距离我上次写博文已经有一段时间了。我之前写了这篇文章的一部分,但后来我加入了 Mandiant/Fireeye,担任高级红队顾问,这段经历对我来说很坎坷,因为我一直忙于办公室项目以及我的红队和对手模拟...
修改 CLR.DLL 内存的新 AMSI 绕过技术
New AMSI Bypss Technique Modifying CLR.DLL in Memory 引言 使用的工具 工作原理 研究绕过方法 第一个想法:挂钩方法 第二个想法:破坏 AmsiSe...
绕过 Windows Defender (10 种方法)
介绍在本文中,我将解释 10 种方法/技术,以绕过具有最新 Windows Defender 信息的完全更新的 Windows 系统,以执行不受限制的代码(即权限/ACL 除外)。用于测试的设置如下:...
针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析
安全分析与研究专注于全球恶意软件的分析与研究前言概述 原文首发出处:https://xz.aliyun.com/t/14473先知社区 作者:熊猫正正近日发现一批新的钓鱼攻击活动,黑产团伙直接使用As...
红队技术ScriptBlock 走私:欺骗 PowerShell 安全日志并绕过 AMSI
免责声明:本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,...
Windows AMSI Bypass指北
介绍Windows AMSI(Antimalware Scan Interface)是微软为增强系统安全性引入的一个通用接口,旨在帮助防病毒软件和安全应用程序检测并阻止恶意代码(如脚本、宏、文件等)的...
.NET 程序集混淆技术用于逃避内存扫描
利用基于 .NET 的工具,通过反射方式将程序集加载到内存中,是一种 常见的后开发 TTP多年来,威胁行为者和红队一直在使用 .NET。使用 .NET 具有多种吸引力。首先,.NET 框架预装在 Wi...
极致反沙箱-银狐样本分析
看到有一篇写沙箱的文章,故找到原作者转载一下;背景近期看到一片推送说是发现了一个银狐的新样本,具有很强的反沙箱能力 原文在这里:https://mp.weixin.qq.com/s/htc8ZTbQ2...
OSEP | 免杀高级-上
关于笔记形式和学习方法请看OSEP学习之路 | 开篇本篇是第三部分“免杀高级”技术,主要包括AMSI、uacbypass、applocker以及powershell的CLM模式,笔记基本是按照教材梳理...
通过向量异常处理程序 (VEH) 实现的 Powershell AMSI 绕过技术
通过 VEH 绕过 AMSI 描述: 通过向量异常处理程序 (VEH) 实现的 PowerShell AMSI 绕过技术。此技术不执行汇编指令修补、函数挂钩或导入地址表 (IAT) 修改。 怎么运行的...
新一代免杀版wmiexec用于内网横向
0x01 工具介绍 新一代 wmiexec.py,更多新功能,整体操作仅与端口135(不需要SMB连接)进行横向移动中的AV规避(Windows Defender,火绒,360)。 0x02 主要功能...
绕过AMSI的另一种方式
之前打控制论的时候发过一个过AMSI的一种方式。现在我们来讨论另外一种方式,在这之前我们需要知道什么是AMSI。什么是AMSI?根据微软介绍AMSI是Windows 反恶意软件扫描接口 (AMSI) ...
9