We see a lot of threat actors in our Incident Response cases who disable or tamper with the local AV.
The website https://privacy.sexy has a copy & paste script to turn off most of Defenders features. [1] How many of these modifications (or deactivations) will trigger an alert in your environment?
@DebugPrivilege has written an excellent article about the various event logs Windows Defenders creates, in which event. [2]
Run the commands on a test system, and look for gaps in your monitoring
[1] https://privacy.sexy
[2] https://m365internals.com/2021/07/05/why-are-windows-defender-av-logs-so-important-and-how-to-monitor-them-with-azure-sentinel/
credit : @malmoeb
#AV ,
———
@islemolecule_source
The website https://privacy.sexy has a copy & paste script to turn off most of Defenders features. [1] How many of these modifications (or deactivations) will trigger an alert in your environment?
@DebugPrivilege has written an excellent article about the various event logs Windows Defenders creates, in which event. [2]
Run the commands on a test system, and look for gaps in your monitoring
[1] https://privacy.sexy
[2] https://m365internals.com/2021/07/05/why-are-windows-defender-av-logs-so-important-and-how-to-monitor-them-with-azure-sentinel/
credit : @malmoeb
#AV ,
———
@islemolecule_source
Forwarded from Zer0Day Lab
Please open Telegram to view this post
VIEW IN TELEGRAM
A Trip Down Memory Lane
Antivirus evasion has quickly become one of the most overwritten topics, with endless articles on writing shellcode loaders and other evasive stageless droppers.
https://gatari.dev/posts/a-trip-down-memory-lane/
credit : @gatariee
#AV , #red_team
Antivirus evasion has quickly become one of the most overwritten topics, with endless articles on writing shellcode loaders and other evasive stageless droppers.
https://gatari.dev/posts/a-trip-down-memory-lane/
credit : @gatariee
#AV , #red_team
Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/#storing-payloads-in-registry
#AV , #GuptiMiner
https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/#storing-payloads-in-registry
#AV , #GuptiMiner
👍2
SoheilSec :
توسعه بدافزار C2
توسعه بدافزار یکی از مهارتهایی است که برای شبیه سازی حملات APT بسیار مهم و کاربردی است
طبق MITRE attack و cyber kill chain یکی مراحل C2 است.
https://attack.mitre.org/tactics/TA0011
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
برای توسعه بدافزار ابتدا نیازمند یادگیری یک زبان برنامه نویسی هستید، زبانی نیاز دارید که بتوانید توسط آن با win32 API کار کنید
زبان های پیشنهادی
c++
python
rust
کتاب ها:
https://t.iss.one/Peneter_Media/451
https://t.iss.one/Peneter_Media/452
https://t.iss.one/Peneter_Media/453
https://t.iss.one/Peneter_Media/454
دوره های توسعه بدافزار:
https://institute.sektor7.net/red-team-operator-malware-development-essentials
https://institute.sektor7.net/rto-maldev-intermediate
https://maldevacademy.com/
https://www.udemy.com/course/offensive-rust/
https://www.udemy.com/course/offensive-csharp/
