免杀!绕过EDR隐秘执行shellcode

admin
admin
admin
103301
文章
87
评论
2023年5月15日01:14:07评论39 views字数 944阅读3分8秒阅读模式

声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧设为星标”,否则可能看不到了


工具介绍

Freeze.rs 是一个有效载荷创建工具,用于绕过 EDR 安全控制以隐秘方式执行 shellcode。Freeze.rs 利用多种技术,不仅可以删除 Userland EDR 挂钩,还可以以绕过其他端点监控控件的方式执行 shellcode。


创建暂停进程

创建进程时,Ntdll.dll 是第一个加载的 DLL;这发生在加载任何 EDR DLL 之前。这意味着在加载 EDR 并开始挂钩和修改系统 DLL 的程序集之前会有一点延迟。查看 Ntdll.dll 中的 Windows 系统调用,我们可以看到还没有任何东西被挂钩。

如果我们创建一个处于挂起状态(及时冻结的进程)的进程,我们可以看到除了 Ntdll.dll 之外没有其他 DLL 被加载。您还可以看到没有加载任何 EDR DLL,这意味着位于 Ntdll.dll 中的系统调用未被修改。

免杀!绕过EDR隐秘执行shellcode

工具使用

执行以下命令安装好rust环境,然后CS或MSF生成一个raw shellcode,最后用Freeze.rs进行免杀即可。
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
免杀!绕过EDR隐秘执行shellcode


免杀效果

免杀!绕过EDR隐秘执行shellcode

免杀!绕过EDR隐秘执行shellcode


下载地址

点击下方名片进入公众号

回复关键字【230508】获取下载链接


关注公众号回复“1208”可以领取个人常用高效爆破字典,“0221”2020年酒仙桥文章打包,“1212”杀软对比源码+数据源,“0421”Windows提权工具包。


往期推荐工具

渗透测试常用的数据库综合利用工具

RequestTemplate红队内网渗透工具

Railgun - 一款GUI界面的渗透工具

GoBypass - Golang免杀生成工具

ByPassBehinder冰蝎WebShell免杀工具

SweetBabyScan内网资产探测漏扫工具

掩日 - 适用于红队的综合免杀工具

AuxTools浮鱼渗透辅助工具箱V1.0

POCbomber红队快速打点漏洞检测工具

原文始发于微信公众号(Hack分享吧):免杀!绕过EDR隐秘执行shellcode

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月15日01:14:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   免杀!绕过EDR隐秘执行shellcodehttp://cn-sec.com/archives/1716464.html

发表评论

匿名网友 填写信息