Evasión de antivirus modernos usando Process Injection - MITRE T1055

 

En octubre de este año revisé algunas técnicas comunes de inyección de shellcode en otros procesos, también conocido como Process Injection y puse a prueba algunos antivirus, me hubiese gustado probar más, pero por tiempo no pude.

Me sorprendió que siendo técnicas conocidas y sin ofuscación alguna lograra evadir varios antivirus. 

Si bien esto lo hago con el propósito de aprender y poner a prueba algunas marcas (a todas les reporté esto), deja en evidencia lo que siempre decimos, que no debemos descansar en "cajas" ni en productos de seguridad si no que deben ser parte de una cadena de mecanismos de protección (protección por capas, partiendo por la capa 8).

Incluye el código fuente por si quieres poner a prueba tu antivirus.


Comentarios

Entradas populares de este blog

Ocultando la web shell como una imagen (Apache + PHP)