114 подписчиков

Одна из вечных гонок между ловкими парнями и безопасниками: первые изобретают методы, как прятать свои процессы, а вторые – всё более хитрые системы обнаружения. Называются они, кстати, EDR. В современных EDR происходит уже много всякой алхимии от сканирования памяти до анализа поведения процессов, но ловких парней это не останавливает, а только придаёт задора.

Тут как раз статья про относительно новый метод, получивший название Caro-Kann. Он основан на внедрении двух пользовательских шелл-кодов в разные участки памяти, причём один из них спит.

Матана не много, автор сам же пишет, как можно спалиться, и что метод имеет явные изъяны. Но есть ощущение, что самые ловкие трюки он просто не выложил в паблик.

https://www.r-tec.net/r-tec-blog-process-injection-avoiding-kernel-triggered-memory-scans.html

Около минуты

5 декабря 2023