evasion techniques

  1. Сергей Попов

    Статья EntryPoint Hijacking: process injection техники нового поколения для обхода EDR

    На последнем внутреннем пентесте финтех-проекта я собрал кастомный загрузчик с indirect syscalls - NtCreateThreadEx через ручной маппинг SSN всё равно улетел в алерт CrowdStrike Falcon за 800 миллисекунд. Проблема не в обёртке над syscall. Проблема в подходе: любая инъекция процессов, которая...
  2. Сергей Попов

    Статья ML IDS обнаружение атак без сигнатур: слепые зоны поведенческого детектора

    Полгода назад на внутреннем Red Team-упражнении Isolation Forest, обученный на месячном baseline из Zeek conn.log, пропустил DNS-туннель с exfiltration объёмом 800 КБ. Feature vector - средний размер пакетов, количество сессий за интервал, соотношение forward/backward байтов - оставался в...