Tutoriales

Cobalt Strike UDRL para la evasión del escáner de memoria

Pasillo es un cargador reflectante independiente de la posición para Cobalt Strike.cero resultados de faro de sueño de caza, Cazador de balizas, Ojo del faro, patriota, moneta, malla de PEo Detección de memoria maliciosa.

característica

fácil de usar

Importe un solo script de CNA antes de generar el shellcode.

Cifrado de memoria dinámica

Cree un nuevo montón para cualquier asignación de Beacon y cifre las entradas antes de dormir.

Ofuscación y cifrado de código

Cambie y cifre la memoria que contiene código ejecutable CS a código no ejecutable (FOLLAGE).

suplantación de dirección de retorno en tiempo de ejecución

Ciertas llamadas WinAPI se realizan con direcciones de retorno falsificadas (InternetConnectA, NtWaitForSingleObject, RtlAllocateHeap).

no puedo dormir

Utilice WaitForSingleObjectEx para retrasar la ejecución.

Cifrado RC4

Todo el cifrado se realiza mediante SystemFunction032.

Problemas conocidos

  • Incompatible con cargadores que dependen de subprocesos de shellcode para permanecer activos.

LEER  Inventario y pruebas de seguridad integrales

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba