persistent-security/month-of-bypasses

# Bypass 之月 仅供检测工程研究使用的概念验证代码 本代码库包含了 [Persistent Security](https://www.persistent-security.net) 研究团队发布的 **Bypass 之月** 系列的概念验证代码。 每一个绕过方法都是 Microsoft Defender 已经拦截的某个技术的变种，涵盖了相同的 MITRE ATT&CK 技术 ID 和攻击目标，但采用了不同的执行路径。其目的是帮助防御者了解其防护机制的作用范围以及盲区所在——以防被攻击者率先利用。 这些 POC 均通过在 [Nemesis BAS](https://www.persistent-security.net) 平台上使用 AI 驱动的变异分析发现。 📖 **阅读介绍博客文章：** [Bypass 之月简介 — Defender 无法察觉的盲区](https://www.persistent-security.net/post/introducing-the-month-of-bypasses-what-defender-can-t-see) ## 涵盖的技术 | # | MITRE ATT&CK ID | 技术 | 绕过方法 | |---|----------------|-----------|--------| | 1 | [T1003.002](https://attack.mitre.org/techniques/T1003/002/) | OS 凭据转储：安全帐户管理器 | [`esentutl.exe /y /vss` 复制 SAM 和 SYSTEM 配置单元而不会触发 Defender](https://www.persistent-security.net/post/introducing-the-month-of-bypasses-what-defender-can-t-see) | | 2 | [T1055.002](https://attack.mitre.org/techniques/T1055/002/) | 可移植可执行文件注入 | [You Can't Escape The Katz!](https://www.persistent-security.net/post/month-of-bypasses-iteration-2-you-can-t-escape-the-katz) | ## 免责声明 本代码库中的所有内容仅供**检测工程与防御性研究目的**发布。所有基于实际漏洞的发现均通过比利时网络安全中心 (CCB) 的比利时协调漏洞披露 (CVD) 框架进行披露。 有疑问或想要测试您自身的防御能力？请通过 [info@persistent-security.net](mailto:info@persistent-security.net) 联系我们。

标签：AMSI绕过, ATT&CK框架, BAS, Conpot, Libemu, Microsoft Defender, PoC, SSH蜜罐, Windows安全, 凭据转储, 威胁检测, 安全测试, 安全防护绕过, 攻击性安全, 攻击模拟, 数据展示, 暴力破解, 概念验证, 私有化部署, 红队, 网络安全, 进程注入, 防御规避, 隐私保护, 驱动签名利用