Используем YARA правила, чтобы отключить сборщик событий Windows

YARA-правила позволяют путем анализа некоторых статических данных определять аномалии хоть в памяти, хоть на диске. Например, если в лицухе у ехешника указан Benjamin DELPY, то что-то идет не так :D

Но мы можем внедрять собственные YARA-правила. Например, следующее:
rule disable { condition: true }

Это приведет к тому, что все события, поступающие в Windows Event Log Service будут им же и отброшены.

Для реализации такого необычного метода отключения логирования уже написан POC

GitHub

GitHub - bats3c/EvtMute: Apply a filter to the events being reported by windows event logging

Apply a filter to the events being reported by windows event logging - bats3c/EvtMute

Аналог GetProcAddress, но написан на ассемблере. Гуд...

https://github.com/WKL-Sec/FuncAddressPro

#redteam #maldev #evasion

GitHub

GitHub - WKL-Sec/FuncAddressPro: A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative…

A stealthy, assembly-based tool for secure function address resolution, offering a robust alternative to GetProcAddress. - WKL-Sec/FuncAddressPro

🎁 Source Code Disclosure in IIS 10.0! Almost.

There is a method to reveal the source code of some .NET apps. Here's how it works.

👉 https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/

Рекомендую блог тем, кому интересен малдев, да и просто для понимания работы той или иной техники уклонения. В использовании VEH ничего нового нет, но Daniel Feichter очень подробно разбирает использование сисколов посредством глобального обработчика исключений.

https://redops.at/en/blog/syscalls-via-vectored-exception-handling

#malware #evasion #redteam

RedOps - English

Syscalls via Vectored Exception Handling - RedOps

CVE-2024-20656: Windows LPE in the VSStandardCollectorService150 service

Blog: https://www.mdsec.co.uk/2024/01/cve-2024-20656-local-privilege-escalation-in-vsstandardcollectorservice150-service/

PoC: https://github.com/Wh04m1001/CVE-2024-20656

#lpe #exploit #redteam #pentest

MDSec

CVE-2024-20656 - Local Privilege Escalation in the VSStandardCollectorService150 Service - MDSec

Overview Visual Studio is a complex and powerful IDE developed by Microsoft and comes with a lot of features that can be interesting from a red team perspective. During this...

Про токены доступа в Windows. Хороший материал👍

https://habr.com/ru/articles/776298/

#ad #windows

Хабр

Токены. От появления до продвижения в Active Directory

О токенах, используемых в операционных системах семейства Windows слышали многие, ведь они являются важным звеном, участвующим в контексте безопасности всей операционной системы. В последнее время...

Всем привет, всех поздравляю 🎉🎊 кого-то с уже наступившим, а остальных с Наступающим!!! Так не хочется постить стату с TGStat, пусть тут будет отсебятина😁 ~~Этот год был тяжелый~~ Ещё один не похожий на другие год😅 Какие-то моменты вспоминаются с теплом и улыбкой😊 но некоторые наполнены и негативом, без этого никуда🤷‍♂ Поэтому хочу пожелать, чтобы в новом году было больше первого и меньше второго🙏 больше профессиональных достижений и меньше неудач👨‍💻 больше взаимопонимания, любви и меньше сор и разногласий🥰

Ну и как-то канал из личных заметок перерос в один из крупнейших в сфере, очень приятно))) всех обнял, всем мир) С Новым Годом🎅🎉🎉