Prueba de MALWARE utilizando HAVOC C2 EVADIENDO a EDR Sophos Intercept x Advanced
Hola comunidad!
En este breve video se demuestra la ejecuccion exitosa de un malware sobre un equipo protegido con EDR Sophos utilizando Havoc C2:
😎 Caracteristicas:
👉 Parcheo de Event Tracing for Windows (ETW)
Nuestro proceso comienza con el parcheo estratégico de las funciones de ETW en ntdll.dll. Modificamos las funciones EtwEventWrite, EtwNotificationRegister, EtwEventRegister, y EtwEventWriteFull, inyectando un pequeño fragmento de código (\x48\x33\xc0\xc3) que neutraliza su operación. Este paso es crucial para disminuir la visibilidad de nuestras acciones ante Sophos.
👉 Espera de Interacción del Usuario
Para sincronizar nuestra operación, implementamos una espera activa que requiere un número específico de clics del mouse (check_mouse_click), añadiendo una capa de interacción humana antes de proceder con la ejecución del shellcode.
👉 Manipulación Avanzada de Heap Memory
Con la memoria heap como nuestro campo de juego, utilizamos HeapCreate y HeapAlloc para reservar tres bloques de memoria. Estos bloques serán el destino de las diferentes partes de nuestro shellcode cifrado, dividiendo el payload en dos y luego combinándolo en un tercer bloque para su ejecución.
👉 Inyección y Activación de Shellcode
El shellcode cifrado se inyecta en la memoria reservada utilizando nuestra función copy_nonoverlapping_asm, que aprovecha la instrucción rep movsb para una copia eficiente. Posteriormente, aplicamos una operación XOR para descifrar el shellcode
👉 Verificación y Ejecución
Antes de la ejecución, validamos la operación con GetLastError. Si todo está en orden, procedemos a ejecutar el shellcode, ahora descifrado y listo para operar, directamente desde el heap, utilizando una conversión transmute para llamar al bloque de memoria como si fuera una función.
👉 Developer:
/ javier-perez-0582ba1b1
▶️Nuestras redes sociales:
💻 - Pagina Web: https://spartan-cybersec.com/
🎩 - Linkedin: / spartan-cybersecurity
👥 - Facebook: / spartancybersec
📸 - Instagram: / spartan_cybersecurity
👥 - Twitter: / spartancibersec
#evasion #malware #redteam #golang
Watch video Prueba de MALWARE utilizando HAVOC C2 EVADIENDO a EDR Sophos Intercept x Advanced online without registration, duration hours minute second in high quality. This video was added by user Spartan-Cybersecurity 20 March 2024, don't forget to share it with your friends and acquaintances, it has been viewed on our site 42 once and liked it 1 people.