[AV/EDR BYPASS] Cascade process injection

secidiot · 08.11.2024

Из статьи: https://www.outflank.nl/blog/2024/1...ndows-process-creation-to-stealthy-injection/
Изменена "приостановка" процесса из CreateProcess функции на Nt-api и убрано выделение напрямую RWX памяти. Для большего обхода ав
Код:

У вас должно быть более 1 реакций для просмотра скрытого контента.

Местный пасс

Exploit.IN Send

Encrypt and send files with a link that automatically expires to ensure your important documents don’t stay online forever.

send.exploit.in

Stupor · 08.11.2024

EDR давно используют нотификаторы (колбэки) в ядре + ELAM (Early Launch Anti-Malware) вся возня в юзермоде - не актуальна.

xChimera · 12.11.2024

Stupor сказал(а):

EDR давно используют нотификаторы (колбэки) в ядре + ELAM (Early Launch Anti-Malware) вся возня в юзермоде - не актуальна.

Но тем не менее, обойти их можно, в том числе при помощи таких базовых трюков

[AV/EDR BYPASS] Cascade process injection

secidiot

Threat Actor

Exploit.IN Send

Stupor

system level

xChimera

Malware...