Обзор техник обхода EDR-решений
Систематический обзор актуальных методов уклонения от EDR/XDR решений, актуальных на 2026 год.
Основные подходы:
Пример: indirect syscall wrapper
Противодействие (для Blue Team):
Материал предоставлен в образовательных целях для специалистов по кибербезопасности.
Систематический обзор актуальных методов уклонения от EDR/XDR решений, актуальных на 2026 год.
Основные подходы:
- Syscall unhooking — прямые системные вызовы (direct/indirect syscalls)
- ETW patching — отключение Event Tracing for Windows
- AMSI bypass — обход антималварного интерфейса
- Sleep obfuscation — шифрование payload в памяти между вызовами
- Module stomping — внедрение кода в легитимные DLL
Пример: indirect syscall wrapper
Код:
; Indirect syscall via ntdll
mov r10, rcx
mov eax, SSN ; System Service Number
jmp [ntdll_stub] ; Jump to ntdll syscall instruction
Противодействие (для Blue Team):
- Kernel callback monitoring
- Hypervisor-based memory scanning
- Behavioral analysis с ML
- Hardware breakpoint detection
Материал предоставлен в образовательных целях для специалистов по кибербезопасности.