Мануал/Книга BYPASS Microsoft Defender Cloud

secidiot · 03.04.2024

Простейший но малоизвестный метод детекта песочницы и эмуля дефендера.
Последняя версия
Service Version: 4.18.24020.7
Engine Version: 1.1.24030.4
AntiSpyware Signature Version: 1.409.12.0
AntiVirus Signature Version: 1.409.12.0

У вас должно быть более 100 реакций для просмотра скрытого контента.

C++:

//MpReportEven и тд...
if (GetProcAddress(GetModuleHandleW(L"kernel32.dll"), "MpVmp32Entry") != 0) {
    printf("DEFENDER SANDBOX DETECTED");
    return TRUE;
}

P.S. Ну и в лучших традициях малваре кодинга можно использовать кастомные GetProcAddress, GetModuleHandleW с поиском по хэшу

Russian_Coder · 04.04.2024

Дайте личный )

Stupor · 04.04.2024

Inside The Lab - HarfangLab

harfanglab.io

https://i.blackhat.com/us-18/Thu-August-9/us-18-Bulazel-Windows-Offender-Reverse-Engineering-Windows-Defenders-Antivirus-Emulator.pdf

Kernel32dll · 04.04.2024

Kernel32dll · 05.04.2024

Мануал/Книга BYPASS Microsoft Defender Cloud

secidiot

Threat Actor

Russian_Coder

(L2) cache

Stupor

system level

Inside The Lab - HarfangLab

Kernel32dll

(L3) cache

Kernel32dll

(L3) cache