Cobaltstrike bypass Defender

已于 2022-04-17 23:58:11 修改
阅读量1.2k 收藏
点赞数
分类专栏: 杂七杂八 文章标签: bypass
于 2022-03-16 07:18:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuguojiuai/article/details/123516977
版权
本文介绍了两种方法来规避Windows Defender对Cobaltstrike执行文件的检测。方法一利用Add-MpPreference PowerShell命令删除Defender的监控;方法二通过添加进程到Defender白名单,但需要进行静态免杀处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    Defender一直是我们比较头疼的一个东西,相对于其他杀毒软件的可以退出关闭而言,Defender作为微软自带的一款杀毒软件,经常会在未经允许的情况下删除我们本地的东西。就很烦躁。刚好今天群里看到一篇文章,但是看着觉得眼熟,仔细看了下跟雷石以前的一篇文章很像,咱们本文就基于cs的exe马简单做个bypass defender的小总结。

参考:

https://docs.microsoft.com/en-us/powershell/module/defender/remove-mppreference?view=windowsserver2022-ps

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide#list-of-automatic-exclusions

方法1-删除检查项:

根据官方:https://docs.microsoft.com/en-us/powershell/module/defender/remove-mppreference?view=windowsserver2022-ps 的描述,-ExclusionPath和AttackSurfaceReductionOnlyExclusions 两个选项是可以删除defender对文件夹或文件的监控。

利用方法:

