Offensive-Panda/DefenseEvasionTechniques
GitHub: Offensive-Panda/DefenseEvasionTechniques
一个集中收录绕过 EDR/XDR 等安全检测机制的防御规避技术文章与资源的攻击安全研究仓库。
Stars: 157 | Forks: 29
Defense Evasion Techniques
This collection offers advanced methods to bypass sophisticated security measures in Endpoint Detection and Response (EDR) and Extended Detection and Response (XDR) systems. This comprehensive and central repository is designed for cybersecurity enthusiasts, researchers, and professionals seeking to stay ahead in the field. It provides a valuable resource for those dedicated to improving their skills, security defenses and measures. This repository includes strategies for manipulating system calls, obfuscating code, managing memory to evade detection and other advanced evasion techniques. By leveraging these methods, experts can enhance penetration testing, red teaming, malware analysis, and develop more resilient defenses.
Open Source Work
热门文章
| 文章详情 | 文章链接 |
|---|---|
| 使用 direct syscalls 的 Dirty vanity 实现 | 文章链接 |
| 实现 Mokingjay 技术以规避 RWX 区域检测 | 文章链接 |
| 结合 Unhooking 和 ETW patching 转储 lsass.exe 内存 | 文章链接 |
| 使用 direct syscalls 转储 lsass.exe 内存及离线转储 | 文章链接 |
| 远程模板注入 | 文章链接 |
| 红队使用的 Mark-of-the-Web | 文章链接 |
| 使用 outflank dumpert 和 Windows 进程注入进行内存转储 | 文章链接 |
| 使用 Fodhelper 获取 Nt-Authority Shell | 文章链接 |
| 使用 CreateRemoteThread 进行 RWX 内存搜索与注入 | 文章链接 |
| EDR Terminator(称之为杀手) | 文章链接 |
| 使用多种技术转储 Lsass.exe 内存 [𝐋𝐚𝐠𝐨𝐬 𝐈𝐬𝐥𝐚𝐧𝐝 𝐌𝐞𝐭𝐡𝐨𝐝 (𝐚.𝐤.𝐚 𝐑𝐞𝐟𝐥𝐞𝐜𝐭𝐢𝐯𝐞𝐋𝐨𝐚𝐝𝐢𝐧𝐠), 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 𝐏𝐫𝐨𝐜𝐞𝐬𝐬 𝐈𝐧𝐣𝐞𝐜𝐭𝐢𝐨𝐧: 𝐂𝐨𝐧𝐬𝐨𝐥𝐞𝐖𝐢𝐧𝐝𝐨𝐰𝐂𝐥𝐚𝐬𝐬, 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 𝐅𝐨𝐫𝐤𝐢𝐧𝐠] | 文章链接 |
| 利用 .NET profiler DLL 加载漏洞绕过 UAC | 文章链接 |
| 使用易受攻击的驱动程序移除 EDR 回调 | 文章链接 |
| 利用易受攻击的驱动程序进行权限提升 | 文章链接 |
GitHub 仓库
| 项目 | 链接 |
|---|---|
| "D3MPSEC" lsass.exe 内存转储。 | https://github.com/Offensive-Panda/D3MPSEC |
| 结合多种规避技术来绕过防御机制。 | https://github.com/Offensive-Panda/DV_NEW |
| 部署 Honeypots 和 Decoys 以收集威胁情报 | https://github.com/Offensive-Panda/Collect_Threat_Intel_AND_Malware_Using_Honeypots |
| 权限维持与反沙箱技术 | https://github.com/Offensive-Panda/Persistence_AND_Anti_Sandbox |
| 绕过恶意软件静态分析 | https://github.com/Offensive-Panda/on-disk-detection-bypass |
| 通过 DLL 劫持在 C2 服务器上获取提权 shell | https://github.com/Offensive-Panda/C2_Elevated_Shell_DLL_Hijcking |
| 使用 Fork API 进行 RWX 搜索与注入 | https://github.com/Offensive-Panda/RWX_MEMEORY_HUNT_AND_INJECTION_DV |
| WriteProcessMemory 魔法与注入(入口点) | https://github.com/Offensive-Panda/WPM-MAJIC-ENTRY-POINT-INJECTION |
| PEB Walk 和 API 混淆以绕过 AV/EDR 静态分析 | https://github.com/Offensive-Panda/PEB_WALK_AND_API_OBFUSCATION_INJECTION |
| .NET Profiler DLL 加载 UAC 绕过 | https://github.com/Offensive-Panda/.NET_PROFILER_DLL_LOADING |
| BYOVD 将权限提升至 SYSTEM | https://github.com/Offensive-Panda/NT-AUTHORITY-SYSTEM-CONTEXT-RTCORE |
规避技术
| 技术 | 描述 |
|---|---|
| 直接与间接 Syscalls | 进行直接和间接函数调用以规避检测机制的策略。 |
| API Hashing | 混淆和篡改 API 调用以避免被检测的技术。 |
| API 导入混淆 | 混淆代码使其更难以分析的方法。 |
| Payload 加密 | 使用加密绕过 EDR 的静态分析。 |
| Egg Hunting | 内存中的 Syscall 指令 patching 以绕过静态检测。 |
| 随机指令与原型 | 使用随机 NOP 指令以及 API 名称和原型来规避静态分析。 |
| Mokingjay | 利用易受攻击的 DLL 来规避 RWX 内存区域创建的检测。 |
| Forking 技术内存转储 | 在注入 shellcode 后使用 Windows Fork API 克隆父进程,规避 CreateRemoteThread 的检测。 |
| API Unhooking | 使用干净的 DLL 副本、从远程服务器获取的原始副本或挂起的进程来解除 EDR 的用户态 hook,从而绕过 EDR。 |
| ETW Patching | 应用 ETW patching 以规避基于事件的检测。 |
| PEB Lookup | 在 runtime 期间对 32 位和 64 位系统使用 PEB lookup 解析 SSN 和 Native API。 |
| RWX 内存块搜索 | 搜索已创建的 RWX 区域来写入并执行 shellcode。此技术消除了对具有 RWX 权限的易受攻击的 DLL 以及分配 RWX 的 API 的依赖。 |
| BYOVD | 自带易受攻击的驱动程序,涉及部署已合法签名且可成功加载到 Windows 系统中的驱动程序,以便在内核上下文中执行代码。 |
免责声明
本仓库中提供的内容、技术和工具仅供网络安全社区用于教育和研究目的。本人明确声明对所提供材料的误用或非法使用不承担任何责任。基于此信息采取的任何行动均由用户自行承担风险。