Part1原理远程白名单加载shellcode是钓鱼攻击的一种常见APT手法,在很多针对APT组织的分析报告中也有体现。母体程序是一个经过编译的可执行程序,诱导用户点击之后,恶意程序会首先会去访问带有...
06月05日43 views评论powershell
shellcode
APT攻防之使用图片暗藏shellcode实现无文件攻击和Edr绕过
06月05日43 views评论powershell
shellcode
06月05日43 views评论powershell
shellcode
再论 BackStab
在2021年6月19日曾经介绍过这个BackStab工具,主要是它能利用合法的驱动来杀掉安全防护程序EDR,因为利用了微软的签名,所以在系统上无所阻挡,这也是...
06月05日19 views评论edr
驱动程序
Zscaler:检测优先的安全措施正在失效
阻止能规避安全措施的新型威胁是网络安全领域的几大挑战之一。这也是2022年全球网络安全支出高达1720亿美元也没挡住攻击继续急剧增长的一个因素。在云工具和复杂附属网络的加持下,攻击者能够快速开发出能规...
06月02日23 views评论恶意软件
零信任
工具分享-Hades - 结合多种规避技术的 Go shellcode 加载
简介: Hades 是一个概念验证加载器,它结合了几种规避技术,旨在绕过现代AV / EDR常用的防御机制。工具展示: 获取工具 https://github.com/f1zm0/had...
05月31日34 views评论edr
shellcode
勒索软件黑客采用BYOVD攻击手法,使用AuKill工具禁用EDR软件
威胁分子如今正在使用一种名为AuKill的以前未正式记录的“防御逃避工具”,该工具旨在通过自带易受攻击的驱动程序(BYOVD)攻击来禁用端点检测和响应(EDR)软件。Sophos的研究人员Andrea...
05月29日35 views评论勒索软件
恶意软件
免杀!一款 AV/EDR/XDR 躲避工具
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大...
05月21日57 views评论edr
xdr
一个新的免杀payload工具包
介绍Freeze.rs是一个有效负载工具包,用于使用挂起的进程绕过EDR,直接使用RUST编写的系统调用,用于绕过EDR安全控制,以秘密的方式执行shellcode。Freeze.rs 利用多种技术不...
05月19日116 views评论edr
shellcode
C2-shellcode 免杀器
众所周知的C2-shellcode(例如Metasploit-,CobaltStrike-,Empire Shellcode等)被AV / EPP / EDR静态标记。这意味着,无论您使用哪种聪明的技...
05月19日72 views评论shellcode
代码
inceptor——一个不错的免杀框架
0. 前言这个免杀框架是今天下午在Github看到的,8月2号新鲜出炉。看简介让人有眼前一亮的感觉(Github上免杀框架非常多,但大部分都是劣质项目)今天推荐的这个项目集成了各种主流的AV/EDR绕...
05月18日162 views评论bypass
edr
免杀!躲避 AV/EPP/EDR 静态检测
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把...
05月16日64 views评论c
shellcode
免杀!绕过EDR隐秘执行shellcode
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。现在只对常读和星标的公众号才展示大图推送,建议大家把H...
05月15日39 views评论edr
shellcode
bypass 行业最优质的EDR
现在当我和我的红队朋友谈及进程注入的话题时,回答通常是“是的……但是……”。因为检测的风险超过了在宿主进程中“寄生”的需要。典型的进程注入技术过于突出,而且注入往往与恶意活动有关。有时,我喜欢培养这种...
05月12日134 views评论bypass
函数
20