Бляцкий Windows defender

[RUDGE]

Собственно сабж конкретно задрал кидать всякие генерики типа wacapew или wacatac. Из детектов по сути дефендер и пару нонеймов.
Как я ни ставил иконки, паддинги, с мусором или без - все равно. На что триггерится это чудо? Или у них мега апдейт вышел на днях?

 

[KernelMode]

это не на днях, это уже достаточно давно такое поведение

 

[RUDGE]

это не на днях, это уже достаточно давно такое поведение

Сами генерики - да, но раньше вроде все тип топ было, по крайней мере у меня. Достаточно было проект новый создать, пару функций изменить и все. Файл очень долго ходил и был результат.
Сейчас же какая то лютая дрочь, только он один и душит. Пишу на .NET к слову.

 

[KernelMode]

попробуй сделать нативный лойдер для дотнета - Donut можешь как образец посмотреть

 

[RUDGE]

У меня чутка по другому

В нативном лоадере не особо много опыта у меня, как то использовал его, но пришел к тому что больше детектов от него сыпется, чаще файл на аверских тачках дрочится и тд и тп. Ну или скорее всего у меня руки из жепы чтобы нативный код писать)

 

[xchg]

Ну наверно можно избежать,дроппером или лоадером инсталл на популярных инсталляторах

 

[gofender]

Такая же фигня, но пишу на golang. Пробовал старые версии компиляторов, но через пару дней всё тоже самое. Причем даже на белый софт эти же генереки, а это значит, что дело в runtime.

 

[coree]

Была такая же хрень с пакером, давал вакатак, пофиксил расстановкой слипов в коде.

 

[RUDGE]

Ага, таки не у меня одного жепа сгорает с этого)

Такая же фигня, но пишу на golang. Пробовал старые версии компиляторов, но через пару дней всё тоже самое. Причем даже на белый софт эти же генереки, а это значит, что дело в runtime.

Аналогично, в коде просто функция либы сторонней вызвается, а воя сколько - вакатак/хуяк/агент тесла.

Была такая же хрень с пакером, давал вакатак, пофиксил расстановкой слипов в коде.

Не, нифига, клауд ебет таки. Походу придется в тупую долбить все методы/дробить код на функции и тестить/тестить

 

[RUDGE]

Проблема решилась сменой конечного сервера и разбавленим кода трешем в небольшом количестве, всем спасибоо за ответы

 

[Russian_Coder]

Смотрите что я понял за свое время и как сам тещу.

Включаю все функции ВД кроме авто-отправки семплов на их сервера. Открываю браузер качаю файл ехе по прямой ссылке и смотрю если же файл после скачки автоматом убивает ВАТАКАТ то это проблема в сигнатурке, а если все скачали и он висит там типо почти загружен секунд 20-30 то он этот файл в сигнатурке чистым посчитал и запускает уже в своей виртуальной среде которую можно посмотреть по нагрузке процессора почти в сотку ( если слабый дедик)

 

[salsa20]

Сегодня пришел и ко мне в гости Wacatac/Wacapew/Sabsik -> решил генерацией треша. Резы проверял на вирустотале! Надеюсь поможет!

upd. вышло все не так, треш ток замедлил ВД на некоторое время

 

[ZXSCoder]

Вот вчера изучал как раз https://xss.pro/threads/110871/
Думал памп не нужен....но после того как запампил до 200мб дропнутый засраный в хлам файл он видать слетал в облако и через пару минут задетектился. Не смотря на то что в исключениях ДФ лежит
Запампил до 700мб файл лежит воркает при чем грязный как елка и все ок.

 

[salsa20]

Как решил по итогу?

Просто стаб сменил на новый и не детектит с вм, если залить на вирустотал то может наверное детект повесить.

 

[Kernel32dll]

del

 

[secidiot]

Wacatac может возникнуть буквально на любом этапе заражения системы. Wacatac может ставиться на архив, но при этом файл, находящийся в архиве, не будет детектить. И наоборот. Архив - чист, файл при распаковке - детектится. Причины Wacatac могут быть как от «грязного» домена, так и до запуска вашего файла в эмуляторе. По статистике я наблюдал детекты Wacatac/Sabsik при установке иконок, ресурсов, а также при использовании обфускации кода на базе LLVM.
Также мною лично было замечено то, что на разных виртуальных машинах Wacatac возникал через раз, что тоже немного странно. Старайтесь смотреть в первую очередь на свой код: всякие криптографические функции, строки, импорт, постарайтесь не ходить в открытую по PEB’у (разбавляйте поиск адреса мусором) и т.д
Если используете паблик обфускаторы - то может в этом трабла.
Проверьте уровень энтропии по секциям, это детект который буквально может распространяться на что угодно.
Если все выше предложенное не помогло - проверяйте ресурсы.
Добавляйте защиту от запуска в облаке/эмуляторе.
Нигде нет описания этого детекта, и название у него дебильное, так что тут только тесты, тесты и еще раз тесты

Еще утечки памяти, переполнение стека или другие логические ошибки это триггер для деффа. По пути \AppData\Local\CrashDumps\ можно посмотреть дампы памяти с крашами. Или когда используешь шеллкод для тестов по типу этого. При инжекте в удаленный процесс и завршении его он вызывает краш.

Спойлер: шеллкод

Так что не забывайте про CloseHandle, HeapFree, VirtualFee, InternetCloseHandle и тд

 

[salsa20]

Еще утечки памяти, переполнение стека или другие логические ошибки это триггер для деффа. По пути \AppData\Local\CrashDumps\ можно посмотреть дампы памяти с крашами. Или когда используешь шеллкод для тестов по типу этого. При инжекте в удаленный процесс и завршении его он вызывает краш.

Спойлер: шеллкод

Посмотреть вложение 80569

Так что не забывайте про CloseHandle, HeapFree, VirtualFee, InternetCloseHandle и тд

та не, ты это уже преувеличил