• XSS.stack #1 – первый литературный журнал от юзеров форума

AV\EDR Cobalt strike, как обойти windows defender?

Отслеживать
joseph_salazar сказал(а):
Av block exec?
Тоже самое, раньше интересно было, потом забил. Говорят, что кобальт уже не очень.
У меня получилось каким-то магическим способом добывать сессию, но через несколько секунд она обрывается. А что сейчас в моде?
 
advokat1 сказал(а):
У меня получилось каким-то магическим способом добывать сессию, но через несколько секунд она обрывается. А что сейчас в моде?
1)https://xss.pro/threads/55854/
3)https://xss.pro/threads/53624/
4)https://xss.pro/threads/54418/
Там описывалось в чем дело
 
Take a look on this:

github.com

GitHub - GeorgePatsias/ScareCrow-CobaltStrike: Cobalt Strike script for ScareCrow payloads intergration (EDR/AV evasion)

Cobalt Strike script for ScareCrow payloads intergration (EDR/AV evasion) - GeorgePatsias/ScareCrow-CobaltStrike
github.com
github.com

GitHub - mgeeky/RedWarden: Cobalt Strike C2 Reverse proxy that fends off Blue Teams, AVs, EDRs, scanners through packet inspection and malleable profile correlation

Cobalt Strike C2 Reverse proxy that fends off Blue Teams, AVs, EDRs, scanners through packet inspection and malleable profile correlation - mgeeky/RedWarden
github.com

Maybe does not works everytime, but it will help you!
 
Пожалуйста, обратите внимание, что пользователь заблокирован
joseph_salazar сказал(а):
Av block exec?
Тоже самое, раньше интересно было, потом забил. Говорят, что кобальт уже не очень.
Can you develop what is not enough good in CS ?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
advokat1 сказал(а):
У меня получилось каким-то магическим способом добывать сессию, но через несколько секунд она обрывается. А что сейчас в моде?
снеси его нахрен и все
 
advokat1 сказал(а):
Какими только способами не пытался, не получается обойти защитник windows. Ни обфускация powershell, ни loader'ы с github не помогают.
Если это не первоначальный доступ и у тебя есть какой-то шелл на машине и админ привилегии - ты можешь попробовать выключить AMSI(хукнув вызов amsi.dll, или отключить триггер функции с помощью обфусцированных PS команд, дефендер должен молчать в таком случае.) Либо просто вырубить его, либо добавить какую-то папку в исключения(менее палевный способ), но опять же, имея все вышеперечисленное, а в частности - админ права.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Может есть тут кто поможет с вопросом обфускации нагрузки?
Или все нагрузку кидают на чистые пк с отключеным дефом и без AV?)))
 
BioHazard777 сказал(а):
Может есть тут кто поможет с вопросом обфускации нагрузки?
Или все нагрузку кидают на чистые пк с отключеным дефом и без AV?)))
Основном да на чистые пк, а при рассылки на почту используют крипт, лоадеры, все зависит от APT группы.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх