Как двигаться под ав с паролем или веб панелью?

[Mkatzzzz666]

GitHub - anonymous300502/Nuke-AMSI: NukeAMSI is a powerful tool designed to neutralize the Antimalware Scan Interface (AMSI) in Windows environments.

NukeAMSI is a powerful tool designed to neutralize the Antimalware Scan Interface (AMSI) in Windows environments. - anonymous300502/Nuke-AMSI

github.com

Протести. может поможет.

firewall.

Вот еще

GitHub - Offensive-Panda/LsassReflectDumping: This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to

This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callb...

github.com

alert.

https://github.com/wolfcod/lsassdump - вот ещё нашёл, попробуй, может не удалит

alert.

(что странно, как я понял)

Играет на руку тем,что ты можешь добавить папку в исключение без каких-либо уведомлений и запускать все кроме c2,для c2 нужно отключить memory scan и без лишних алертов работать.В этом eset гораздо легче чем windef.

 

[kamzzzzz]

Напиши русским языком куда ты хочешь двигатся, если ты ДА - технически, ты уже владелец сети.
Если тебе надо убить АВ, создай тему как убить АВ, а если тебе надо куда то двигатся дальше ДА, например анализ внедоменной инфраструктуры или ты ограничен файрволом впновским, то так и пиши. А то непонятна цель "движения"
Такие АВ как эзет и битдеф спокойно дают делать грязные маневры под алертами, но судя по сообщениям тебя алерты вообще не волнуют, как и реальных админов этой сети.

 

[Mkatzzzz666]

Напиши русским языком куда ты хочешь двигатся

Хочу со всех тачек забрать sys credы,пароли с браузеров в надежде получить nas либо почту от eset.Так же исполнить похожее на logonPasswords.

Если тебе надо убить АВ, создай тему как убить АВ

Хотел прочитать опыт других специалистов(что можно сделать под ав без возможности его отключить) и подметить что-то интересное для себя.

ограничен файрволом впновским

Не впновским,а esetovskim.

Такие АВ как эзет и битдеф спокойно дают делать грязные маневры под алертами

Вот примеры таких маневров интересно почитать.Можешь привести что-то в пример?

но судя по сообщениям тебя алерты вообще не волнуют, как и реальных админов этой сети.

Не волнуют потому-что взял самый плохой таргет чтобы прокачаться по скилам.По сообщению понятно что ты в этом специалист)

 

[kamzzzzz]

Донпапи спокойно работает поверх эзета и битдефендера, на последнем будут алерты
Если не хочешь шуметь ищи активные ПК админов, логинься и вручную снимай нужные пароли с браузеров, учись работать с АД и журналом

 

[johnsherlock]

GitHub - Offensive-Panda/LsassReflectDumping: This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callbacks to

This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callb...

github.com

Rewrite it in java if java is installed on the machine, sign it using a real (leaked) certificate.
if that doesn't work, you should break the functionality in different processes or dll's and break their relationships, use them asynchronously with random delays

 

[johnsherlock]

* Encrypt dump before writing on disk to bypass static detection.
* Exfiltrate on C2 Server


it might be worth to try and remove the dumping feature to disk entirely and test if it throws alert, if no alert, just rewrite the dump function to encrypt the dump and send it to your c2 rather than writing to disk, this is the fastest route. If Allah loves you, that is. But he loves everyone so good luck

 

[DyadyaKepler]

Вот тут достаточно элегантное решение

https://xss.pro/threads/118508/

 

[Mkatzzzz666]

Донпапи спокойно работает поверх эзета и битдефендера

То что работает поверх ав я уяснил.Но будь добр посмотреть мое прошлое сообщение с хайдом "Тачка 1" и "Тачка 2",и то что я написал ниже.

вручную снимай нужные пароли с браузеров

Не знаю как там на твоих таргетах с ярдом ревы),Но на средних таргетах важные тачки отключают в конце рабочего времени.И там точно такие же проблемы,а чтобы запустить тот же браузер или консоль от юзера нужен клир пасс(часто нету,только хэш).

учись работать с АД и журналом

учусь.

Такие АВ как эзет и битдеф спокойно дают делать грязные маневры под алертами

Пример сможешь привести?

