Стандартный mimikatz в CS — fork&run, два лишних события для EDR. Штатный имплант Sliver весит 9 МБ и палится на этапе доставки. Выход — не новый C2 с нуля, а точечные расширения под конкретный engagement.BOF: 2–10 КБ, выполнение inline в процессе Beacon без нового...
Разработка расширений C2 фреймворков: BOF, агенты Mythic и плагины Sliver на практике
Источник: codeby.net