Ищу крипт кобы под едр.
софос фалькон
от 100$
софос фалькон
от 100$
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Bypass EDR
- Автор темы cppjunior
- Дата начала
Такие услуги только под таргет от 500 за билд, но если кому нужна помощь то делюсь бесплатно опытом полученным на практике:
Правильная настройка кобы по конфигу (sleep mask, c2 под клауд)
Инжект шелла в самого себя, работа с памятью через индирект сисколлы RW -> RX (по стандарту, уже баян, но прокатывает), запуск потока шелла вот тут найдешь
Шеллкод вообще без разницы где хранить, главное что б энтропия была не выше 8. Если выше 8 то в ресы закинь. Шелл зашифрованный разумеется, по алгоритму без разницы главное не одно байтный xor. Если какой то кастомный шеллкод то делай через пончик только без обхода amsi/etw а то получишь такое
Обязательно добавь импорты а то на стандратный crt лиьы и импорт он сразу же кидает статик детекс Generic ML
Обход сэндбоксов и эмулей уже сам ищи, такое сливать не буду, а то сейчас с этим у всех сейчас очень туго и билды очень быстро умирают после попадения в песочницу.
По итогу получишь чистейший файл в рантайме который будет жить очень долго.
Под корп трафф для получения доступов не лей сразу на крипт, используй лодырь, ну по крайней мере мы так делаем. Билды будут жить намного долльше.
Правильная настройка кобы по конфигу (sleep mask, c2 под клауд)
Инжект шелла в самого себя, работа с памятью через индирект сисколлы RW -> RX (по стандарту, уже баян, но прокатывает), запуск потока шелла вот тут найдешь
Скрытый контент для пользователей: .
Обязательно добавь импорты а то на стандратный crt лиьы и импорт он сразу же кидает статик детекс Generic ML
По итогу получишь чистейший файл в рантайме который будет жить очень долго.
Бро, а подскажи пж, в чем прикол indirect сисколлов? Типа чтобы адрес возврата вел в нтдлл, или как?
Не только, но и для статик детекта что б не было syscall/sysenter инструкции, едр триггерится, по крайней мере у нас, на это. Тут полное объяснение.
