbacks-through-rbi-50633a233999

#redteam #pentest #rbi #bypass
От имени любого пользователя можно аварийно завершить службу журнала событий Windows.

https://github.com/floesen/EventLogCrasher

#redteam #bypass #maldev
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
🖼️ Bypass Medium Paywall

A little lifehack if you, like me, come across paid articles from Medium. These sites allow you to read paid Medium articles for free:

🔗 https://freedium.cfd/<URL>
🔗 https://medium-forall.vercel.app/

#medium #premium #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.

https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html

#bypass #evasion #edr #redteam #maldev
CLI tool (python) for managing Cortex XDR
* changing rules
* restarting the XDR process
* disabling the local analysis engine
* inserting any python code to run

https://github.com/SafeBreach-Labs/CortexVortex

#edr #redteam #bypass