Selamlar, biraz zamanım vardı bugün bişey denedim. Son zamanlarda Defender ve CrowdStrike gibi EDR'ler user-mode hook'larını çok iyi yakalıyor ama direct syscall ile işler değişiyor. NtCreateThreadEx gibi fonksiyonları direkt syscall numarasıyla çağırınca hook'lar tamamen bypass oluyor. Tabi her windows build'de syscall ID'ler değiştiği için biraz dinamik çözüm lazım.
Asıl iş syscall tablosunu runtime'da çözmekte. Ben basit bi PoC ile NtAllocateVirtualMemory'i direkt çağırdım ve shellcode inject ettim, hiç alert almadım. Aşağıda temel yapıyı paylaşıyorum.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Tabi productionda daha sağlam resolver lazım, Hell's Gate veya FreshyCalls gibi tekniklerle birleştirince işler bayağı temiz oluyor. Deneyen olursa sonuçları yazsın.