Rewrite it in java if java is installed on the machine, sign it using a real (leaked) certificate.
if that doesn't work, you should break the functionality in different processes or dll's and break their relationships, use them asynchronously with random delays

Interesting maneuver, I'll try it, thanks.

* Encrypt dump before writing on disk to bypass static detection.
* Exfiltrate on C2 Server


it might be worth to try and remove the dumping feature to disk entirely and test if it throws alert, if no alert, just rewrite the dump function to encrypt the dump and send it to your c2 rather than writing to disk, this is the fastest route. If Allah loves you, that is. But he loves everyone so good luck

Not my level.

Вот тут достаточно элегантное решение
https://xss.pro/threads/118508/

Спасибо,то что нужно!

 

[Эрмано]

alert.

Грустно

Играет на руку тем,что ты можешь добавить папку в исключение без каких-либо уведомлений и запускать все кроме c2,для c2 нужно отключить memory scan и без лишних алертов работать.В этом eset гораздо легче чем windef.

Понятненько, ну я потом раверну попробую протестить как ниубдь

 

[CopiLeft]

в чем проблема приостановки процессов киллером ав с помощью драйвера? потом глушим убивалку и процессы восстанавливаются. либо берем EDR fucker и удаляем уже и файлы.

 

[Marti71]

в чем проблема приостановки процессов киллером ав с помощью драйвера? потом глушим убивалку и процессы восстанавливаются. либо берем EDR fucker и удаляем уже и файлы.

что за EDR fucker. Это тулза какая то?

 

[CopiLeft]

что за EDR fucker. Это тулза какая то?

ну глянь в гитхабе там exe с драйвером должны быть либо сбилдишь сам
не вижу особых проблем снести любую ав

 

[Marti71]

ну глянь в гитхабе там exe с драйвером должны быть либо сбилдишь сам
не вижу особых проблем снести любую ав

не нашел по твоему названию)

 

[sect adept]

ну глянь в гитхабе там exe с драйвером должны быть либо сбилдишь сам
не вижу особых проблем снести любую ав

А разве едры не палят такие драйвера, которые публичные? Или их как-то можно криптануть? Пробовал одну тулзу с драйвером, едры палили его (именно драйвер сам)

 

[sect adept]

Донпапи спокойно работает поверх эзета и битдефендера, на последнем будут алерты
Если не хочешь шуметь ищи активные ПК админов, логинься и вручную снимай нужные пароли с браузеров, учись работать с АД и журналом

На симантеке тестил донпапи, тоже спокойно залутался

 

[CopiLeft]

А разве едры не палят такие драйвера, которые публичные? Или их как-то можно криптануть? Пробовал одну тулзу с драйвером, едры палили его (именно драйвер сам)

ну какие варианты обхода? кажется всего 2. хотя скорее всего есть еще что то о чем я не знаю.
1) находят пароль и удаляют (редко)
2) убивают, драйвера только один из способов, ну и да паблик естественно палится, это же на 2018+- где к слову какой то PC Hunter, gmer срабатывали 9 из 10 )))

 

[sect adept]

ну какие варианты обхода? кажется всего 2. хотя скорее всего есть еще что то о чем я не знаю.
1) находят пароль и удаляют (редко)
2) убивают, драйвера только один из способов, ну и да паблик естественно палится, это же на 2018+- где к слову какой то PC Hunter, gmer срабатывали 9 из 10 )))

ну PC Hunter x64 закриптовал малость, некоторые АВ его не видят, либо с алертом запускается, но тоже где-то 6-7 из 10 раз

 

[CopiLeft]

ну PC Hunter x64 закриптовал малость, некоторые АВ его не видят, либо с алертом запускается, но тоже где-то 6-7 из 10 раз

ну сентинель, софос, циклон, кроудстрайк все норм АВ его жрут как и 99% паблика)) ты же криптуешь сам ехе, а он дропает из себя драйвер, с ним то ниче не поделаешь уже

 

[bademov]

ну сентинель, софос, циклон, кроудстрайк все норм АВ его жрут как и 99% паблика)) ты же криптуешь сам ехе, а он дропает из себя драйвер, с ним то ниче не поделаешь уже

а драйвер криптонуть нельзя?

 

[bademov]

Кто ты воин???

ганстер)