قدم بدی نیازمند یادگیری win32 API هستید تا بتوانید
Process Manipulation, Memory Manipulation, Networking, DLL Injection
همچنین انواع تکنیک های injection یاد بگیرید:
DLL Injection, Process Hollowing, Reflective DLL Injection, Thread Injection, AtomBombing, APC Injection
لینک زیر ببینید:
https://github.com/RedTeamOperations/Advanced-Process-Injection-Workshop
c2 نیازمند یک protocol communication هست
http/https, DNS, ICMP
نیازمند یادگیری کار با Encryption
AES, XOR, RC4, RSA, ECC, ChaCha20
منابع توسعه بدافزار c2
https://pre.empt.blog/
https://shogunlab.gitbook.io/building-c2-implants-in-cpp-a-primer/
https://0xrick.github.io/misc/c2/
https://github.com/CodeXTF2/maldev-links
https://0xrick.github.io/misc/c2/
https://captmeelo.com/
https://www.vx-underground.org/#E:/root
بهترین c2 ها:
https://www.thec2matrix.com/
https://github.com/EmpireProject/Empire
https://github.com/HavocFramework/Havoc
https://github.com/cobbr/Covenant
https://github.com/Ne0nd0g/merlin
https://github.com/its-a-feature/Mythic
https://github.com/byt3bl33d3r/SILENTTRINITY
https://github.com/nettitude/PoshC2
https://github.com/BishopFox/sliver
https://github.com/rapid7/metasploit-framework
تکنیک های دور زدن می تونید از بلاگ ها و ریپوهای زیر دنبال کنید
https://github.com/boku7
https://trickster0.github.io/
https://github.com/S4ntiagoP
https://github.com/Cracked5pider
https://casvancooten.com/
https://github.com/chvancooten
https://mr.un1k0d3r.world/
https://und3rf10w.github.io/
https://github.com/waldo-irc
https://www.arashparsa.com/
https://passthehashbrowns.github.io/
https://www.wsast.co.uk/
https://gist.github.com/odzhan
https://modexp.wordpress.com/
https://fool.ish.wtf/
https://github.com/realoriginal
https://suspicious.actor/
https://github.com/moloch–
https://github.com/am0nsec
https://amonsec.net/about/
https://github.com/rasta-mouse
https://rastamouse.me/
https://github.com/xpn
https://blog.xpnsec.com/
https://github.com/sneakid
https://www.solomonsklash.io/
https://github.com/kyleavery
بعد از اینکه c2 خودتان را توسعه دهید تازه باید به دنبال دیباگ کردن و همچنین دور زدن Anti Virus و EDR باشید برای اینکار نیازمند تکنیک و ابزار Debugger هستید:
IDA Pro,OllyDbg and x64dbg,WinDbg,Ghidra,Immunity Debugger
https://t.iss.one/Peneter_Media/455
https://t.iss.one/Peneter_Media/456
https://t.iss.one/Peneter_Media/457
https://t.iss.one/Peneter_Media/458
برای دور زدن:
https://t.iss.one/Peneter_Media/444
https://github.com/MrEmpy/Awesome-AV-EDR-XDR-Bypass
https://medium.com/offensive-security-walk-throughs/three-techniques-for-bypassing-edr-3b4101002951
https://s3cur3th1ssh1t.github.io/A-tale-of-EDR-bypass-methods/
https://cydef.ca/blog/av-vs-edr-an-introduction-to-antivirus-bypass/
انتشار مقاله:
https://www.soheilsec.com/توسعه-بدافزار-c2/
سهیل هاشمی
کارشناسی ارشد شبکه | کارشناس ارشد امنیت شبکه
#c2 #malware_dev #AV
توسعه بدافزار C2
توسعه بدافزار یکی از مهارتهایی است که برای شبیه سازی حملات APT بسیار مهم و کاربردی است
طبق MITRE attack و cyber kill chain یکی مراحل C2 است.
