+, тоже проверил. огромное спасибо автору. удивительно, что не закрывают дыру
-
XSS.stack #1 – первый литературный журнал от юзеров форума
malware Стиллер на Powershell
- Автор темы Crocuta
- Дата начала
-
- Теги
- amsi malware powershell stealer
- Автор темы
- Добавить закладку
- #22
Вопрос не ко мне, но думаю, что имеется в виду обход амси через рефлексию. Ее на самом деле, очень долго уже не закрывают)
Статья супер! Очень интересно. Жаль не могу проголосовать за тебя из-за даты реги.
ТС красавчик! Реализация очень интересная, под свои нужды поднастроить и гоу.
+ в голосовалке от меня.
+ в голосовалке от меня.
Каким образом вы изучали PowerShell с учетом его применения в Malware кодинге, и какие специализированные ресурсы или материалы вы можете рекомендовать для такого изучения?
Просто не могу не отметить, что ваша идея использования PowerShell оказалась гениальной! Протестировав софт, могу подтвердить, что всё работает идеально и очень быстро. Хотя возникали некоторые сложности при настройке, но с третьей попытки всё заиграло.
- Автор темы
- Добавить закладку
- #27
Да на самом деле лучше изучать просто кодинг малвари в целом, а не конкретно кодинг на powershell. А там на нем самом уже можно реализовать многие техники. Далеко не все, конечно, но многие. А внимание на него как-то обратил из-за обсуждений тут, на форуме, из отчетов всяких инфобез экспертов и тд. Так что, идея юзать пш для малвари не моя) Но за отзыв спасибо)
кто то еще юзает этот стилак ? после обновы хрома перестал собирать куки , ищу решение фикс
в обмен могу дать модуль по сбору крипты и блок гео снг , допиливал под него
в обмен могу дать модуль по сбору крипты и блок гео снг , допиливал под него
Последнее редактирование:
Хром теперь как понял свой драйвер юзает, https://habr.com/ru/companies/kaspersky/articles/833914/
Это наверное нужен инжект в сам хром, либо как то от его имени запускаться, я сам хз как служба работает.
Но могу скинуть где этот ключ получается в коде хрома. Ну или алгоритм нужно знать.
Код:
HRESULT DecryptAppBoundString(const std::string& ciphertext,
std::string& plaintext,
DWORD& last_error,
std::string* log_message) {
DCHECK(!ciphertext.empty());
base::win::AssertComInitialized();
Microsoft::WRL::ComPtr<IElevator> elevator;
last_error = ERROR_GEN_FAILURE;
HRESULT hr = ::CoCreateInstance(
install_static::GetElevatorClsid(), nullptr, CLSCTX_LOCAL_SERVER,
install_static::GetElevatorIid(), IID_PPV_ARGS_Helper(&elevator));
if (FAILED(hr))
return hr;
hr = ::CoSetProxyBlanket(
elevator.Get(), RPC_C_AUTHN_DEFAULT, RPC_C_AUTHZ_DEFAULT,
COLE_DEFAULT_PRINCIPAL, RPC_C_AUTHN_LEVEL_PKT_PRIVACY,
RPC_C_IMP_LEVEL_IMPERSONATE, nullptr, EOAC_DYNAMIC_CLOAKING);
if (FAILED(hr))
return hr;
base::win::ScopedBstr ciphertext_data;
::memcpy(ciphertext_data.AllocateBytes(ciphertext.length()),
ciphertext.data(), ciphertext.length());
base::win::ScopedBstr plaintext_data;
hr = elevator->DecryptData(ciphertext_data.Get(), plaintext_data.Receive(),
&last_error);
if (FAILED(hr)) {
if (log_message) {
log_message->assign(
reinterpret_cast<std::string::value_type*>(plaintext_data.Get()),
plaintext_data.ByteLength());
}
return hr;
}
plaintext.assign(
reinterpret_cast<std::string::value_type*>(plaintext_data.Get()),
plaintext_data.ByteLength());
::SecureZeroMemory(plaintext_data.Get(), plaintext_data.ByteLength());
last_error = ERROR_SUCCESS;
return S_OK;
}
Респект
в edge импортится хром без проблем и можно достать дешифрованые куки (и пассы) уже из edge
но непонятно возможно ли это сделать из шелла без графического интерфейса
прикольная идея с стилером
Попробуй запускать хром с --remote-debugging-port
и уже через дебаг порт вытаскивать куки, есть подозрение что все так делают
any video ?
подскжите, что не так сделал может?
на чем тестишь ? если новый хром , то не соберет
у него хром да и браве)
кто может интегрировать в этот проект сбор обновленного хрома ?
и желательно восстановление гугл сессий из токена
за достойную оплату через гарант
и желательно восстановление гугл сессий из токена
за достойную оплату через гарант
Может кто скинуть новую линку на архив с панелью?