Ralf Hacker Channel

Наткнулся на просторах) хорошая презентация про уклонение от обнаружения

#redteam #pentest #malware #evasion

👍1

27.3K viewsRalf Hacker, 10:22

Классная инструкция, как построить инфраструктуру C2 на Azure

https://0xdarkvortex.dev/c2-infra-on-azure/

#redteam #evasion

🔥14👍5

16.6K viewsRalf Hacker, 19:47

Ralf Hacker Channel

В ресерче описана техника инъекции в процессы, которая позволяет обходить некоторые EDR (без создания удалённого потока).

Ресерч: https://www.riskinsight-wavestone.com/en/2023/10/process-injection-using-ntsetinformationprocess/

PoC: https://github.com/OtterHacker/SetProcessInjection

#pentest #redteam #evasion #bypass #maldev

RiskInsight

Process Injection using NtSetInformationProcess - RiskInsight

Process injection is a family of malware development techniques allowing an attacker to execute a malicious payload into legitimate addressable memory space of a legitimate process. These techniques are interesting because the malicious payload is executed…

🔥20👍4

17.2K viewsRalf Hacker, 19:15

Ralf Hacker Channel

Если кто хочет потренироваться в обходе различных техник детекта, частично применяемых в EDR, то вот хорошее средство)

https://github.com/Xacone/BestEdrOfTheMarket

Defensive Techniques ⚔️
* Multi-Levels API Hooking
* SSN Hooking/Crushing
* IAT Hooking
* Shellcode Injection Detection
* Reflective Module Loading Detection
* Call Stack Monitoring

In progress:
* Heap Monitoring
* ROP Mitigation
* AMSI Patching Mitigation
* ETW Patching Mitigation

#evasion #edr #git #redteam #blueteam

GitHub

GitHub - Xacone/BestEdrOfTheMarket: EDR Lab for Experimentation Purposes

EDR Lab for Experimentation Purposes. Contribute to Xacone/BestEdrOfTheMarket development by creating an account on GitHub.

🔥33👍8🥰3😁1

20.5K viewsRalf Hacker, 07:12

Ralf Hacker Channel

Рекомендую блог тем, кому интересен малдев, да и просто для понимания работы той или иной техники уклонения. В использовании VEH ничего нового нет, но Daniel Feichter очень подробно разбирает использование сисколов посредством глобального обработчика исключений.

https://redops.at/en/blog/syscalls-via-vectored-exception-handling

#malware #evasion #redteam

RedOps - English

Syscalls via Vectored Exception Handling - RedOps

🔥23👍9

24K viewsRalf Hacker, 20:31

Ralf Hacker Channel

EvadingEDR.pdf

13.4 MB

#redteam #pentest #evasion #bypass

🔥52👍14

22.5K viewsRalf Hacker, 11:46

Ralf Hacker Channel

Аналог GetProcAddress, но написан на ассемблере. Гуд...

https://github.com/WKL-Sec/FuncAddressPro

#redteam #maldev #evasion

GitHub

GitHub - WKL-Sec/FuncAddressPro: A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative…

A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative to GetProcAddress. - WKL-Sec/FuncAddressPro

🔥15

18.3K viewsRalf Hacker, 21:49

Ralf Hacker Channel

@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.

https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html

#bypass #evasion #edr #redteam #maldev

Tier Zero Security

Information Security Services. Offensive Security, Penetration Testing, Mobile and Application, Purple Team, Red Team

🔥13👍4🤯4

17.3K viewsRalf Hacker, 15:08

Ralf Hacker Channel

Scriptblock Smuggling... Или как прятать скрипт Powershell, чтобы он не мелькал в логах, и обходить AMSI без исправлений в памяти (патчей)

https://bc-security.org/scriptblock-smuggling/

#bypass #redteam #amsi #evasion

🔥46👍4🤔2😁1

25.5K viewsRalf Hacker, 21:45

Ralf Hacker Channel

Маленький мануал по отключению агентов EDR

https://www.3nailsinfosec.com/post/edrprison-borrow-a-legitimate-driver-to-mute-edr-agent

#evasion #redteam #av

3NailsInfoSec

EDRPrison: Borrow a Legitimate Driver to Mute EDR Agent

Explore techniques for evading EDR products, including exploiting detection oversights and using tools like mitmproxy and EDRSilencer.

👍19🔥7

25.6K viewsRalf Hacker, 06:52

Ralf Hacker Channel

Питонячий скрипт для работы с реестром через WMI StdRegProv

https://github.com/0xthirteen/reg_snake

#evasion #pentest #redteam #lateral

GitHub

GitHub - 0xthirteen/reg_snake: Python tool to interact with WMI StdRegProv

Python tool to interact with WMI StdRegProv. Contribute to 0xthirteen/reg_snake development by creating an account on GitHub.

50🔥18👍8

17.4K viewsRalf Hacker, 17:27

Ralf Hacker Channel

Reads blacklist.txt and blocks dlls from loading with option to unblock subsequently. Patches LdrLoadDll in local/remote process to return dll not found.

https://github.com/cybersectroll/TrollBlacklistDLL

#pentest #redteam #av #evasion

👍10🤔9🔥5😁2😱1

11.3K viewsRalf Hacker, 06:31

About

Blog

Apps

Platform