如果杀毒软件和 EDR 供应商变得越来越智能,那么红队和渗透测试人员用来保持领先地位的工具也同样如此。Shell3r是这套武器库中最新的武器之一——一款开源、高效的Shellcode 混淆器,旨在攻破...
Python+Meterpreter Shellcode:轻松绕过 Defender(第一部分)
【翻译】Evading Defender With Python And Meterpreter Shellcode Part 1 1. 引言与背景这是系列博客的第一篇,我们将开发并改进一个 Pyth...
EDR 规避:利用硬件断点的新技术 - Blindside
利用硬件断点逃避端点检测和响应 (EDR) 平台及其他控制系统的监控并非新鲜事。威胁行为者和研究人员都曾利用断点注入命令并执行恶意操作。使用 Windows 事件跟踪 (ETW) 和 Windows ...
EDR 分析:利用伪造 DLL、保护页和 VEH 增强检测
简介本文尝试通过调试和逆向工程来分析特定 EDR 的特定功能或检测机制。我的主要目标并非深入研究逆向工程过程的细节,而是深入理解 EDR 中新实现的检测机制的工作原理,探索该机制的功能,并探究其实现的...
免杀-绕过杀软检测新姿势!ArgFuscator利用命令行混淆绕过EDR/AV检测
点击上方蓝字 关注【渗透测试】不迷路📌【前言】 大家好!🤔你有没有想过,那些号称“坚不可摧”的杀毒软件和EDR系统,其实像是个脾气暴躁的保安——看谁都像坏人,但只要你会点“障眼法”,它连...
安全开发: Minifilter通讯(上)
前言我们来总结一下前几章我们干了什么:我们实现了进程监控,能知道进程创建和退出,并且实现文件读写监控,能知道文件的落地和读取.这其实已经成功一半了.因为对于杀毒软件来说,内核知道了这些,剩下的就是想办...
Dirty Vanity:一种新的代码注入与绕过EDR的方法
Dirty Vanity使用了 Windows 未公开的远程 fork API(RtlCreateProcessReflection),来创建一个父进程的克隆进程,并将 shellcode 写入其内存...
【攻防对抗】外网打点代码审计+内网深信服EDR绕过的案例
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.前言 在某次攻防中,目标是某学校但是通过外围打点没有撕开口...
模拟 AV/EDR 的行为,进行恶意软件开发训练
在红队模拟攻击过程中,特别需要提升绕过端点检测和响应(EDR)的技能,这样才能更好地模拟真实的攻击场景,去检验蓝队的防御能力。要是没有有效的手段绕过 EDR,那攻击可就处处受限了。这时候我就发现了一款...
LUMMAC恶意软件V2版变种出现,攻击能力显著增强
5月8日,星期四,您好!中科汇能与您分享信息安全快讯:01Cloudflare 推出多项新功能,简化混合云应用构建安全连接的难题Cloudflare公司日前宣布,推出了 Workers VPC 和 W...
Beacon连上了,人没回来 ——在这场零误报演练里,我们失去的,不止是告警
零、引言 · 写在演练开始前你还记得你第一次参与攻防演练的那年吗?那时候大家都兴奋,觉得能参与“护网”,是技术人的高光时刻。 你在朋友圈晒工牌,晒工位,晒演练开始倒计时的那张大屏。 你相信这是一场国家...
自带安装程序(BYOI):新型 EDR 绕过技术直击 SentinelOne 软肋,已被用于部署 Babuk 勒索软件!
网络安全攻防对抗持续升级,近期一种名为“自带安装程序”(Bring Your Own Installer, BYOI)的新型端点检测与响应(EDR)绕过技术浮出水面,并已被证实在实际攻击中被利用,其目...