#Inceptor #AV and #EDR Bypasses
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN
در ابزار Inceptor روش هایی در خصوص ویژگی های مورد استفاده مکانیزم های دفاعی مطرح شده که نگاه به عملکرد اونها خالی از لطف نیست
همچنین روش های دور زدن مکانیزم های شناسایی کننده هم مطرح شده که شاخص ترین اونها بحث استفاده از مبهم سازی، تکنیک Patching که در خصوص تغییر نتایج پایش AMSI بر روی حافظه بوده و یا تکنیک هایی که موجب دور زدن Sandbox میشه، مانند چک کردن ENV ها، نام ها هش Sections ها و مواردی از این دست
موضوعی که در این ابزار جالبه توضیح نحوه کارکرد EDR هاست که تکنیک هایی براش مطرح شده مثل استفاده یک پردازش از توابع سیستمی سمت کاربر، یک Hook به DLL مربوط به پردازش EDR زده شده و ورودی های مربوط به اون تابع سیستمی که مورد بررسی قرار میگیره
حالا محقق بیان میکنه که فرایند فراخوانی یک توابع API سیستم عامل تا ساختمان سطح هسته، یک زنجیره ی Native هستش که اگر مهاجم روال مرسوم این زنجیره رو بشکنه و مستقیما به ساختمان توابع مربوط دسترسی بگیره، امکان مانیتور شدن اون تابع سیستمی توسط EDR میتونه از بین هم بره.
@Unk9vvN