AV\EDR Запуск кода в обход АВ.

[Whisper]

Вводные:
Есть доменный админ.
Есть полный доступ к диску, без проблем пишу в system32.
Могу запустить то что уже присутствует на машине.
Закинуть новый экзешник тоже могу, а вот запустить уже нет, речь о безобидном экзешнике который ничего не делает.
АВ – Каспер.
ОС - Windows Server 2016 Standard 14393

Предположение:
Реагирует он явно на ивент в ядре типа загрузки нтдлл, так что любые альтернативные методы запуска пойдут лесом.

Варианты:
Какие варианты исполнить код кроме хайджека?

 

[DildoFagins]

Реагирует он явно на ивент в ядре типа загрузки нтдлл, так что любые альтернативные методы запуска пойдут лесом.

Запуск неподписанного файла без репутации или скорее всего с отрицательной репутацией засчет облака.

Какие варианты исполнить код кроме хайджека

Отруби AMSI провайдера ему через реестр и запускай бесфайлово нагрузку через powershell или mshta.

 

[Whisper]

Запуск неподписанного файла без репутации или скорее всего с отрицательной репутацией засчет облака.


Отруби AMSI провайдера ему через реестр и запускай бесфайлово нагрузку через powershell или mshta.

А можно какой то примерчик, ссылочку там и тд, я совсем новичек в теме.

 

[Haunt]

Могу запустить то что уже присутствует на машине.

Почему отбрасываешь вариант с rundll32.exe file.dll,EntryPoint? Или принципиально, чтобы именно ехе?

 

[DildoFagins]

А можно какой то примерчик, ссылочку там и тд, я совсем новичек в теме.

AMSI провайдеры - это COM-объекты, нужно найти CLSID Касперского в HKLM\Software\Microsoft\AMSI\Providers. Далее либо удалить прямо в нем ключ, либо похерить его COM-регистрацию в HKLM\Software\Classes (и в соотвествующей Wow64 ветке). Запуск кода бесфайлово поищи, как powershell и mshta с командной строки скрипт запускать. У mshta это будет что-то типа mshta about:<script> или mshta javascript:<script>, а у powershell -encodedcommand <script>, не припомню точно.

 

[DildoFagins]

Почему отбрасываешь вариант с rundll32.exe file.dll,EntryPoint? Или принципиально, чтобы именно ехе?

Потому что в облако улетит, как экзешник так и дллка, так и скрипт на файловой системе. В этом нет существенной разницы. Если один раз исполнить какую-то чушь, то может и прокатит, но долго она там не задержится.

 

[Haunt]

Потому что в облако улетит, как экзешник так и дллка, так и скрипт на файловой системе. В этом нет существенной разницы. Если один раз исполнить какую-то чушь, то может и прокатит, но долго она там не задержится.

Это понятно, задача ведь запустить, а не чтобы в облако не утекло, исхожу из задачи, тем более

речь о безобидном экзешнике который ничего не делает.

 

[Whisper]

Почему отбрасываешь вариант с rundll32.exe file.dll,EntryPoint? Или принципиально, чтобы именно ехе?

Пока не пробовал если честно но уверен что рандлл пасут, по сути рандлл тот же хайджек только явный.

 

[Whisper]

AMSI провайдеры - это COM-объекты, нужно найти CLSID Касперского в HKLM\Software\Microsoft\AMSI\Providers. Далее либо удалить прямо в нем ключ, либо похерить его COM-регистрацию в HKLM\Software\Classes (и в соотвествующей Wow64 ветке). Запуск кода бесфайлово поищи, как powershell и mshta с командной строки скрипт запускать. У mshta это будет что-то типа mshta about:<script> или mshta javascript:<script>, а у powershell -encodedcommand <script>, не припомню точно.

Благодарствую. Поищу.

 

[Whisper]

Че то ниче готового не нарыл. Но концепт я наверное понял. Поправьте меня если ошибаюсь. Суть в том что бы используя, вб или повершелл выполнять вин апи, через это поднять свой шеллкод и выполнить. Так? Я просто обсалютно 0, что в вб что в п-шелл, просто похо представляю какие маневры через них возможны.

 

[DildoFagins]

Суть в том что бы используя, вб или повершелл выполнять вин апи, через это поднять свой шеллкод и выполнить. Так?

С павершелла ты сможешь вызвать winapi, с вбскрипта напрямую - нет, но можно загрузить дотнет сборку через Gadget2JScript и уже в ней все сделать, включая вызов winapi.

 

[Whisper]

А как выполнить шеллкод используя mshta? Я видел примеры как экзешник выполнить, но это не вариант, я и без него могу выполнять что то.

 

[DildoFagins]

А как выполнить шеллкод используя mshta? Я видел примеры как экзешник выполнить, но это не вариант, я и без него могу выполнять что то.

С помощью mshta выполняешь vbscript, тот с помощью gadget2jscript исполняет дотнет сборку, дотнет сборка через winapi выполняет шеллкод.

 

[Whisper]

С помощью mshta выполняешь vbscript, тот с помощью gadget2jscript исполняет дотнет сборку, дотнет сборка через winapi выполняет шеллкод.

Отлично. Благодарю.
Если в курсе подскажите насколько это все палевно?
Я так понимаю на ветке с AMSI, у аверов эвенты висят и если кто то их киляет кроме как панель ав то алярм.

 

[DildoFagins]

Я так понимаю на ветке с AMSI, у аверов эвенты висят и если кто то их киляет кроме как панель ав то алярм.

Надо тестить, последний раз, когда я смотрел, AMSI убивался без каких-то алярмов.

 

[Quake3]

Есть полный доступ к диску, без проблем пишу в system32.

такой вариант не подойдёт? http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/26552/

 

[Whisper]

такой вариант не подойдёт? http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/26552/

Ну так это и есть хайджек.

А я в своем первом меседже написал - Какие варианты исполнить код кроме хайджека?

Ну в любом случае благодарю, что не прошли прошли мимо.

 

[petroglyph]

Варианты:
Какие варианты исполнить код кроме хайджека?

Может неправильно тебя понял,но

LOLBAS

lolbas-project.github.io

Тег execute и там альтернативные методы для запуска кода