Заметка Различные фреймворки для обхода EDR систем

[0x42]

Предлагаю в этой теме выкладывать различные фреймворки для обхода и тестирования EDR систем.

Вот что получилось найти на гитхабе (Более-менее новые).

1)TerraLdr:GitHub - NUL0x4C/TerraLdr: A Payload Loader Designed With Advanced Evasion Features

Details:​

• no crt functions imported
• syscall unhooking using KnownDllUnhook
• api hashing using Rotr32 hashing algo
• payload encryption using rc4 - payload is saved in .rsrc
• process injection - targetting 'SettingSyncHost.exe'
• ppid spoofing & blockdlls policy using NtCreateUserProcess
• stealthy remote process injection - chunking
• using debugging & NtQueueApcThread for payload execution

2)Alaris:GitHub - joshfaust/Alaris: A protective and Low Level Shellcode Loader that defeats modern EDR systems.

Alaris is a new and sneaky shellcode loader capable of bypassing most EDR systems as of today (02/28/2021). It uses several known TTP’s that help protect the malware and it’s execution flow. Some of these features are:

• Shellcode Encryption (AES-CBC 256)
• Direct x86 Syscalls via
  Чтобы увидеть нужно авторизоваться или зарегистрироваться.
  new SyWhispers2
• Prevents 3rd party (non-Microsoft Signed) DLL’s from hooking or injecting both the parent and child processes.
• Parent Process ID spoofing
• Overwrites it’s own shellcode after execution.

И это ещё:GitHub - Maldev-Academy/MaldevAcademyLdr.1

Если кто ещё знает накидайте фреймворков.)