Просто свежий список хуков для продуктов CrowdStrike, SentinelOne и TrendMicro.
https://github.com/VirtualAlllocEx/AV-EPP-EDR-Windows-API-Hooking-List
#edr #bypass #redteam
https://github.com/VirtualAlllocEx/AV-EPP-EDR-Windows-API-Hooking-List
#edr #bypass #redteam
Очень большая и полная статья про принципы работы EDR
https://sensepost.com/blog/2024/sensecon-23-from-windows-drivers-to-an-almost-fully-working-edr/
Автор даже свои модули писал чтобы лучше разобраться
https://github.com/sensepost/mydumbedr
#redteam #edr #blueteam
https://sensepost.com/blog/2024/sensecon-23-from-windows-drivers-to-an-almost-fully-working-edr/
Автор даже свои модули писал чтобы лучше разобраться
https://github.com/sensepost/mydumbedr
#redteam #edr #blueteam
Sensepost
SensePost | Sensecon 23: from windows drivers to an almost fully working edr
Leaders in Information Security
@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.
https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html
#bypass #evasion #edr #redteam #maldev
https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html
#bypass #evasion #edr #redteam #maldev
Tier Zero Security
Information Security Services. Offensive Security, Penetration Testing, Mobile and Application, Purple Team, Red Team
CLI tool (python) for managing Cortex XDR
* changing rules
* restarting the XDR process
* disabling the local analysis engine
* inserting any python code to run
https://github.com/SafeBreach-Labs/CortexVortex
#edr #redteam #bypass
* changing rules
* restarting the XDR process
* disabling the local analysis engine
* inserting any python code to run
https://github.com/SafeBreach-Labs/CortexVortex
#edr #redteam #bypass
GitHub
GitHub - SafeBreach-Labs/CortexVortex
Contribute to SafeBreach-Labs/CortexVortex development by creating an account on GitHub.