Sporen wissen, logging uitschakelen, en doen alsof je er nooit bent geweest. Het digitale equivalent van achteruit de kamer uit lopen terwijl je je eigen voetstappen uitveegt. Maar dan met PowerShell.
Bestand
Wat het doet
evasion_etw_patch
ETW (Event Tracing for Windows) patchen: EtwEventWrite uitschakelen in het geheugen. Geen events meer. Geen logs meer. Het is alsof je de bewakingscamera’s uitschakelt vóór je de bank binnenloopt. Professioneel? Zeker. Subtiel? Absoluut.
evasion_eventlog
Event logs wissen: Security, System, PowerShell — alles. Het forensisch bewijs verwijderen. De digitale versie van de plaats delict schoonvegen. Met een bezem. Een hele grote bezem.
evasion_ps_history
PowerShell-geschiedenis en ScriptBlock logging uitschakelen. Want de commando’s die je hebt uitgevoerd hoeven niet voor het nageslacht bewaard te blijven. Sommige dingen zijn beter vergeten. Dit zijn die dingen.
evasion_mde_bypass
Microsoft Defender for Endpoint omzeilen: Mockingjay en nanodump technieken voor LSASS-dumping zonder MDE-alerts. De geavanceerde EDR die alles ziet — behalve dit. Tot de volgende update. Dan weer iets anders.
evasion_smb_exec
Tools uitvoeren vanaf SMB-shares: geen bestanden naar schijf schrijven, geen HTTP-verkeer. De tool draait direct vanaf jouw share. Geen disk I/O. Geen download-detectie. Het is alsof je een boek leest in de bibliotheek zonder het mee te nemen.
evasion_port_proxy
Netsh port proxy: downloads laten lijken alsof ze van localhost komen. De firewall ziet lokaal verkeer. Lokaal verkeer is veilig. Toch? Nee. Maar de firewall weet dat niet.
evasion_applocker_gpo
AppLocker uitschakelen door de handhavings-GPO aan te passen. Waarom AppLocker omzeilen als je het gewoon kunt uitzetten? Het is de meest directe aanpak. Niet de subtielste. Maar de effectiefste.
evasion_detection_break
Detectieketens doorbreken door onschuldige activiteit in te voegen. Ruis toevoegen aan het signaal. De SOC-analist ziet honderd events. Drie zijn relevant. Welke drie? Succes met zoeken.
evasion_wdac_bypass
Windows Defender Application Control analyseren en omzeilen. WDAC is strenger dan AppLocker. Maar “strenger” betekent niet “onoverkomelijk.” Het betekent alleen dat je iets langer moet nadenken. En dat heb je net gedaan.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.