https://attack.mitre.org/tactics/TA0011
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
برای توسعه بدافزار ابتدا نیازمند یادگیری یک زبان برنامه نویسی هستید، زبانی نیاز دارید که بتوانید توسط آن با win32 API کار کنید
زبان های پیشنهادی
c++
python
rust
کتاب ها:
https://t.iss.one/Peneter_Media/451
https://t.iss.one/Peneter_Media/452
https://t.iss.one/Peneter_Media/453
https://t.iss.one/Peneter_Media/454
دوره های توسعه بدافزار:
https://institute.sektor7.net/red-team-operator-malware-development-essentials
https://institute.sektor7.net/rto-maldev-intermediate
https://maldevacademy.com/
https://www.udemy.com/course/offensive-rust/
https://www.udemy.com/course/offensive-csharp/
قدم بدی نیازمند یادگیری win32 API هستید تا بتوانید
Process Manipulation, Memory Manipulation, Networking, DLL Injection
همچنین انواع تکنیک های injection یاد بگیرید:
DLL Injection, Process Hollowing, Reflective DLL Injection, Thread Injection, AtomBombing, APC Injection
لینک زیر ببینید:
https://github.com/RedTeamOperations/Advanced-Process-Injection-Workshop
c2 نیازمند یک protocol communication هست
http/https, DNS, ICMP
نیازمند یادگیری کار با Encryption
AES, XOR, RC4, RSA, ECC, ChaCha20
منابع توسعه بدافزار c2
https://pre.empt.blog/
https://shogunlab.gitbook.io/building-c2-implants-in-cpp-a-primer/
https://0xrick.github.io/misc/c2/
https://github.com/CodeXTF2/maldev-links
https://0xrick.github.io/misc/c2/
https://captmeelo.com/
https://www.vx-underground.org/#E:/root
بهترین c2 ها:
https://www.thec2matrix.com/
https://github.com/EmpireProject/Empire
https://github.com/HavocFramework/Havoc
https://github.com/cobbr/Covenant
https://github.com/Ne0nd0g/merlin
https://github.com/its-a-feature/Mythic
https://github.com/byt3bl33d3r/SILENTTRINITY
https://github.com/nettitude/PoshC2
https://github.com/BishopFox/sliver
https://github.com/rapid7/metasploit-framework
تکنیک های دور زدن می تونید از بلاگ ها و ریپوهای زیر دنبال کنید
https://github.com/boku7
https://trickster0.github.io/
https://github.com/S4ntiagoP
https://github.com/Cracked5pider
https://casvancooten.com/
https://github.com/chvancooten
https://mr.un1k0d3r.world/
https://und3rf10w.github.io/
https://github.com/waldo-irc
https://www.arashparsa.com/
https://passthehashbrowns.github.io/
https://www.wsast.co.uk/
https://gist.github.com/odzhan
https://modexp.wordpress.com/
https://fool.ish.wtf/
https://github.com/realoriginal
https://suspicious.actor/
https://github.com/moloch–
https://github.com/am0nsec
https://amonsec.net/about/
https://github.com/rasta-mouse
https://rastamouse.me/
https://github.com/xpn
https://blog.xpnsec.com/
https://github.com/sneakid
https://www.solomonsklash.io/
https://github.com/kyleavery
بعد از اینکه c2 خودتان را توسعه دهید تازه باید به دنبال دیباگ کردن و همچنین دور زدن Anti Virus و EDR باشید برای اینکار نیازمند تکنیک و ابزار Debugger هستید:
IDA Pro,OllyDbg and x64dbg,WinDbg,Ghidra,Immunity Debugger
https://t.iss.one/Peneter_Media/455
https://t.iss.one/Peneter_Media/456
https://t.iss.one/Peneter_Media/457
https://t.iss.one/Peneter_Media/458
برای دور زدن:
https://t.iss.one/Peneter_Media/444
https://github.com/MrEmpy/Awesome-AV-EDR-XDR-Bypass
https://medium.com/offensive-security-walk-throughs/three-techniques-for-bypassing-edr-3b4101002951
https://s3cur3th1ssh1t.github.io/A-tale-of-EDR-bypass-methods/
https://cydef.ca/blog/av-vs-edr-an-introduction-to-antivirus-bypass/
انتشار مقاله:
https://www.soheilsec.com/توسعه-بدافزار-c2/
سهیل هاشمی
کارشناسی ارشد شبکه | کارشناس ارشد امنیت شبکه
#c2 #malware_dev #AV
👏11👍4❤3👎2🫡2🔥1🙏1
Forwarded from APT
This media is not supported in your browser
VIEW IN TELEGRAM
🌀Voidgate
A technique that can be used to bypass AV/EDR memory scanners. This can be used to hide well-known and detected shellcodes by performing on-the-fly decryption of individual encrypted assembly instructions, thus rendering memory scanners useless for that specific memory page.
