В ресерче описана техника инъекции в процессы, которая позволяет обходить некоторые EDR (без создания удалённого потока).

Ресерч: https://www.riskinsight-wavestone.com/en/2023/10/process-injection-using-ntsetinformationprocess/

PoC: https://github.com/OtterHacker/SetProcessInjection

#pentest #redteam #evasion #bypass #maldev

Если кто-то не совсем разобрался с техникой DLL Hijacking, или может совсем не в курсе, что это такое, советую данный материал. Очень хорошая работа!

https://elliotonsecurity.com/perfect-dll-hijacking/

So today, we're doing 100% original research reverse engineering the Windows library loader to not just cleanly workaround Loader Lock but, in the end, disable it outright. Plus, coming up with some stable mitigation & detection mechanisms defenders can use to help guard against DLL hijacking.

#maldev #redteam

Сравнение средств защиты на сентябрь 2023. Full в PDF

#av #redteam #maldev

Ещё один лоадер, наполненный интересный функционалом

https://github.com/Krypteria/AtlasLdr

* Retrieve of DLL and PE from a remote server
* Manual Mapping on a remote process
* Position independent code
* Use of indirect Syscalls
- ZwAllocateVirtualMemory
- ZwProtectVirtualMemory
- ZwQuerySystemInformation
- ZwFreeVirtualMemory
- ZwCreateThreadEx
* Single stub for all Syscalls
- Dynamic SSN retrieve
- Dynamic Syscall address resolution
* Atlas also uses
- LdrLoadDll
- NtWriteVirtualMemory
* Custom implementations of
- GetProcAddress
- GetModuleHandle
* API hashing
* Cleanup on error
* Variable EntryPoint

#redteam #maldev #git #loader

От имени любого пользователя можно аварийно завершить службу журнала событий Windows.

https://github.com/floesen/EventLogCrasher

#redteam #bypass #maldev

Аналог GetProcAddress, но написан на ассемблере. Гуд...

https://github.com/WKL-Sec/FuncAddressPro

#redteam #maldev #evasion

Список DLL, которые использует группа Lazarus:

Missing DLL:
spoolsv.exe ➡️ ualapi.dll

Side-loaded:
mobsync.exe ➡️ propsys.dll
MDEServer.exe ➡️ winmde.dll
ComcastVNC.exe ➡️ version.dll
colorcpl.exe ➡️ colorui.dll
presentationhost.exe ➡️ mscoree.dll
CameraSettingsUIHost.exe ➡️ DUI70.dll
wsmprovhost.exe ➡️ mi.dll
SgrmLpac.exe ➡️ winhttp.dll
TieringEngineService.exe ➡️ ESENT.dll
WmiApSrv.exe ➡️ wbemcomn.dll
dfrgui.exe ➡️ SXSHARED.dll
SyncHost.exe ➡️ WinSync.dll
wmiprvse.exe ➡️ ncobjapi.dll
wmiprvse.exe ➡️ wbem\sspicli.dll
wmiprvse.exe ➡️ wbem\wmiclnt.dll
svchost.exe(IKEEXT) ➡️ wlbsctrl.dll

#apt #redteam #dllhijack #maldev

@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.

https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html

#bypass #evasion #edr #redteam #maldev

#maldev #redteam

Инструмент для имитации поведения AV/EDR. Утилита позволяет оттачивать навыки обхода средств защиты при создании своих загрузчиков.

1. Собираем проект ./compile.sh
2. Создаём файл ioc.json с паттернами шелл-кода
3. Запускаем инструмент, указываем идентификатор вредоносного процесса: .\CrimsonEDRPanel.exe -d C:\Temp\CrimsonEDR.dll -p 1234

https://github.com/Helixo32/CrimsonEDR

Удобно, нужно просто подключить файл)

https://github.com/DosX-dev/obfus.h

🔍 Function Call Obfuscation: Confuse function calls to make your code less readable to unauthorized eyes.
🛡️ Anti-Debugging Techniques: Built-in mechanisms to prevent code analysis during runtime.
🔄 Control Flow Code Mutation: Turns code into spaghetti, making it difficult to parse conditions and loops.
🚫 Anti-Decompilation Techniques: Makes many popular decompilers useless visually breaking their output.

#obfuscate #redteam #maldev

Так, новая техника инъекции в процессы - Early Cascade Injection.

Ну и ресерч достаточно подробный)

https://www.outflank.nl/blog/2024/10/15/introducing-early-cascade-injection-from-windows-process-creation-to-stealthy-injection/

#redteam #maldev #bypass

Очень хороший материал про Process Injection в Linux. С кодом, схемами и картами памяти)

https://www.akamai.com/blog/security-research/the-definitive-guide-to-linux-process-injection

#redteam #maldev

Пожалуй добавлю к другим сканерам памяти процессов))

Soft: https://github.com/RWXstoned/GimmeShelter

Blog: https://rwxstoned.github.io/2024-12-06-GimmeShelter/

Что проверяет, судя по описанию:
* есть ли сборка dotNet
* вероятные DLL hijacking/sideloading
* использует ли процесс wininet.dll или winhttp.dll
* установлен ли Control Flow Guard
* секции и частную память с разрешениями RWX

Да, для более тщательного изучения есть та же Moneta, но почему бы и нет))

#maldev #blueteam

Тут pe-sieve обновился)

#blueteam #maldev

Много же кто знает про софт, вроде DefenderCheck, который позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу)

Вот еще одна альтернатива, написанная на golang:

https://github.com/gatariee/gocheck

#av #maldev

Довольно интересная статья про более скрытное выполнении CLR сборок (в том числе C# утилит) в памяти с обходом AMSI и без патчей либы в памяти.

https://securityintelligence.com/x-force/being-a-good-clr-host-modernizing-offensive-net-tradecraft/

#redteam #bypass #maldev

Вспомним про малварь Python в Windows

https://trustedsec.com/blog/operating-inside-the-interpreted-offensive-python

P.S. статья достаточно подробная, кто не вникал, советую)

#pentest #redteam #bypass #maldev

Новый вариант метода Thread Hijacking для инъекции в процессы

https://research.checkpoint.com/2025/waiting-thread-hijacking/

#redteam #maldev #bypass

Control Flow Hijacking via Data Pointers. Вариант инъекции шеллкода в процессы.

Blog: https://www.legacyy.xyz/defenseevasion/windows/2025/04/16/control-flow-hijacking-via-data-pointers.html

Очень хорошая работа👍 Интересно тут то, что помимо публикации PoC, 0xLegacyy подробно описал все этапы разработки, начиная от идеи, и заканчивая рабочим PoC. Туда же входит и написание своей заглушки для шеллкода.

P.S. обещал в скором времени опубликовать рабочий BOF))

UPD. Вот и BOF: https://github.com/iilegacyyii/DataInject-BOF

#pentest #redteam #maldev #bypass

Большой сборник блог/PoC методов инъекции в процессы для Windows и Linux

https://github.com/itaymigdal/awesome-injection

Думаю, он еще будет активно пополняться)

#pentest #redteam #maldev