Ralf Hacker Channel
26.7K subscribers
407 photos
16 videos
503 files
487 links
Download Telegram
И ещё с DefCon'a:

https://github.com/wavestone-cdt/EDRSandblast/tree/DefCon30Release

EDR bypass:
* Kernel callbacks removal;
* Deactivation of the ETW TI provider;
* Uerland hooking bypass;

+ RunAsPPL bypass;
+ Credential Guard bypass;

#redteam #maldev #bypass
Только опубликовано крутое исследование по обходу методов анализа EDR на основе трассировки стека

https://0xdarkvortex.dev/proxying-dll-loads-for-hiding-etwti-stack-tracing/

#redteam #maldev
Кому интересно погрузиться в обнаружение аномалий на хосте вот описание одной из самых действенных техник. По стеку вызовов действительно можно определить нагрузки большинства популярных фреймворков)

https://www.elastic.co/security-labs/peeling-back-the-curtain-with-call-stacks

#redteam #blueteam #maldev
Если кто-то не совсем разобрался с техникой DLL Hijacking, или может совсем не в курсе, что это такое, советую данный материал. Очень хорошая работа!

https://elliotonsecurity.com/perfect-dll-hijacking/

So today, we're doing 100% original research reverse engineering the Windows library loader to not just cleanly workaround Loader Lock but, in the end, disable it outright. Plus, coming up with some stable mitigation & detection mechanisms defenders can use to help guard against DLL hijacking.

#maldev #redteam
Сравнение средств защиты на сентябрь 2023. Full в PDF

#av #redteam #maldev
Please open Telegram to view this post
VIEW IN TELEGRAM
От имени любого пользователя можно аварийно завершить службу журнала событий Windows.

https://github.com/floesen/EventLogCrasher

#redteam #bypass #maldev
Список DLL, которые использует группа Lazarus:

Missing DLL:
spoolsv.exe ➡️ ualapi.dll

Side-loaded:
mobsync.exe ➡️ propsys.dll
MDEServer.exe ➡️ winmde.dll
ComcastVNC.exe ➡️ version.dll
colorcpl.exe ➡️ colorui.dll
presentationhost.exe ➡️ mscoree.dll
CameraSettingsUIHost.exe ➡️ DUI70.dll
wsmprovhost.exe ➡️ mi.dll
SgrmLpac.exe ➡️ winhttp.dll
TieringEngineService.exe ➡️ ESENT.dll
WmiApSrv.exe ➡️ wbemcomn.dll
dfrgui.exe ➡️ SXSHARED.dll
SyncHost.exe ➡️ WinSync.dll
wmiprvse.exe ➡️ ncobjapi.dll
wmiprvse.exe ➡️ wbem\sspicli.dll
wmiprvse.exe ➡️ wbem\wmiclnt.dll
svchost.exe(IKEEXT) ➡️ wlbsctrl.dll

#apt #redteam #dllhijack #maldev
@Michaelzhm прислал статейку) Нового ничего нет, но если кто не знал про данную технику из категории Blind EDR, то вам понравится... Достигается путём изменения значения альтитуды минифильтра и перекрытия коллбэков EDR.

https://tierzerosecurity.co.nz/2024/03/27/blind-edr.html

#bypass #evasion #edr #redteam #maldev
Forwarded from Threat Hunt
#maldev #redteam

Инструмент для имитации поведения AV/EDR. Утилита позволяет оттачивать навыки обхода средств защиты при создании своих загрузчиков.

1. Собираем проект ./compile.sh
2. Создаём файл ioc.json с паттернами шелл-кода
3. Запускаем инструмент, указываем идентификатор вредоносного процесса: .\CrimsonEDRPanel.exe -d C:\Temp\CrimsonEDR.dll -p 1234

https://github.com/Helixo32/CrimsonEDR
Please open Telegram to view this post
VIEW IN TELEGRAM