What's new arround internet
Last one

Src Date (GMT) Titre Description Tags Stories Notes
Blog.webp 2023-06-09 15:42:46 Trouver et exploiter les conducteurs de tueurs de processus avec LOL pour 3000 $
Finding and exploiting process killer drivers with LOL for 3000$ (lien direct)		 Cet article décrit un moyen rapide de trouver des conducteurs de tueurs de processus exploitables faciles.Il existe de nombreuses façons d'identifier et d'exploiter les conducteurs de tueurs de processus.Cet article n'est pas exhaustif et ne présente qu'une seule méthode (facile). Dernièrement, l'utilisation de la technique BYOVD pour tuer les agents AV et EDR semble tendance.Le projet Blackout ZeromeMoryEx, l'outil Terminator vendu (pour 3000 $) de Spyboy en est quelques exemples récents. L'utilisation de conducteurs vulnérables pour tuer AV et EDR n'est pas neuf, il a été utilisé par APTS, Red Teamers et Ransomware Gangs depuis un certain temps.
This article describes a quick way to find easy exploitable process killer drivers. There are many ways to identify and exploit process killer drivers. This article is not exhaustive and presents only one (easy) method. Lately, the use of the BYOVD technique to kill AV and EDR agents seems trending. The ZeroMemoryEx Blackout project, the Terminator tool sold (for 3000$) by spyboy are some recent examples. Using vulnerable drivers to kill AV and EDR is not brand new, it’s been used by APTs, Red Teamers, and ransomware gangs for quite some time.		 Ransomware Tool Technical ★★★★
Blog.webp 2022-05-27 11:33:26 Bypass EDR: comment et pourquoi décrocher le tableau d'adresse d'importation
EDR Bypass : How and Why to Unhook the Import Address Table (lien direct)		 Un jour, j'essayais de contourner un EDR et j'ai remarqué quelque chose d'intéressant. L'EDR que j'essayais de contourner n'a pas accroché la DLL dans leur code avec des instructions JMP comme les autres EDR dans User-Land. Dans ce cas, il accrochait directement le tableau d'adresse d'importation.Cette technique fait le déplacement habituel comme le mise en direct ou l'effacement de la DLL chargée avec une fraîchement chargée de disque inutile. J'ai dû décrocher le tableau d'adresse d'importation de mon processus.
One day, I was trying to bypass an EDR and I noticed something interesting. The EDR I was trying to bypass wasn’t hooking the DLL in their code with jmp instruction like other EDRs in user-land. In this case, it was hooking directly the Import Address Table. This technique makes the usual move like live-patching, or erasing the loaded DLL with one freshly loaded from disk useless. I had to unhook the Import Address Table of my process.		 Technical ★★★★
Blog.webp 2022-03-24 12:12:24 Un voyage syscall dans le noyau Windows
A Syscall Journey in the Windows Kernel (lien direct)		 L'analyse de ce post a été réalisée à partir d'un bits Windows 10 x64.Si vous essayez de comparer le contenu de cet article sur une version Windows inférieure, vous serez déçu car des modifications ont été apportées dans Windows 10. Dans mon dernier article dédié aux différentes façons de récupérer l'ID Syscall, j'ai expliqué rapidement comment les systèmes directs ont été effectués en mode utilisateur et je suis resté vague sur la façon dont il a été traité en mode noyau.
The analysis on this post was made from a Windows 10 x64 bits. If you are trying to compare the content of this post on a lower Windows version you will be disappointed since changes were made in Windows 10. In my last post dedicated to the different ways to retrieve Syscall ID, I explained quickly how direct syscalls were performed in User Mode and remained vague about how it was processed in Kernel Mode.		 Technical ★★★★
Blog.webp 2022-01-29 20:13:54 EDR Bypass: Récupération de Syscall ID avec Hell \\'s Gate, Halo \\'s Gate, Freshycalls and Syswhispers2
EDR Bypass : Retrieving Syscall ID with Hell\\'s Gate, Halo\\'s Gate, FreshyCalls and Syswhispers2 (lien direct)		 Ce message n'est pas une présentation approfondie de la porte de l'enfer, de la porte Halo, Freshycalls2 ou Syswhispers23. Vous pouvez trouver une explication détaillée sur ces techniques sur leur réapprovisionnement GitHub, divers articles et l'incroyable cours d'évasion Windows Sektor74. Alors, quel est l'intérêt de cet article alors?Eh bien, je trouve les différentes techniques utilisées pour récupérer dynamiquement les identificateurs syscall très intéressants et je voulais présenter la différence entre eux. SOOOO LET & RSquo; est-ce que nous?
This post is not an extensive presentation of Hell’s Gate1, Halo’s Gate, FreshyCalls2 or Syswhispers23. You can find detailed explaination on these techniques on their Github repo, various articles and the amazing Sektor7 Windows Evasion Course4. So whats the point of this article then ? Well, I find the various techniques used to dynamically retrieve syscall identifiers very interesting and I wanted to present the difference between them. Soooo let’s begin shall we ?		 Technical ★★★
Blog.webp 2021-12-05 19:50:59 Jouer avec Named Pipe et NotPetya
Playing With Named Pipe and NotPetya (lien direct)		 Il y a longtemps, dans une galaxie très loin, je m'amusais en inversant Notpetya. Les fichiers ont été abandonnés par NotPetya pendant l'analyse dynamique, j'ai identifié certains fichiers abandonnés sur le disque par l'échantillon. Les fichiers sont tombés sur le disque Un fichier exécuté utilisant un tuyau nommé l'un d'eux a attiré mon attention: il est exécuté par l'échantillon avec un argument de tuyau nommé. Un binaire exécuté avec un argument de pipe nommé
A long time ago, in a galaxy far far away, I was having fun reversing NotPetya. Files dropped by NotPetya During the dynamical analysis, I identified some files dropped on the disk by the sample. Files dropped in the disk An executed file using named pipe One of them caught my eye: it is executed by the sample with a named pipe argument. A binary executed with named pipe argument		 Technical NotPetya ★★★★
Blog.webp 2021-12-05 15:45:20 Contourner le chiffrement du disque Linux
Bypass Disk Encryption Linux (lien direct)		 Nous allons apprendre à voler la phrase secrète d'un lecteur crypté avec la configuration par défaut sur une distribution Debian. Comment?Par l'intrusion physique! L'idée générale est simple.Par défaut, le chiffrement du disque sur Debian (et de nombreuses autres distributions) ne crypte pas le répertoire \ BOOT.Même si Encyption en disque complet est disponible via Grub2 & Hellip; Pour effectuer cette attaque, nous allons utiliser un USB en direct sur la machine cible.À l'aide de l'USB en direct, nous allons modifier le script en demandant à la phrase de passe (située dans / boot) pour la faire écrire, dans un fichier texte, la phrase de passe tapée par la victime.
We are going to learn how to steal the passphrase of a drive encrypted with default setup on a Debian distribution. How? Through physical intrusion! The general idea is simple. By default, disk encryption on Debian (and many other distributions) doesn’t encrypt the \boot directory. Even if full disk encyprtion is available via Grub2… To perform this attack, we are going to use a Live USB on the target machine. Using the live USB, we are going to modify the script asking the passphrase (located in /boot) to make it write, in a text file, the passphrase typed by the victim.		 ★★★
Last update at: 2024-05-08 06:08:08
See our sources.
My email:

To see everything: Our RSS (filtrered) Twitter