⭕️Fileless Remote PE
Loading Fileless Remote PE from URI to memory with argument passing and ETW patching and NTDLL unhooking and No New Thread technique
https://github.com/D1rkMtr/FilelessRemotePE
#evasion #fileless #PE
@securation
کانال آموزش کامپیوتر
@Engineer_Computer
Loading Fileless Remote PE from URI to memory with argument passing and ETW patching and NTDLL unhooking and No New Thread technique
https://github.com/D1rkMtr/FilelessRemotePE
#evasion #fileless #PE
@securation
کانال آموزش کامپیوتر
@Engineer_Computer
👍1
#Censorship #Evasion #Strategies
راه های رسیدن به خدا زیاد است...
https://www.usenix.org/system/files/sec22-harrity.pdf
کانال آموزش کامپیوتر
@Engineer_Computer
راه های رسیدن به خدا زیاد است...
https://www.usenix.org/system/files/sec22-harrity.pdf
کانال آموزش کامپیوتر
@Engineer_Computer
⭕️ ابزاری برای تمرین بایپس AV و EDR ها نوشته شده که میتوان EDR ای در سطح user mode آن را محسوب کرد.
این ابزار ها عمدتاً مبتنی بر تجزیه و تحلیل پویا از وضعیت فرآیند هدف (حافظه، فراخوانی های API و غیره) هستن که در این نوع با تکنیک های زیر برخورد داریم:
Multi-Levels API Hooking
SSN Hooking/Crushing
IAT Hooking
Shellcode Injection Detection
Reflective Module Loading Detection
Call Stack Monitoring
البته تکنیک های زیر هم در حال اضافه شدن است:
Heap Monitoring
ROP Mitigation
AMSI Patching Mitigation
ETW Patching Mitigation
https://github.com/Xacone/BestEdrOfTheMarket
#RedTeam #Evasion
@Engineer_Computer
این ابزار ها عمدتاً مبتنی بر تجزیه و تحلیل پویا از وضعیت فرآیند هدف (حافظه، فراخوانی های API و غیره) هستن که در این نوع با تکنیک های زیر برخورد داریم:
Multi-Levels API Hooking
SSN Hooking/Crushing
IAT Hooking
Shellcode Injection Detection
Reflective Module Loading Detection
Call Stack Monitoring
البته تکنیک های زیر هم در حال اضافه شدن است:
Heap Monitoring
ROP Mitigation
AMSI Patching Mitigation
ETW Patching Mitigation
https://github.com/Xacone/BestEdrOfTheMarket
#RedTeam #Evasion
@Engineer_Computer
GitHub
GitHub - Xacone/BestEdrOfTheMarket: EDR Lab for Experimentation Purposes
EDR Lab for Experimentation Purposes. Contribute to Xacone/BestEdrOfTheMarket development by creating an account on GitHub.
⭕️ برای خودکار کردن فرایند DLL Sideloading ابزاری توسعه داده شده که از تکنیک های مختلفی استفاده میکند.
از جمله تکنیک ها و ویژگی های استفاده شده در این ابزار میتوان مثال زد:
#RedTeam #Evasion
@Engineer_Computer
از جمله تکنیک ها و ویژگی های استفاده شده در این ابزار میتوان مثال زد:
Reformatted Structure
Polymorphic Code Integration
SysWhispers 3 Integration
AES Encryption
Early Bird Injection
Module Stomping
#RedTeam #Evasion
@Engineer_Computer
GitHub
GitHub - georgesotiriadis/Chimera: Automated DLL Sideloading Tool With EDR Evasion Capabilities
Automated DLL Sideloading Tool With EDR Evasion Capabilities - georgesotiriadis/Chimera
⭕️ اسکریپتی توسعه داده شده است که از ابزارهای توسعه داده قبلی مانند EDRSilencer و FireBlock بهره برده است. هدف اصلی این اسکریپت، شناسایی فایل های اجرایی مختلف است که با استفاده از پلتفرم فیلترینگ ویندوز (WFP) غیر فعال شده اند. برای دستیابی به این هدف، از ماژول NtObjectManager در اسکریپت استفاده شده است.
#RedTeam #Evasion
@Engineer_Computer
Detection approach
There is no native way to list and interact with WFP. To do that we need to use the NtObjectManager module.
With the help of NtObjectManager we will be able to list all filters and the approach will be:
Create a list with the executables you want to check
Listed filters that block connections
Filter that list by the executables provided
#RedTeam #Evasion
@Engineer_Computer
GitHub
GitHub - amjcyber/EDRNoiseMaker: Detect WFP filters blocking EDR communications
Detect WFP filters blocking EDR communications. Contribute to amjcyber/EDRNoiseMaker development by creating an account on GitHub.
Cobalt Strike Profiles for EDR #Evasion
https://github.com/EvilGreys/Cobalt-Strike-Profiles-for-EDR-Evasion
@Engineer_Computer
https://github.com/EvilGreys/Cobalt-Strike-Profiles-for-EDR-Evasion
@Engineer_Computer
A tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language Mode) and gives you a FullLanguage PowerShell reverse shell. #evasion
https://github.com/Sh3lldon/FullBypass
@Engineer_Computer
https://github.com/Sh3lldon/FullBypass
@Engineer_Computer
GitHub
GitHub - Sh3lldon/FullBypass: A tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language…
A tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language Mode) and gives you a FullLanguage PowerShell reverse shell. - Sh3lldon/FullBypass
⭕️ Loader ای با Golang نوشته شده که توانایی اجرای ShellCode با تکنیک Process hollowing و استفاده از تکنیک های anti-sandbox و anti-analysis و رمزنگاری 3DES در آن را دارد.
برخی ویژگی های این لودر:
#RedTeam #Evasion
@Engineer_Computer
برخی ویژگی های این لودر:
3DES Encryption
Sandbox Evasion
Analysis Evasion
Execution delay
Process Hollowing
Sign to cs and msf
#RedTeam #Evasion
@Engineer_Computer
GitHub
GitHub - TunnelGRE/Percino: Evasive Golang Loader
Evasive Golang Loader. Contribute to TunnelGRE/Percino development by creating an account on GitHub.
👍1
⭕️ کد جدیدی به جهت Dump کردن LSASS توسعه داده شده که قابلیت دور زدن AV و EDR های زیر را دارد:
از جمله ویژگی های این کد میتوان مثال زد:
#RedTeam #Evasion
@Engineer_Computer
Windows Defender
Malwarebytes Anti-Malware
CrowdStrike Falcon EDR (Falcon Complete + OverWatch)
از جمله ویژگی های این کد میتوان مثال زد:
Manually implementing NTAPI operations through indirect system calls
Disabling Breaking telemetry features (i.e ETW)
Polymorphism through compile-time hash generation
Obfuscating API function names and pointers
Duplicating existing LSASS handles instead of opening new ones
Creating offline copies of the LSASS process to perform memory dumps on
Corrupting the MDMP signature of dropped files
Probably other stuff I forgot to mention here
#RedTeam #Evasion
@Engineer_Computer
GitHub
GitHub - Meowmycks/LetMeowIn: A sophisticated, covert Windows-based credential dumper using C++ and MASM x64.
A sophisticated, covert Windows-based credential dumper using C++ and MASM x64. - Meowmycks/LetMeowIn
👍1