Mentre un'installazione base di un processo beacon può avvenire senza essere rilevata, eseguire attività di post sfruttamento vulnerabilità ed altro da un oggetto BOF,

potrebbe far scattare dai sistemi di protezione EDR, una scansione di memoria nel client che ospita il beacon.

I sistemi EDR potrebbero successivamente uccidere il processo beacon.

L'articolo di Joshua Magri (Xforce) spiegava come modificare (e mascherare) l'area di memoria, dove il processo beacon risiede dormendo.

__

La pagina originale non è disponbile da fine anno 2024. Tramite Web Archive è possibile consultare l'ultima versione.

Qui la pagina salvata in formato PDF.

__

__

back