Tutoriales

Descubriendo técnicas de ejecución sin archivos indetectables

Autoinyector/ejecutador de DLL Shellcode basado en HWSyscalls, idealmente pensado para ejecutarse usando rundll32. Si el punto final de la víctima tiene acceso a un recurso compartido SMB controlado por el atacante, se puede conceder la ejecución sin archivos.

Está diseñado para usarse con rundll32 y tiene el potencial de permitir la ejecución sin archivos al acceder a un recurso compartido SMB controlado por un atacante.

La herramienta afirma no ser detectada por múltiples soluciones EDR, pero enfatiza el uso ético y legal.

Tabla de Contenidos

uso

rundll32.exe ExecIT.dll, HelperFunc, 

detectar

Actualmente, a partir de esta confirmación, no se detecta en absoluto en todos los EDR probados (según el código shell).

Por ejemplo, para Defender de endpoint EDR:

Descargo de responsabilidad

La información/los documentos proporcionados en este repositorio tienen fines estrictamente educativos y éticos únicamente.

Estas técnicas y herramientas están destinadas a ser utilizadas de manera legal y responsable, con el consentimiento expreso del propietario del sistema de destino.

Cualquier uso no autorizado o malicioso de estas tecnologías y herramientas está estrictamente prohibido y puede tener consecuencias legales.

No soy responsable de ningún daño o problema legal que pueda surgir por el mal uso de la información proporcionada.

LEER  Canonical apuesta por los juegos de Ubuntu, se está probando el nuevo paquete Steam Snap

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba