免杀笔记 ---> CheckAV-BOF !!

我们在实战中常常会通过钓鱼 || 漏洞 来获取一些终端的设别,这时候我们需要去对此终端进行杀软的检测(从而决定我们怎么后续操作)

于是我就写了一款BOF,支持一键CheckAV,赶紧来武装你的CS吧! 😋 //感觉好用的师傅点点赞

https://github.com/juruo-wankli/CheckAV-BOFhttps://github.com/juruo-wankli/CheckAV-BOF

1.BOF!

BOF(Beacon Object File),可以说是现在渗透的C2必备!像CS的Fork && Run这种非常不Opsec的操作,很容易直接被EDR || XDR 杀掉,所以下一代C2 所有的执行命令都是会往BOF的方向发展,并且BOF的一个好处是不用直接传文件到目标磁盘 (对于某60就特别显著),直接内存加载我们的操作,这是一个非常好的选择 ! 😋

2.灵感来源

这里先介绍一款C2 ---> Xiebro !

https://github.com/INotGreen/XiebroC2https://github.com/INotGreen/XiebroC2这是一款前一段时间出的C2,刚出来的时候是免杀基本上所有的AV EDR (ESET报了个Go加载器),但是这不是重点 !!

还记得那时一天午后,在打攻防的时候进了一家公司的内网,然后信息收集(其中Xiebro有一个CheckAV的操作,这也是这个BOF的灵感来源)

但是我发现其存在一些误报以及一些AV检测不出来 ,比如说我们HW常见到的天擎

所以我就自己写了一个BOF (就是最简单的遍历进程),支持大部分AV EDR XDR (有遗漏可以给我提issue)

3.效果展示

目前支持这些 AV && EDR && XDR

Category Vendors
XDR Vendors CrowdStrike-XDR, SentinelOne-XDR, CortexPaloAlto-XDR
EDR Vendors Kaspersky-EDR, BitDefender-EDR, Trellix-EDR, 奇安信天擎EDR, Symantec-EDR, Sophos EDR
Antivirus Vendors Windows-Defender, Avira, Avast, ESET, McAfee
Chinese Vendors 360, 火绒, 联想电脑管家, 金山毒霸
相关推荐
bryant_meng3 个月前
【BoF】《Bag of Freebies for Training Object Detection Neural Networks》
人工智能·目标检测·计算机视觉·bof
Sugobet4 个月前
.NET技巧 - 控制台应用隐藏窗口
网络安全·渗透测试·免杀·钓鱼·tryhackme·攻防演练
Sugobet4 个月前
【红队技巧】.Net免杀 绕过主流杀软
网络安全·渗透测试·.net·免杀·tryhackme·红队行动
Pluto-20034 个月前
WEB渗透免杀篇-Golang免杀
web安全·网络安全·golang·渗透测试·免杀·web渗透
Whoami@127.0.0.15 个月前
免杀笔记 ---> 函数踩踏 && PEB寻址
免杀·绕av·函数踩踏·内存寻址
Whoami@127.0.0.15 个月前
免杀笔记 ----> 动态调用
免杀·绕av·动态调用
Whoami@127.0.0.16 个月前
免杀笔记 ----> DLL注入
免杀·dll注入
Whoami@127.0.0.16 个月前
免杀笔记 ---> PE
免杀·pe·绕av
Whoami@127.0.0.16 个月前
免杀笔记 ---> C语言
c语言·免杀