edr - 第 9 | CN-SEC 中文网

安全文章

堆栈欺骗和内存扫描绕过

在这之前，我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV（反病毒软件），但问题来了，除了这类检测手段之外，还有基于堆栈检测的EDR，特别是最近一...

10月31日60 views评论

阅读全文

安全开发

一种几乎绕过所有EDR的shellcode加载器

摘要该程序代码使用C#编写,使用特定的Windows API函数组合绕过EDR和防病毒软件, 能够将Payload安全注入到内存而不会被检测到,从而通过反向Shell建立远程连接。代码基于Windo...

10月30日30 views评论

阅读全文

安全新闻

深度研究APT组织Strom0978的高级注入技术StepBear

简介在2024-04-23的时候,qax的威胁情报团队披露了一个史无前例的攻击手法:《EDR的梦魇：Storm-0978使用新型内核注入技术“Step Bear”》https://ti.qianxin...

10月28日15 views评论

阅读全文

安全职场

安全的岗位薪资的构成

1. 持续的事件压力和实时响应网络安全团队经常处于待命状态，因为勒索软件攻击或数据泄露等事件需要立即引起注意。高级持续性威胁 (APT) 也可能几个月都无法被发现，需要分析师仔细梳理日志以识别渗透点，...

10月25日29 views评论

阅读全文

安全新闻

威胁 Windows 和 Linux 系统的新型跨平台勒索软件：Cicada3301

近年来，网络犯罪世界出现了新的、日益复杂的威胁，能够影响广泛的目标。这一领域最令人担忧的新功能之一是Cicada3301勒索软件，最近由几位网络安全专家进行了分析。他们有机会采访了这一危险威胁背后的勒...

10月24日39 views评论

阅读全文

安全新闻

Red Team 利用 EDRSilencer 工具绕过安全工具进行攻击

在恶意攻击事件中，我们观察到一种名为 EDRSilencer 的红队操作工具，它试图识别安全工具并将其警报静音到管理控制台。网络安全公司趋势科技的研究人员表示，攻击者正试图将 EDRSilencer ...

10月24日18 views评论

阅读全文

安全漏洞

深信服EDR远程命令执行 PoC

漏洞复现 poc： /tool/log/c.php?strip_slashes=system&host=id 漏洞证明：文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。原文...

10月23日49 views评论

阅读全文

安全文章

利用 Havoc C2 和 Microsoft EDR 进行横向移动

横向移动对于红队的任何交战都极为重要。获得初始外壳固然很好，但如果无法离开箱子，那么你可能会陷入困境。加上微软的 EDR，事情就变得复杂了一点。虽然还有其他解决方案（CrowdStrike、Elast...

10月23日29 views评论

阅读全文

安全文章

Regasm白名单执行Ladon

白加黑免杀白加黑一般是木马或病毒利用白名单程序绕过杀软主动防御查杀，如CS、MSF、Ghost，还有这几年的新名词C2等。病毒借助那些带数字签名且在杀毒软件白名单内的exe程序去加载自己带有恶意代码如...

10月22日30 views评论

阅读全文

安全工具

一种基于安全大模型的EDR告警研判机器人

0x00 背景企业为防御网络攻击，常常投资于先进的安全产品，如EDR、NDR、WAF等，这些产品往往依靠特定的规则生成告警，提示企业可能存在的网络威胁。但这些告警规则因为缺乏网络安全领域的先验知识，...

10月22日139 views评论

阅读全文

安全文章

从工作站到域控制器，配备 Havoc C2 和 Microsoft EDR

欢迎回来！在此博客文章中，我们将再次面对 Microsoft 的 Defender For Endpoint EDR，看看我们是否可以从低完整性上下文转到域管理员，并在域控制器上远程执行代码！在过去的...

10月22日22 views评论

阅读全文

程序逆向

我有关于免杀的2个概念和3个误区要讲

在红蓝对抗免杀领域有几个误区需要说明，包括2个概念3个误区。什么是加载器？加载器是一种技术，打个比方，核弹，核弹它不是一个导弹，它是一个弹头配一个推进加载器，用什么推进器和弹头决定了它的威力，你用高超...

10月21日34 views评论

阅读全文