Hello everyone. I hope I shared this topic in the right place. How to create a fully undetectable EXE files?
How to encrypt EXE file? Anyone knows?
Thanks in advance!
How to encrypt EXE file? Anyone knows?
Thanks in advance!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
How to encrypt EXE files?
- Автор темы Rufiq
- Дата начала
Pm @albert_ridik telegram
EN: Subscribing to an encryption service will be a wise move, As it takes thousands of working hours and expertise of elite level of coding and making methods to make an exe FUD scan or runtime, and also bypasses the WD& Cloud.
RU: Подписка на службу шифрования будет разумным шагом, поскольку для создания сканирования или среды выполнения exe FUD требуются тысячи рабочих часов и опыт элитного уровня в области кодирования и создания методов, а также обходится WD& Cloud.
Хрюкнул с
Если кратко, то любой криптер в основе своей это просто обертка над твоим исполняемым файлом. Он содержит в себе мусорные ресурсы и функции, которые в сумме симулируют поведение, не характерное для твоего exe. Сам файл хранится внутри в зашифрованном виде и декриптится в рантайме, сразу выгружаясь в память. На это все веселье при желании можно навесить sandbox evasion и еще кучу всяких извращений, в зависимости от степени протечки кукухи автора.
Основная трудность в написании (а если быть точным, то в поддержке) криптера заключается не в том, что бы сделать свой файл FUD, а в том, что бы твой FUD не отвалился при массовом использовании твоего криптера. Поэтому если ты пишешь чисто для себя - вполне можно управиться своими силами, если не жестить, а вот если тебе нужен крипт на какой-нибудь ботнет, или, боже упаси, ты хочешь сервис по крипту сделать, то тут готовься переписывать криптер буквально каждый день.
И на всякий случай напоминаю, что никакой крипт не спасет от детектов в рантайме
Надеюсь было полезно
thousands of working hours and expertise of elite level of coding в ответе выше)Если кратко, то любой криптер в основе своей это просто обертка над твоим исполняемым файлом. Он содержит в себе мусорные ресурсы и функции, которые в сумме симулируют поведение, не характерное для твоего exe. Сам файл хранится внутри в зашифрованном виде и декриптится в рантайме, сразу выгружаясь в память. На это все веселье при желании можно навесить sandbox evasion и еще кучу всяких извращений, в зависимости от степени протечки кукухи автора.
Основная трудность в написании (а если быть точным, то в поддержке) криптера заключается не в том, что бы сделать свой файл FUD, а в том, что бы твой FUD не отвалился при массовом использовании твоего криптера. Поэтому если ты пишешь чисто для себя - вполне можно управиться своими силами, если не жестить, а вот если тебе нужен крипт на какой-нибудь ботнет, или, боже упаси, ты хочешь сервис по крипту сделать, то тут готовься переписывать криптер буквально каждый день.
И на всякий случай напоминаю, что никакой крипт не спасет от детектов в рантайме
Надеюсь было полезно
I can agree with what has been said, as this accurately explains precisely what is involved with building a crypter. The quality also tends to be very much different between different authors.
I am building now for 15 months a crypter written from scratch!! For best results avoiding signature scanning (both static and runtime as there are tools like PE-Sieve that will catch your malware), everything must write be written from scratch, in a clean-room fashion for good results.
To answer your question RE: how to create a FUD .exe, we must re-define some things to make everything more clear.
You say, how to encrypt .exe file? This is really asking, how do I encrypt a PE file at compile time, and then generate "stub" files to decrypt and execute the PE at runtime?
This is what is involved.
You must then encrypt the '.exe', which is simply a PE file (portable executable), using a script at pre-build time. You perform your encryption of your assets, such as binary (your .EXE file), or DLL (provably more stealthy), and emit a decoder/decrypter stub, writing all of this to your "output" file. This "output file is then the malicious file that you must get to your target, executed on his system.
To accomplish this, you will need to:
- Learn the PE file format (deep knowledge)
- Write a parser for the PE format
- Write code for serializing/deserialiing data structure from memory
- Avoid dropping any files to disk, unless it is on purpose
- Code generator for creating "stub" files. This is simply a program, in your case, that can decrypt and execute some embedded PE file (maybe as shellcode, or you could do RunPE style)
- Learn and implement multiple injection techniques or another means of execution
- Implement API anti-hooking technique
- Implementl ETW evasion to avoid detection by powerful EDR, such as CrowdStrike
- more...
Hopefully some of this helps you understand the task and how to accomplish your goals. Maybe of my listed items are optional and not implemented in some existing tools.
- m00npie
BTW, this all needs to be automated! You will not be able to keep up on development when mass distribute a crypter like this.
I think it is possible for a crypter to avoid runtime detection. Using techniques like of a "loader" or "protector", which is basically what a runtime crypter does, can avoid runtime detection.
I am building now for 15 months a crypter written from scratch!! For best results avoiding signature scanning (both static and runtime as there are tools like PE-Sieve that will catch your malware), everything must write be written from scratch, in a clean-room fashion for good results.
To answer your question RE: how to create a FUD .exe, we must re-define some things to make everything more clear.
You say, how to encrypt .exe file? This is really asking, how do I encrypt a PE file at compile time, and then generate "stub" files to decrypt and execute the PE at runtime?
This is what is involved.
You must then encrypt the '.exe', which is simply a PE file (portable executable), using a script at pre-build time. You perform your encryption of your assets, such as binary (your .EXE file), or DLL (provably more stealthy), and emit a decoder/decrypter stub, writing all of this to your "output" file. This "output file is then the malicious file that you must get to your target, executed on his system.
To accomplish this, you will need to:
- Learn the PE file format (deep knowledge)
- Write a parser for the PE format
- Write code for serializing/deserialiing data structure from memory
- Avoid dropping any files to disk, unless it is on purpose
- Code generator for creating "stub" files. This is simply a program, in your case, that can decrypt and execute some embedded PE file (maybe as shellcode, or you could do RunPE style)
- Learn and implement multiple injection techniques or another means of execution
- Implement API anti-hooking technique
- Implementl ETW evasion to avoid detection by powerful EDR, such as CrowdStrike
- more...
Hopefully some of this helps you understand the task and how to accomplish your goals. Maybe of my listed items are optional and not implemented in some existing tools.
- m00npie
BTW, this all needs to be automated! You will not be able to keep up on development when mass distribute a crypter like this.
I think it is possible for a crypter to avoid runtime detection. Using techniques like of a "loader" or "protector", which is basically what a runtime crypter does, can avoid runtime detection.
Последнее редактирование:
Its a best of all what i have read from last 3 month
В этом то и беда, что когда ты заливаешь очень много установок - там не получится обойтись какой-то простой заглушкой, в таких ситуациях нужно сверх сильно заморачиваться, или делать делать инфекторы. И такое ПО может стоить 10 20 30 40 000$. Ибо как было упомянуто в данном топике - для таких движений нужно иметь опыт не менее чем 5-7-10 лет в программировании. + Постоянное обновление ПО, обучение и обновление Yara баз у VT, та же самая RED team, которая очень активно развивается в свере вредоносов. Подобный опыт стоит кучу денег. Я лично для себя сделал вывод о том, что проще купить подписку за 300-500$ на временную поддержку от разработчика и криптовать файлы у него. Это в любом случае старт пути к дальнейшему приобретению морфера и работы уже с ботнетом.Хрюкнул с в ответе выше)thousands of working hours and expertise of elite level of coding
Если кратко, то любой криптер в основе своей это просто обертка над твоим исполняемым файлом. Он содержит в себе мусорные ресурсы и функции, которые в сумме симулируют поведение, не характерное для твоего exe. Сам файл хранится внутри в зашифрованном виде и декриптится в рантайме, сразу выгружаясь в память. На это все веселье при желании можно навесить sandbox evasion и еще кучу всяких извращений, в зависимости от степени протечки кукухи автора.
Основная трудность в написании (а если быть точным, то в поддержке) криптера заключается не в том, что бы сделать свой файл FUD, а в том, что бы твой FUD не отвалился при массовом использовании твоего криптера. Поэтому если ты пишешь чисто для себя - вполне можно управиться своими силами, если не жестить, а вот если тебе нужен крипт на какой-нибудь ботнет, или, боже упаси, ты хочешь сервис по крипту сделать, то тут готовься переписывать криптер буквально каждый день.
И на всякий случай напоминаю, что никакой крипт не спасет от детектов в рантайме
Надеюсь было полезно
Действительно, это самый простой вариант. Тут самое главное, что бы разработчик не пропадал и поддерживал это все в адекватном виде, с чем иногда бывают трудности.
«никакой крипт не спасет от обнаружений во время выполнения», это расплывчатый ответ.
За последние несколько лет были обнаружены методы, которые устраняют проблемы во время выполнения. Конечно, вам придется зашифровать полезную нагрузку, чтобы избежать времени сканирования, но во время выполнения. Есть другой сценарий.
Решение?
Вы внедряете его в законный процесс, подписанный Microsoft и внесенный в белый список среды.
Например, использование APC-инъекций, ранних API-инъекций, исправлений ETW и AMSI (тривиально), Process Hollowing, thread hijacking.
За последние несколько лет были обнаружены методы, которые устраняют проблемы во время выполнения. Конечно, вам придется зашифровать полезную нагрузку, чтобы избежать времени сканирования, но во время выполнения. Есть другой сценарий.
Решение?
Вы внедряете его в законный процесс, подписанный Microsoft и внесенный в белый список среды.
Например, использование APC-инъекций, ранних API-инъекций, исправлений ETW и AMSI (тривиально), Process Hollowing, thread hijacking.
Malware Injection Techniques: Introduction
Malware use process injection as an evasion method. It includes executing custom code within the address space of another process to achieve stealth and, in certain situations, persistence. Process...
mcsi-library.readthedocs.io
if you are new to malware development i suggest for you first to learn about PE structure and c++ then about WINAPI and NTAPI because you will need them to create your crypt .
if you already have the skills but you want a guid if the exe is .net try bypass amsi if native you can write private process injection code to process hollowing your exe . the best way to load api is to use indirect syscalls to use ntapi+winapi functions because direct syscalls now are very detected
if you already have the skills but you want a guid if the exe is .net try bypass amsi if native you can write private process injection code to process hollowing your exe . the best way to load api is to use indirect syscalls to use ntapi+winapi functions because direct syscalls now are very detected