项目地址

https://github.com/CodeXTF2/maldev-links

以下为翻译产生的结果

挂钩/脱钩

• 让我们创建一个 EDR……并绕过它！ 第 1 部分：EDR 如何注入 DLL 以挂钩进程
• 让我们创建一个 EDR……并绕过它！ 第 2 部分：通过防止 DLL 加载来防止钩子加载到我们的进程中
• Userland DLL hooks C# 代码示例 - SharpUnhooker
• 使用 D/Invoke - D-Pwn 在 C# 中规避用户态 DLL 挂钩
• 动态逃避冒险； 脱钩
• 内核回调
• 过程检测回调
• 通过异常挂钩
• 通过重入滥用规避 EDR 检测
• 解开 Sentinel1
• 模拟隐蔽操作 - 动态调用（避免 PInvoke 和 API 挂钩）
• Halo's Gate：基于未挂钩的系统调用动态解析系统调用
• 使用实时内核监控的 Shellcode 检测
• EDR 篡改

AMSI/ETW

• 对 ETW 盲 EDR 传感器的攻击
• 利用 ETW 检测对抗性贸易工具
• 仅数据攻击：中和 EtwTi 提供商

睡眠混淆/掩蔽

• 堆栈欺骗
• SleepyCrypt：在休眠时加密正在运行的 PE 映像
• 戴着面具睡觉（钴打击）
• GPU睡眠

直接系统调用

• SysWhispers 已死，SysWhispers 万岁！
• 结合直接系统调用和 sRDI 绕过 AV/EDR
• 在 Cobalt Strike 第 1 部分中实现系统调用 - 与导入和依赖作斗争
• 当您 sysWhisper 足够响以让 AV 听到您的声音时

进程注入

• 过程注入示例代码
• 已知DLL注入
• 滥用 Windows 的 Fork() 实现进行隐秘内存操作
• 对象重载
• 提示注入
• APC技术
• Unicode 反射 - 事件空字节注入
• 替代工艺注入
• 武器化映射注入
• Cyber​​WarFare Labs 的高级工艺注入研讨会

一般规避/执行技术

• WORKSHOP // Windows 恶意代码交易之旅 // Silvio La Porta 和 Antonio Villani
• 用于机器学习规避和检测等的 Python 库
• 绕过反作弊和反调试的大量指南 - 也适用于针对 EDR 的恶意软件
• 三合一：项目旨在绕过一些 Av 产品，使用不同的高级功能
• Evasion-Practice：不同的规避技术/PoC
• 不使用 ReadProcessMemory / WriteProcessMemory 读取和写入远程进程数据
• SharpEDRChecker：EDR 检测
• StackScraper - 使用针对远程进程的实时堆栈扫描来捕获敏感数据
• WindowsNoExec - 滥用现有指令执行任意代码而不分配可执行内存
• 掩盖恶意记忆伪影——第三部分：绕过防御性扫描器
• EDR 和融入：攻击者如何避免被抓：第 2 部分
• 动态逃避冒险
• Hindering Threat Hunting，一个在受限环境中逃避的故事
• 将 shellcode 复制到内存的一千零一种方法（VBA 宏）
• Delete-self-poc：一种删除磁盘上锁定的或当前正在运行的可执行文件的方法
• 编写 Beacon 目标文件：灵活、隐秘且兼容：将来自真实 ntdll 的系统调用直接绕过系统调用检测
• Kernel Karnage – 第 9 部分（最后润色）
• 使用内核回调表执行代码
• 隐形沙盒规避
• 重要：减少你的熵
• 将您的代码编译成 mov 指令

运营的东西 - OPSEC、TTP 等。

• 父子进程结构
• Echotrail - Windows 进程统计

活动/运营分析

• 来自恒星粒子运动的观测
• 乌克兰网络运营
• 浏览器中的浏览器 (BITB) 攻击
• 俄罗斯国家支持的网络行为者通过利用默认的多因素身份验证协议和“PrintNightmare”漏洞获得网络访问权#threatintel 报告
• Post auth RCE 基于恶意 LUA 插件脚本上传位于俄罗斯的 SCADA 控制器
• 这看起来感染了吗？ 针对美国州政府的 APT41 总结