🔗 Source
https://github.com/vxCrypt0r/Voidgate
#av #edr #evasion #hwbp #cpp
A technique that can be used to bypass AV/EDR memory scanners. This can be used to hide well-known and detected shellcodes by performing on-the-fly decryption of individual encrypted assembly instructions, thus rendering memory scanners useless for that specific memory page.
🔗 Source
https://github.com/vxCrypt0r/Voidgate
#av #edr #evasion #hwbp #cpp
👍4🔥3👾3❤🔥1
Forwarded from OnHex
🔴 احتمالا شندید که میگن آنتی ویروسها از طریق یسری امضا (signatures) اقدام به شناسایی بدافزارها میکنن.
در این ویدیو از hoagie hacks دقیقا توضیح میده که منظور از امضاء چیه و آنتی ویروسهایی مانند Microsoft Defender چطوری از اونا برای شناسایی بدافزارها استفاده میکنن.
برای اینکه اینارو نشون بده، یدونه shellcode injection خیلی ساده در ++C پیاده سازی کرده و اومده امضاهایی که منجر به شناسایی بدافزار در Virus Total میشه رو شناسایی و حذف میکنه.
این ویدیوها قراره بصورت مجموعه ارائه بشه و در قسمتهای بعدی تکنیکهای string/API hashing و metamorphic/polymorphic code رو هم پیاده سازی میکنه.
هدف این ویدیوها، بهبود مهارتهای تیم قرمز و آشنایی و دفاع در تیم های آبی هستش.
#تیم_قرمز #تیم_آبی #آنتی_ویروس #توسعه_بدافزار
#redteam #Blueteam #MalwareDev #AV
🆔 @onhex_ir
➡️ ALL Link
در این ویدیو از hoagie hacks دقیقا توضیح میده که منظور از امضاء چیه و آنتی ویروسهایی مانند Microsoft Defender چطوری از اونا برای شناسایی بدافزارها استفاده میکنن.
برای اینکه اینارو نشون بده، یدونه shellcode injection خیلی ساده در ++C پیاده سازی کرده و اومده امضاهایی که منجر به شناسایی بدافزار در Virus Total میشه رو شناسایی و حذف میکنه.
این ویدیوها قراره بصورت مجموعه ارائه بشه و در قسمتهای بعدی تکنیکهای string/API hashing و metamorphic/polymorphic code رو هم پیاده سازی میکنه.
هدف این ویدیوها، بهبود مهارتهای تیم قرمز و آشنایی و دفاع در تیم های آبی هستش.
#تیم_قرمز #تیم_آبی #آنتی_ویروس #توسعه_بدافزار
#redteam #Blueteam #MalwareDev #AV
🆔 @onhex_ir
➡️ ALL Link
👍5👎4
Forwarded from APT
🛡CreateProcessAsPPL
This is a utility for running processes with Protected Process Light (PPL) protection, enabling bypass of EDR/AV solution defensive mechanisms. It leverages legitimate Windows clipup.exe functionality from System32 to create protected processes that can overwrite antivirus service executable files.
🔗 Source:
https://github.com/2x7EQ13/CreateProcessAsPPL
#av #edr #bypass #ppl
This is a utility for running processes with Protected Process Light (PPL) protection, enabling bypass of EDR/AV solution defensive mechanisms. It leverages legitimate Windows clipup.exe functionality from System32 to create protected processes that can overwrite antivirus service executable files.
🔗 Source:
https://github.com/2x7EQ13/CreateProcessAsPPL
#av #edr #bypass #ppl
❤4
Forwarded from Infosec Fortress (Amir M. Jahangirzad)
BlackSnufkin
CVE-2025-52915: A BYOVD Evolution Story
TL;DR
❤5🔥1🥰1