项目地址

https://github.com/tkmru/awesome-edr-bypass

Awesome EDR Bypass

🛡️ 用于道德黑客攻击的很棒的 EDR 绕过资源 ⚔️

PoC

• trickster0/TartarusGate：TartarusGate，绕过 EDR
• am0nsec/HellsGate：Hell's Gate VX 技术的原始 C 实现
  • 该论文的 PDF 对 EDR 绕过技术有很好的总结。
• Maldev-Academy/HellHall：执行间接清洁系统调用
  • 一种名为 HellsGate 的技术，通过内存中的值指定系统调用号，结合指定 NTDLL 中实现系统调用指令的地址的技术，在不调用系统调用指令的情况下调用系统调用。
• TheD1rkMtr/UnhookingPatch：通过修补 NT API stub、在运行时解决 SSN 和系统调用指令来绕过 EDR 钩子
• RedTeamOperations/Journey-to-McAfee
• op7ic/EDR-Testing-Script：使用简单的脚本测试端点检测和响应（EDR）软件的准确性，执行各种 ATT&CK/LOLBAS/Invoke-CradleCrafter/Invoke-DOSfuscation 负载

工具

• tanc7/EXOCET-AV-Evasion：EXOCET - AV-evading、不可检测的负载交付工具
• naksyn/Pyramid：帮助在 EDR 盲区操作的工具
• Yaxser/Backstab：杀死反恶意软件受保护的进程的工具
• klezVirus/inceptor：模板驱动的 AV/EDR 绕过框架

工作坊

更多是针对渗透测试人员的恶意软件开发工作坊，而不是绕过 EDR 的工作坊。

• chvancooten/maldev-for-dummies：关于恶意软件开发的工作坊
• BC-SECURITY/Beginners-Guide-to-Obfuscation
• chr0n1k/AH2021Workshop：针对红队的恶意软件开发工作坊

演示

• 揭开 MDE 内幕 - FIRST CONFERENCE 2022
• Dirty Vanity：代码注入和 EDR 绕过的新方法 - Black Hat Europe 2022
• talks/Diego Capriotti - DEFCON30 Adversary Village - Python vs Modern Defenses.pdf at main · naksyn/talks

博客

• Living-Off-the-Blindspot - Operating into EDRs’ blindspot | Naksyn’s blog
  • 善于使用 Python 工作的人类型，使用 PEP 578 - Python Runtime Audit Hooks。
• Bypass CrowdStrike Falcon EDR protection against process dump like lsass.exe | by bilal al-qurneh | Medium
  • 故事是可以使用取证工具在不被检测的情况下转储内存。这是一个例子，说明用于合法目的的工具如果在攻击中使用，而不被检测到，也可以成为攻击工具。
• State-of-the-art EDRs are not perfect, fail to detect common attacks - The Record from Recorded Future News
  • 评论 An Empirical Assessment of Endpoint Security Systems Against Advanced Persistent Threats Attack Vectors
• A tale of EDR bypass methods | S3cur3Th1sSh1t
• In-Memory Execution in macOS: the Old and the New | Meta Red Team X
  • macOS！

其他很棒的系列

• MrEmpy/Awesome-AV-EDR-XDR-Bypass：Awesome AV/EDR/XDR Bypass 技巧

标签：工具分享, 思路分享, 学习笔记, EDR产品, 主机安全