By HireHackking in HACKER
· 1 view
Crimsonedr是一个开源项目,旨在识别特定的恶意软件模式,为磨练循环端点检测和响应(EDR)的技能提供工具。通过利用各种检测方法,它使用户能够加深对安全评估策略的理解。
功能
检测说明Direct Syscall检测直接系统调用的用法,该调用通常由恶意软件雇用以绕过传统的API挂钩。 ntdll解开,可以确定尝试在NTDLL库中解开功能的尝试,NTDLL库是一种常见的逃避技术。 AMSI补丁通过字节级分析检测对反恶意软件扫描接口(AMSI)的修改。 ETW补丁检测到Windows(ETW)事件跟踪的字节级变化,通常由恶意软件操纵以逃避检测。 PE踩踏标识PE(便携式可执行执行)踩踏的实例。反射PE加载可检测PE文件的反射加载,这是恶意软件采用的一种技术来避免静态分析。未经后面的线程来确定源自未经后面的内存区域的线程,通常表明恶意活动。未经后面的线程开始地址检测带有启动地址的线程,指向未回到的内存,这是代码注入的潜在迹象。 API挂钩在NTWriteVirtualMemory功能上放置一个钩子,以监视内存修改。自定义模式搜索使用户可以搜索JSON文件中提供的特定模式,从而促进识别已知的恶意软件签名。
安装
要开始使用Crimsonedr,请按照以下步骤:
安装依赖: bash sudo apt-get安装gcc-mingw-w64-x86-64克隆库库: bash git克隆3https://github.com/helixo32/crimsonedr编译Project: Bash Crimsonedr; chmod +x compile.sh;/compile.sh
警告
Windows Defender和其他防病毒程序可能会将DLL标记为恶意,因为其内容包含用于验证AMSI是否已修补的字节的内容。请确保使用Crimsonedr避免任何中断时,请确保将DLL白色或暂时禁用防病毒软件。
用法
要使用Crimsonedr,请按照以下步骤:
确保将ioc.json文件放置在当前目录中,从该目录中启动了可执行的可执行文件。例如,如果您启动可执行文件以从C: \ users \ admin \监视,则DLL将在C: \ Users \ Admin \ admin \ ioc.json中查找ioc.json。当前,IOC.JSON包含与MSFVENOM相关的模式。您可以轻松地以以下格式添加自己的
'ioc': [
['0x03','0x4c','0x24','0x08','0x45','0x39','0xd1','0x75'],
['0xf1','0x4c','0x03','0x4c','0x24','0x08','0x45','0x39'],
['0x58','0x44','0x8b','0x40','0x24','0x49','0x01','0xd0'],],
['0x66','0x41','0x8b','0x0c','0x48','0x44','0x8b','0x40'],],
['0x8b','0x0c','0x48','0x44','0x8b','0x40','0x1c','0x49'],
['0x01','0xc1','0x38','0xe0','0x75','0xf1','0x4c','0x03'],
['0x24','0x49','0x01','0xd0','0x66','0x41','0x8b','0x0c'],],
['0xe8','0xcc','0x00','0x00','0x00','0x41','0x51','0x41']
这是给出的
}执行Crimsonedrpanel.exe,具有以下参数:
-d path_to_dll:指定Crimsonedr.dll文件的路径。
-p Process_ID:指定要注入DLL的目标过程的进程ID(PID)。
示例:
。
有用的链接
这里有一些有用的资源,有助于开发该项目:
Windows流程,邪恶的异常和您的Maldev Academy
联系人
有关问题,反馈或支持,请与我联系:
Discord : Helixo32 LinkedIn : Matthias Ossard
Recommended Comments