Самозащита антивирусов. [AV bypass]

Применяемые техники:

https://github.com/AlephNull314/AbsoluteZero

ProxyInject атака
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.

PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.

Duplicate Handle атака

Суть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объекта описателя открытого процесса. В итоге, это может привести к полной компрометации процессов антивируса либо к инжектированию в них вредоносного кода.

RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.

Shim engine атака

Блокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.

Reparse-Point атака

Блокирование функционала антивирусного ПО через открытие на защищаемой директории NTFS-потока и установку точки повторной обработки.

ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf

Twitter sec memories #4 [16.02.16] (Shellsploit/HackSpy/CVE-2016-0051/REMnux)

Shellsploit

Позволяет генерировать кастомные шеллкоды, бэкдоры и инжекторы для различных операционных систем, с возможностью обфускации через энкодеры.

https://github.com/b3mb4m/shellsploit-framework

Зависимости:

pip install capstone
pip install readline

Пуск:
python setup.py --s/ --setup install

chmod +x shellsploit

./shellsploit

Удаление:

setup.py --s/--setup uninstall

HackSpy-Trojan-Exploit

Тулза для генерации трояна, нацеленного на пробитие windows тачки.

https://github.com/ratty3697/HackSpy-Trojan-Exploit

• Кейлоггер
• Скрины рабочего стола
• Контроль бота через cmd

http://hackingsimplified.com/en/hackspy/

CVE-2016-0051 (Proof-of-concept BSoD (Blue Screen of Death) and Elevation of Privilege (to SYSTEM))

https://github.com/koczkatamas/CVE-2016-0051

REMnux Linux Distro for Malware Analysis

Version 6 Release

OVA

http://downloads.sourceforge.net/project/remnux/version6/remnux-6.0-ova-public.ova?r=&ts=1455610960&use_mirror=heanet

https://zeltser.com/remnux-v6-release-for-malware-analysis/

REMNUX V6 FOR MALWARE ANALYSIS (PART 1-2)

http://malwology.com/2015/06/25/remnux-v6-for-malware-analysis-part-1-voldiff/

Twitter sec memories #3 [15.02.15] (Sublist3r/GoAT/GoBot/DLLRunner)

Sublist3r

Утилита написана на python, для поиска собдоменов, с использованием поисковых движков-Google, Yahoo, Bing, Baidu, и Ask

(Fast subdomains enumeration tool for penetration testers)

https://github.com/aboul3la/Sublist3r

git clone https://github.com/aboul3la/Sublist3r.git
GoAT 

Троян написанный на языке Go, который использует твиттер в качестве командного центра для управления ботами. Имеет руткит подуль, написанный на C для самозащиты и хайда себя в системе.

https://github.com/petercunha/GoAT

Старшим братом которого является:

GoBot

https://github.com/SaturnsVoid/GoBot

DLLRunner

Скрипт на python для анализа dll`лок в песочнице.

                                               https://github.com/neo23x0/dllrunner