Недавний блог углубляется в технические тонкости коммуникационных и командных управляющих (C2) полезных нагрузок, сосредоточив внимание на том, как строится reflective loader, способный усложнить обнаружение и реагирование конечных точек (EDR). Анализ опирается на архитектуру C2-имплантатов — в частности, на практики, встречающиеся в Cobalt Strike — но рассматриваемые концепции применимы и к другим C2-фреймворкам. Главный технический вклад блога — описание компоновщика Crystal Palace, который упрощает создание PIC. Это позволяет извлекать и инжектировать код без введения новых relocations, которые могли бы быть замечены средствами безопасности...