Byosi-逃避EDR的简单方式 不触摸任何API的钩子

逃避Edr是简单的方法，没有触摸任何API的钩子。

理论

我注意到大多数EDR无法扫描脚本文件，仅将其视为文本文件。尽管这对他们来说可能是不幸的，但这是我们获利的机会。

诸如居住在内存或线程注入中的浮华方法受到大量监控。如果没有有效证书授权签名的二进制，几乎不可能执行。

输入Byosi（带上自己的脚本解释器）。每个脚本解释器都由其创建者签名，每个证书都是有效的。在实时环境中进行的测试显示出令人惊讶的结果:该存储库的高度签名的PHP脚本不仅在由CrowdStrike和Trellix监控的系统上运行，而且还建立了外部连接而没有触发任何EDR检测。 EDR通常会忽略脚本文件，而是专注于植入物交付的二进制文件。它们配置为检测二进制文件中的高熵或可疑段，而不是简单的脚本。

这种攻击方法利用了这一监督，以获得可观的利润。 Powershell脚本的步骤反映了开发人员首次进入环境时可能会做什么。值得注意的是，只有四行Powershell代码完全逃避EDR检测，而Defender/AMSI也对此视而不见。除了有效性外，Github担任可信赖的部位。

这个脚本做什么

PowerShell脚本通过四个简单步骤（技术上3）:实现EDR/AV逃避

1.）它为Windows获取PHP档案，并将其提取到“ C: \ temp”中的名为“ php”的新目录中。

2.）然后该脚本继续获取Impulse PHP脚本或Shell，将其保存在相同的'C: \ temp \ php'目录中。

3.）之后，它使用白色PHP二进制（将二进制的大多数限制豁免将阻止二进制限制的大多数限制，这将阻止二进制运行。特别有趣的是，如果我的内存正确地为我服务，Sentinel One无法扫描PHP文件类型。因此，请随时让您的想象力疯狂。

免责声明。

我对滥用这一点绝不负责。这个问题是EDR保护方面的主要盲点，我只是将其引起所有人的注意。

感谢节

非常感谢@IM4X5YN74X亲切地称其为Byosi的名字，并帮助ENV测试将这种攻击方法带入生活。

编辑

似乎MS Defender现在正将PHP脚本标记为恶意，但仍然完全允许PowerShell脚本完全执行。因此，修改PHP脚本。

编辑

Hello Sentinel One :）可能要确保您制作未嵌入的链接。