网络钓鱼

• 重新审视网络钓鱼模拟
• 通过从页面布局特征中学习分类器进行网络钓鱼页面检测
• 众包钓鱼网站列表。 有些仍然活跃
• mrd0x - 带有欺骗性云附件的网络钓鱼
• mrd0x - 团队滥用
• mrd0x - 使用 .ics 进行网络钓鱼

活动目录

• 关于中继的综合指南
• 自动化红队实验室（第 1 部分）：域创建
• 自动化红队实验室（第 2 部分）：监控和记录
• 在 BloodHound Enterprise 中宣布 Azure
• 广告信托
• 学习广告基础知识
• 钻石攻击

初始访问

• Steve Borosh 如何在企业攻击中提供有效载荷

持久性

• SharpEventPersist
• 持久性 – Notepad++ 插件

开源情报

• Nrich：Cli 工具，用于快速分析文件中的所有 IP，并查看哪些具有开放端口/漏洞

工具

• 在内存中使用系统调用的 lsass 转储程序
• Walter Planner：攻击路径规划器
• NimPackt-v1：用于 .NET 可执行文件和原始 shellcode 的基于 Nim 的打包程序
• PackMyPayload：有效负载容器化
• TymSpecial Shellcode 加载器
• Krb继电器
• BadAssMacros：生成恶意宏
• PurplePanda：识别权限提升路径和危险权限
• 0d1n：针对 Web 应用程序自动进行定制攻击的工具
• Inceptor：一种可以帮助自动绕过 AV/EDR 的工具
• 注入器：完整的内存注入库和其他用于 Windows 中红队的技术
• Pixload：用于在图像中创建/注入有效负载的工具集
• Cloak：通过 msfvenom 生成 python 有效载荷并将它们注入 python 脚本
• SNOWCRASH：创建一个可以在 Linux 和 Windows 机器上启动的脚本

各种内容

• 在电子中运行 shellcode
• 因果关系…ive C2
• TIBER 之眼 - 红队趋势的融合
• 用于恶意软件开发的有用库
• Windows EVTX 示例 [200 个 EVTX 示例]
• 俄罗斯在乌克兰的网络攻击升级
• 蓝队 OPSEC 故障研究
• 深入了解 MITRE Engage™ 官方版本
• 孔蒂泄露聊天记录
• 康迪源代码
• 攻击流——超越原子行为
• 攻击性 API 挂钩
• VBA 和函数指针
• MalAPI：在恶意软件开发中按用途分类的 Windows API 列表
• 访客日记（Etay Nir）内核挂钩基础
• BOF2shellcode — 将独立 BOF 加载器转换为 shellcode 的教程
• Cobalt Strike 用户定义反射加载器 (UDRL)
• DynamicWrapperEx – 从 Windows 脚本宿主调用 Windows API
• Cracked5pider/ReflectedDll.c：从注入的反射 dll 获取输出
• 来自 Kernel32 的 Nt/Zw 映射
• DEF CON 29 - Ben Kurtz - 进攻性 Golang Bonanza：编写 Golang 恶意软件

Azure 相关：

• Azure Terraform 登陆区域的云采用框架
• 2022 年 3 月更新发行说明：Azure Terraform 登陆区域的云采用框架
• Azure Terraform 登陆区域的云采用框架文档
• Azure 的云采用框架 - Terraform 上的登陆区域 - Rover

C2相关：

• Counter Strike 1.6 作为恶意软件 C2
• 冒犯性观念
• 我们在您的笔记应用程序中放置了 C2：OffensiveNotion
• 在 C++ 中构建 C2 植入程序
• C2 矩阵 - 您需要的所有 c2 都在这里

蓝队——我们是如何被烧死的

• 72 页的电子书，描述 Endgame 寻找高级网络威胁的解决方案
• TiEtwAgent – 基于 ETW 的进程注入检测（无法从用户空间中解脱钩）
• 检测工程
• 我是如何认识你的信标的（MDSec x33fcon 谈话）

标签：思路分享, 学习笔记, 恶意软件开发