Всех приветствую!
В процессе изучения реакции Защитника Win10 и KES 11 на stager'ы открытого проекта Powershell Empire, который добавили в дистрибутив Kali весной 2022 года, обнаружил интересную особенность.
Версии с kali-linux-2022.3 имеют на борту империю, которая генерит не видимые для KES11 загрузчики launcher.bat на powershell.
При этом не требуется включения методов bypass от сообщества или обфускации через Invoke.
Версии kali до 2022.3 создавали шеллы раза в три больше по объему, которые детектились обычной статикой, а при обфускации или криптовании обнаруживались на динамике. Проект Empire развивается и для меня загадка, как KES 11 с обновленной базой на 01.2023 не видит launcher созданный с коробки и с отключенными методами обхода.
AMSI Win детектит Powershell код, но уже после прохода Защитника. Так что дело за малым. Буду рад советам по актуальным методам обхода AMSI. Патчинг amsi.dll и отключение пробовал.
В процессе изучения реакции Защитника Win10 и KES 11 на stager'ы открытого проекта Powershell Empire, который добавили в дистрибутив Kali весной 2022 года, обнаружил интересную особенность.
Версии с kali-linux-2022.3 имеют на борту империю, которая генерит не видимые для KES11 загрузчики launcher.bat на powershell.
При этом не требуется включения методов bypass от сообщества или обфускации через Invoke.
Версии kali до 2022.3 создавали шеллы раза в три больше по объему, которые детектились обычной статикой, а при обфускации или криптовании обнаруживались на динамике. Проект Empire развивается и для меня загадка, как KES 11 с обновленной базой на 01.2023 не видит launcher созданный с коробки и с отключенными методами обхода.
AMSI Win детектит Powershell код, но уже после прохода Защитника. Так что дело за малым. Буду рад советам по актуальным методам обхода AMSI. Патчинг amsi.dll и отключение пробовал.