使用 -EXecutionPolicy Bypass:绕过powershell默认安全规定不能运行命令和文件

完整利用

powershell -Executio

最低0.47元/天 解锁文章
【网络安全】内网杀器之Cobalt Strike
你在看屏幕的同时,屏幕也在注视着你
10-15 4267
内网杀器cs
go混淆实现bypassAV(cobaltstrike免杀)
qq_32445755的博客
02-09 1095
近两年随着hw和红蓝对抗的增多,接触到的提权、内网渗透、域渗透也越来越多。攻击能力有没有提升不知道,但防护水平明显感觉提升了一大截,先不说防护人员的技术水平如果,最起码各种云WAF、防火墙、隔离设备部署的多了,服务器上也经常能见到安装了杀软、软waf、agent等等,特别是某数字杀软在国内服务器上尤为普及。这个时候,不会点免杀技术就非常吃亏了。
推荐项目:Bypass Windows Defender - 为开发者打造的安全工具
gitblog_00057的博客
04-20 680
推荐项目:Bypass Windows Defender - 为开发者打造的安全工具 去发现同类优质开源项目:https://gitcode.com/ 该项目是Ryze-T开发的一款开源工具,主要目的是帮助开发者绕过Windows Defender的防护机制,以便在开发和测试过程中更顺畅地运行某些可能被误报为恶意软件的程序。以下是对此项目的详细技术分析、应用场景及特点介绍。 技术分析 1. 代码签...
Windows defender bypass | 免杀
jijisaq的博客
06-14 1237
在制作免杀的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defender Antivirus exclusions on Windows Server(在 Windows server 中配置defender排除项)。简而言之就是在 Windows Server2016 和 2019 中,Windows Defender 默认存在一些排除项,在实时检测过程中会忽略这些排除项,但是主动扫描的时候不会排除。
本地防御绕过,一款通过调用Windows系统白名单文件执行PowerShell命令的工具
最新发布
ahhacker86的专栏
02-21 672
Sharp4BreakStart.exe 是一款利用了 Windows 系统的白名单机制,通过生成并执行 VBScript 脚本来启动 PowerShell 指令的工具。由于该工具能够绕过某些基于签名的安全防护,成为了渗透测试者和红队成员在执行任务时的重要工具。本文将详细介绍。
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 757
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
C++ 程序越过windows Defender检测
w12563489的博客
03-28 1816
安装某程序时候,window 可能会提示禁止安装或者下载,因为这是windows defender进行检测,windows defender是windows 自带的安全检测功能。(可关闭,可开启)
CS-Loader:CS免杀
03-22
CS-避免杀人 CS免杀,包括python版和C版本的(经测试Python打包的方式在win10上存在bug,无法运行,Win7测试无异常 V1.0:目前测试可以过Defender /火绒的静杀+动杀,360还没测= =不想装360全家桶了,可以自行测试 下一步开发计划: V1.5:加入C版本CS免杀(已完成) V1.7:加入Powershell的免杀(已完成) V2.0:开发出UI界面 V2.0:开发成在线免杀平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更具有扩展性 关于自己写的在线免杀平台,暂不考虑开源,主要是觉得当前的技术还比较薄弱,如果有师傅想体验可以联系我 V3.0:想办法结合更多免杀技术(想去研究下进程注入/文件捆绑,不知道免杀效果怎样) V3.1增加了go版本(可过火绒/ 360 / defender) 依赖环境 Pyt
〖工具〗Ladon 9.1.1 & CobaltStrike神龙插件发布
K8哥哥
12-18 6829
简介 Ladon9.1.1插件右键功能已更新174个,相比9.1.0的131个新增了43个功能,本机密码新增4个主流浏览器Chrome、Firefox、Edge、Coccoc帐密、历史记录、Cookie等,新增CMD常用渗透命令30+,Ladon9.1.1插件采用分离式加载,减少网络卡时加载Ladon导致CS假死情况。其它功能,新增.net测试&powershell测试,用于测试目标杀软是否拦截CS加载.NET程序或Powershell等,具体功能大家实战测试吧,实战为王,多说无益。 Ladon主.
利用Ladon实现C2免杀所有杀软
K8哥哥
07-11 719
前言 写了几篇无回显命令执行漏洞Ladon回显方法,接下来我们它升级,既然我们可以通过漏洞执行无回显命令都可以得到回显,那么我们自己写的程序不是更轻而易举吗?所谓远控不过就是通过各种协议传输攻击者的操作指令与结果而已。早期都是用TCP协议实现,之后FTP、HTTP(什么网盘、邮箱、博客等都是并非什么新方式只是换个网址或API而已),大家常用的CS也是HTTP协议,本文用Ladon来实现个简单的C2。 启动WEB Ladon web 800 参数 /ip.txt or ip.jpg Get T
PostExpKit - Windows2022绕过Defender提权
潇湘信安的博客
06-25 1288
星球某位师傅找我讨论了一个他在项目实战测试中关于Windows2022绕过Windows Defender提权过程遇到的一些问题,在这简单记录并分享下在这种场景下如何绕过该防护进行提权的方法和思路。
cobltstrike--.exe&宏病毒&.hta&powershell
Z_l123的博客
01-19 3546
子域名爆破工具 1.安装爆破工具subDomainsBrute git clone https://github.com/lijiejie/subDomainsBrute 2.增加执行权限 进入工具的文件夹,使用命令chomd +x subDomainsBrute给执行脚本程序赋予执权限
Powershell 免杀过 defender 火绒,附自动化工具
st3pby的博客
02-20 4808
技术交流 关注微信公众号Z20安全团队, 回复加群,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 powershell执行策略修改 1 获取 PowerShell当前执行策略 Get-ExecutionPolicy windows默认配置为Restricted 2 设置执行策略 Set-ExecutionPolicy unrestricted PowerShell通过对安全做过充分考量...
CS免杀之信手拈来
Gamma_lab的博客
08-06 1760
前言 最近搞了一个cs免杀的东西出来,主流的杀毒软件,某绒,某0,windows defender都轻松过掉,但是把在测试卡巴全方位版时,成功上线之后就死掉了,我怀疑不是内存查杀,如果是内存查杀,我把shellcode写进去内存的时候,就应该爆肚了,我觉得还是cs上线之后的行为触发卡巴的杀毒机制,就哦豁了。 然后我就在github上面找点项目来参考一下,果然找到一个很不错的项目,这里分享给大家。 免杀实践 项目地址: https://github.com/ORCA666/EVA2 根据作者描述,这个项目
红蓝对抗经验分享:CS免杀姿势
m0_59598029的博客
09-13 795
多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。赛门铁克也未报毒,其它杀软不放图了。但是需要注意的是别使用云沙箱检测。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。
简单的免杀流程,软件使用方法与一点思路(Cobalt-strike
weixin_74182283的博客
04-04 2298
字面意思,就是恶意软件或者木马,通过对其进行修改,导致杀毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥杀毒软件,但windows系统下的杀毒软件就各种各样,而我们的木马刚传上去就会被杀掉,这时如果懂得如何去对上传的马做一个免杀,使其顺利通过防火墙就显得非常重要了。
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS)
热门推荐
weixin_43263566的博客
01-11 2万+
渗透测试之基本的攻击流程
CobaltStrike使用-第九篇-免杀
Love&Share
12-08 9107
本篇将会介绍CS payload免杀工具的使用 文章目录杀毒软件杀软常见扫描方式杀软扫描引擎常见免杀技术免杀工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion免杀插件 常规杀毒软件的目的就是发现已知病毒并中止删除它,而作为攻击者则需要对病毒文件进行免杀处理,从而使杀毒软件认为我们的文件是合法文件 杀毒软件 杀软常见扫描方式 扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 程序窜改防护:即是避免恶意程序借由删除杀.
Powershell 配置 Windows Defender 相关命令
一直被模仿,从未被超越
06-21 658
6、关闭Windefend实时保护。7、打开Windefend实时保护。2、添加文件夹排除项。4、删除文件夹排除项。
CobaltStrike逆向分析深度探索
文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon C2 Profile解析、Beacon上线协议、Bypass技术以及Controller的任务发布和结果回传等。此外,还讨论了如何实现自定义的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小韩韩啊

你的鼓励是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值