Малварь как искусство Различные фреймворки для обхода EDR систем


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 055
Репутация
8 161
vt_scan.png


Предлагаю в этой теме выкладывать различные фреймворки для обхода и тестирования EDR систем.

Вот что получилось найти на гитхабе (Более-менее новые).

1)TerraLdr:

Details:​

  • no crt functions imported
  • syscall unhooking using
  • api hashing using Rotr32 hashing algo
  • payload encryption using rc4 - payload is saved in .rsrc
  • process injection - targetting 'SettingSyncHost.exe'
  • ppid spoofing & blockdlls policy using NtCreateUserProcess
  • stealthy remote process injection - chunking
  • using debugging & NtQueueApcThread for payload execution
2)Alaris:

Alaris is a new and sneaky shellcode loader capable of bypassing most EDR systems as of today (02/28/2021). It uses several known TTP’s that help protect the malware and it’s execution flow. Some of these features are:
  • Shellcode Encryption (AES-CBC 256)
  • Direct x86 Syscalls via new
  • Prevents 3rd party (non-Microsoft Signed) DLL’s from hooking or injecting both the parent and child processes.
  • Parent Process ID spoofing
  • Overwrites it’s own shellcode after execution.

Если кто ещё знает накидайте фреймворков.)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 055
Репутация
8 161

q8yas

Уважаемый пользователь
Форумчанин
Регистрация
17.11.2023
Сообщения
46
Репутация
15
hi boss how are yo ?

in this Alaris

how i can use it ? i confused because this project have python builder.py and sln project also this link


not work
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 055
Репутация
8 161
The assembly instructions, as well as video tutorials, can be viewed here:
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 055
Репутация
8 161
Верх Низ