Малварь как искусство Различные фреймворки для обхода EDR систем


X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 208
vt_scan.png


Предлагаю в этой теме выкладывать различные фреймворки для обхода и тестирования EDR систем.

Вот что получилось найти на гитхабе (Более-менее новые).

1)TerraLdr:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Details:​

  • no crt functions imported
  • syscall unhooking using
    Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
  • api hashing using Rotr32 hashing algo
  • payload encryption using rc4 - payload is saved in .rsrc
  • process injection - targetting 'SettingSyncHost.exe'
  • ppid spoofing & blockdlls policy using NtCreateUserProcess
  • stealthy remote process injection - chunking
  • using debugging & NtQueueApcThread for payload execution
2)Alaris:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Alaris is a new and sneaky shellcode loader capable of bypassing most EDR systems as of today (02/28/2021). It uses several known TTP’s that help protect the malware and it’s execution flow. Some of these features are:
  • Shellcode Encryption (AES-CBC 256)
  • Direct x86 Syscalls via
    Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
    new
    Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
  • Prevents 3rd party (non-Microsoft Signed) DLL’s from hooking or injecting both the parent and child processes.
  • Parent Process ID spoofing
  • Overwrites it’s own shellcode after execution.

Если кто ещё знает накидайте фреймворков.)
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 208
q8yas

q8yas

Уважаемый пользователь
Форумчанин
Регистрация
17.11.2023
Сообщения
45
Репутация
15
hi boss how are yo ?

in this Alaris

how i can use it ? i confused because this project have python builder.py and sln project also this link

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

not work
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 208
The assembly instructions, as well as video tutorials, can be viewed here:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 208
1705993009147.png


Video...
 
Для ответа нужно войти/зарегистрироваться
Верх Низ