Introducción En la edición anterior, discutimos cómo evadir Rubeus comprendiendo y analizando las reglas YARA que actúan como base de detección. Sin embargo, esto no fue suficiente, ya que al intentar ejecutar la herramienta en un entorno con Windows Defender, esta seguía siendo detectada. Esto se debe a que aún existen medidas de seguridad adicionales que deben ser sorteadas, y precisamente esto es lo que abordaremos en esta entrada. Objetivo Seguimos enfocándonos en la evasión de análisis estático del binario, por lo que la estrategia principal continúa siendo su modificación. Windows Defender no proporciona un listado de las reglas de detección de la misma manera que las reglas YARA, lo que hace que el proceso de detección y evasión sea más tedioso y desafiante. Para esta tarea, utilizaremos una herramienta desarrollada por Daniel Duggan llamada ThreatCheck. Esta herramienta explota el binario de escaneo de Windows Defender para realizar múltiples consultas, utilizando un enfoque ba...
- Obtener enlace
- X
- Correo electrónico
- Otras aplicaciones