Ухилення від захисту — це техніка, яка використовується зловмисниками в кібербезпеці, щоб уникнути виявлення системами й інструментами безпеки. Це передбачає модифікацію, приховування або маскування зловмисної діяльності, щоб уникнути виявлення засобами захисту, такими як антивірусне програмне забезпечення, брандмауери, системи виявлення вторгнень тощо. Мета ухилення від захисту полягає в тому, щоб подовжити тривалість атаки, дозволяючи зловмиснику виконувати свої цілі протягом більш тривалого періоду часу, перш ніж його виявлять. Методи ухилення від захисту можуть включати такі тактики, як: Приховування файлів і каталогів: зловмисники можуть приховати свій шкідливий код або файли в невідомих місцях цільової системи, щоб уникнути виявлення інструментами безпеки. Маніпуляції з файлами та процесами: зловмисники можуть маніпулювати системними файлами та процесами, щоб приховати свою активність або ускладнити виявлення інструментами безпеки.
Обфускація коду: зловмисники можуть використовувати методи, щоб ускладнити виявлення свого шкідливого коду, або провести реверсивну інженерію за допомогою інструментів безпеки, таких як кодування чи шифрування коду. Вимкнення або зміна інструментів безпеки: зловмисники можуть вимкнути або змінити інструменти безпеки, такі як брандмауери, антивірусне програмне забезпечення та системи виявлення вторгнень, щоб уникнути виявлення. Використання законних системних інструментів: зловмисники можуть використовувати законні системні інструменти, такі як системні утиліти та адміністративні сценарії, для здійснення зловмисної діяльності, що ускладнює виявлення атаки засобами безпеки. Ухилення від захисту — це поширена техніка, яка використовується в прогресивних постійних загрозах (APT) та інших формах кібератак, коли зловмисник прагне утримуватися в цільовій системі протягом тривалого періоду часу. Щоб захиститися від ухилення від захисту, організації повинні запровадити багаторівневий підхід до безпеки, який включає поєднання технічних і нетехнічних засобів контролю.
Обфускатор команд і сценаріїв PowerShell, сумісний з PowerShell v2.0+. Якщо кінцева точка жертви може виконувати PowerShell, тоді цей інструмент чудово підходить для створення сильно заплутаних сценаріїв.
Veil — це інструмент для створення корисних навантажень metasploit, які обходять звичайні антивірусні рішення. Його можна використовувати для генерації обфусцованого шелл-коду.
Метод обходу активних проекційних DLL EDR шляхом запобігання виконанню точки входу. Особливості: Блокує виконання точки входу EDR DLL, що запобігає розміщенню хуків EDR. Обхід AMSI без виправлень, який неможливо виявити сканерами, які шукають виправлення коду Amsi.dll під час виконання. Хост-процес, який замінено імплантатом PE, який можна завантажити з диска, HTTP або іменованого каналу (Cobalt Strike). Імплантований процес прихований, щоб уникнути сканерів, які шукають порожні процеси. Аргументи командного рядка підробляються та імплантуються після створення процесу за допомогою прихованого методу виявлення EDR. Безпатчовий обхід ETW. Блокує виклик NtProtectVirtualMemory, коли виклик знаходиться в діапазоні адресного простору заблокованої DLL.
Використовуйте Visual Studio 2019 Community Edition , щоб скомпілювати двійковий файл SharpBlock. Відкрийте проект SharpBlock .sln , виберіть «Випустити» та побудуйте.
Alcatraz — це бінарний обфускатор графічного інтерфейсу x64, який здатний обфускати різні файли pe, зокрема: .exe .dll .sys. Деякі підтримувані функції обфускації включають: Обфускація безпосередніх ходів. Вирівнювання потоку керування. Додати мутацію. Обфускація точки входу. Леа обфускація.
Використання GUI для обфускації двійкового файлу:
1. Завантажте два файли, клацнувши файл у верхньому лівому куті.
2. Додайте функції, розгорнувши Functionsдерево. (Ви можете проводити пошук, ввівши назву в рядок пошуку вгорі)
3. Попадання компіляції ( Примітка: обфускація багатьох функцій може зайняти кілька секунд )
Mangle — це інструмент, який маніпулює різними аспектами скомпільованих виконуваних файлів (.exe або DLL). Mangle може видаляти відомі рядки на основі індикаторів компромісу (IoC) і замінювати їх випадковими символами, змінювати файл, збільшуючи розмір, щоб уникнути EDR, і може клонувати сертифікати підпису коду з легітимних файлів. Роблячи це, Mangle допомагає завантажувачам уникати сканерів на диску та в пам’яті.
Першим кроком, як завжди, є клонування репо. Перш ніж скомпілювати Mangle, вам потрібно буде встановити залежності. Щоб встановити їх, виконайте такі команди:
Потім побудуйте його
AMSI.fail — це чудовий веб-сайт, який можна використовувати для створення обфускованих фрагментів PowerShell, які порушують або вимикають AMSI для поточного процесу. Фрагменти випадковим чином вибираються з невеликого пулу прийомів/варіацій перед тим, як їх обфусцувати. Кожен фрагмент обфусцується під час виконання/запиту, щоб жоден згенерований вихід не мав однакових підписів.
