• XSS.stack #1 – первый литературный журнал от юзеров форума

[0day] AV-Kill

В этой теме можно использовать автоматический гарант!

Новая сделка
Статус
Закрыто для дальнейших ответов.
Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
secidiot сказал(а):
Так а что там можно обсуждать, какие там могут быть технические аспекты?) Как пошифрованный байт код поместить в ресурсы или .text/.data секцию, расшифровать и дропнуть на диск, запустить потом этот драйвер код или через NtLoadDriver, получить дескриптор драйвера через CreateFileW и уже с ним взоимодействовать через DeviceIoControl, в бесконечном цикле искать по названию/хэшу имена процессов av/edr и завершать их через DeviceIoControl, ну там еще можно поиграться с многопоточностью и т.
"Напугал ежа голой жопой" шептали фалькон и Ко. Убив процессы CSF Sensor мимик на диск не дропнешь, если он у тебя дропаеться - то этот бабок и стоит, а у какого дравера ты нашел там IOCTL которые жопой наружу торчат не особо интересно, дырявых драйверов как говна за баней - у кого мозг есть их найдут или свои подпишут - цимес в другом.

зы - вангую эти п#дарасы уже пилят как пропатчить загрузчик и будут ребутать хосты почуяв пиздец или еще какой фортель - они вкурсе что мы вкурсе) ну похуй - было бы просто - было бы не интересно. короче challage accepted.
 
Последнее редактирование:
Они давно уже так делают, не патчив загрузчик даже, есть же официальный ELAM и хосты ребутят только в путь.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Stupor сказал(а):
Они давно уже так делают, не патчив загрузчик даже, есть же официальный ELAM и хосты ребутят только в путь.
делают-делают и ты вкурсе что это им не особо помогает. хотя глядя на нынешних работяг плакать хочеться. рукожопы факапят мат только так. недавно видел сетку - все разминировали, ревень 450кк - запустили бинарь, записки кругом и х#й че) почему? потому что канарейки бля) кто не понял тот поймет XD
 
Знаю, что не особо бро, я сам с ними борюсь постоянно ;)
https://xss.pro/threads/84705/#post-691617
через 10 - 11 дней вернусь посмотрим чего нового напридумывают индопендосы)))
 
Stupor сказал(а):
Они давно уже так делают, не патчив загрузчик даже, есть же официальный ELAM и хосты ребутят только в путь.
Ребут можно блокнуть так что только reset =) Без использования дров.
 
Kindred сказал(а):
"Напугал ежа голой жопой" шептали фалькон и Ко. Убив процессы CSF Sensor мимик на диск не дропнешь, если он у тебя дропаеться - то этот бабок и стоит, а у какого дравера ты нашел там IOCTL которые жопой наружу торчат не особо интересно, дырявых драйверов как говна за баней - у кого мозг есть их найдут или свои подпишут - цимес в другом.

зы - вангую эти п#дарасы уже пилят как пропатчить загрузчик и будут ребутать хосты почуяв пиздец или еще какой фортель - они вкурсе что мы вкурсе) ну похуй - было бы просто - было бы не интересно. короче challage accepted.
Stupor сказал(а):
Они давно уже так делают, не патчив загрузчик даже, есть же официальный ELAM и хосты ребутят только в путь.
Только сейчас увидел твой ответ.
Вот тебе конкретный видео пруф, завершение и полное удаление фалькона (CSF Sensor) из системы, запуск мимика (mimikatz) взятого из публичного репозитория гит, его хэш есть в видео, ребут системы и новый запуск мимика. Могу так же показать видос с сентинелом полным удалением из системы, ребутом и запуском любого грязного софта
Так могу пруфануть с любым EDR, от тебя только инсталлер и токен.
ВИДЕО:

Скрытый контент для пользователей: .


PS метод работы совсем не тот что обсуждается в теме. А деф был удален из системы заранее (в первом тесте, для того что б посмотреть как на это отреагирует едр)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Whisper сказал(а):
Ребут можно блокнуть так что только reset =) Без использования дров.
это касется только винды что бежит не на гипервизоре а на метале, с esxi \ proxmox удаленно все ребутнется - тоесть не так - там удаленно и ресет сделают - и блокировать ребут смысла нет - хосты ресетнут - виртуализация в 90% в сети
тоже самое с удален ием запущеного бинарника щас, у авера эрекция сразу же как тиолько видит: бинарника на диске нету а в памяти есть - да еще и RWX - за такое сразу кильнут, + удалять с диска смысл пропал еще и за того что щас почти любая EDR сделает дамп процесса и отошлет бинарь на матернинский корабль.

secidiot на видео нету дампа лсасс, думаю что все дампится конечно, но если все четко почему не показать? респект таким как ты.
 
Последнее редактирование:
Kindred сказал(а):
это касется только винды что бежит не на гипервизоре а на метале, с esxi \ proxmox удаленно все ребутнется - тоесть не так - там удаленно и ресет сделают - и блокировать ребут смысла нет - хосты ресетнут - виртуализация в 90% в сети
тоже самое с удален ием запущеного бинарника щас, у авера эрекция сразу же как тиолько видит: бинарника на диске нету а в памяти есть - да еще и RWX - за такое сразу кильнут, + удалять с диска смысл пропал еще и за того что щас почти любая EDR сделает дамп процесса и отошлет бинарь на матернинский корабль.

secidiot на видео нету дампа лсасс, думаю что все дампится конечно, но если все четко почему не показать? респект таким как ты.
Ну если мимик запускается то почему он мне не даст сделать дамп лсасс? Мимикэтз взял специально самый грязный на вт 60+ детектов. Если б оно не работало то и не дало б мне его даже на диск дропнуть уже не говоря о том что б запустить.
Специально для тебя сделал), там видно что таже машина. Инфу с тестового стенда я вырезал на всякий.
Скрытый контент для пользователей: .
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
secidiot сказал(а):
Ну если мимик запускается то почему он мне не даст сделать дамп лсасс?
ну если фильтр драйвер фалькона жив и другие - то с ядра вынесет он че хочешь.

я бы сделал так - показала что дрова авера не фунционируют и после сам дамп лсасс
также показал бы наличие ласт апдейта EDR и наличие интернета и также показал
бы что тест мод не включен на вм) это не критично все, да и дело твое

почти все кто видел фалькон - знают что весь цимес в том чтоб наебать его драйвера.

ток вот нюансов куча - мне часто пишут - мол все байпаснул самого господа бога, а пофактку говоришь ему малварь дропни на диск -
и оказываеться что ключь EDR то у него уже просрочен - и у тебя я тоже не видел просрочен или нет.

амер не зря не торопиться сделку то закрывать у гаранта - он тот еще жучара. опять же - это ваше дело, я лишь наблюдаю со стороны.

в целом молодец. сказал - сделал.
думаю что у тебя все чисто скорее всего.

зы - наднях лицуху свежую кортекса пришлют и фалькона энтерпрайз вариант
с панелями в вебе и прочими их свистелками если будет время пробнем с тобой.
 
Последнее редактирование:
Статус
Закрыто для дальнейших ответов.
Верх