Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg. Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Powershell eksekvering og AMSI bypass
11-04-2019, 22:33 (Denne besked var sidst ændret: 11-04-2019, 22:33 af duckman.)
#1
Powershell eksekvering og AMSI bypass
Hej Shellsec

Der er sjældent diskussioner om tekniske emner herinde, men nu prøver jeg alligevel.
Powershell Empire's stagers bliver opsnappet af windows defender gennem AMSI, hvad jeg kan lurer mig frem til kører den stadig AMSIScanString og ikke kun AMSIScanBuffer, som jeg ellers havde formodet var lukket af Microsoft.

Jeg mener at jeg kan bypasse AMSIScanBuffer, men jeg har problemer med AMSIScanString. Hvilke obfuskeringsmetoder kender i til, som omgår windows defender AMSI på en fuldt patched windows 10?

Jeg prøver at lege lidt med Invoke-Obfuscation, dog uden held indtil vidre.
Nuværende Invoke-Obfuscation streng er "Token\All\1,Encoding\1,Launcher\STDIN++\234"
Find alle beskeder fra denne bruger
Citer denne besked i et svar
12-04-2019, 08:52
#2
RE: Powershell eksekvering og AMSI bypass
Citer:Another method is to disable AMSI with the PowerShell cmdlet Set-MpPreference; for example, as Nikhil Mittal explains in his presentation AMSI: How Windows 10 Plans to Stop Script-Based Attacks and How Well It Does It. This disables Windows Defender’s real-time detection, an operation that requires administrator rights.
The command
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)
disables AMSI for the current process. The AMSI bypass was discovered by Matt Graeber and does not require any administrative rights. In both cases, the executed operation or the deactivation is detected by monitoring the PowerShell and event logs.
https://www.scip.ch/en/?labs.20180111
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)