Как работают криптеры ?

[D12]

Привествую форум, решил попрактиковаться и написать криптер, да только вот нашел мало инфы публично про то как они работают, почитал пару статеек но только скорее всего там про современные подходы никогда не напишут.
Поэтому спрашиваю тут, если есть возможность посоветуете где прочитать, поизучать, или где лучше код почитать (учу C, в гитхабе искал но там не понятно что лучше), да и в целом какие навыки нужны (к примеру реверсинг ASM и тд) перед началом.
Буду рад если расскажите подробно сразу тут, заранее спасибо.

 

[Che]

И если можно я свой вопрос тоже хочу задать, есть собранный софт exe, на чем писан я не знаю, его можно как то криптануть, без исходников и прочего?
Спасибо

 

[АлексейБелов]

Это действительно просто, преобразует exe в код оболочки

XOR шифрует код оболочки B64

Попытка ввести его в память.

 

[D12]

Это действительно просто, преобразует exe в код оболочки

XOR шифрует код оболочки B64

Попытка ввести его в память.

Т.Е если я правильно понял самое главное это инжект в память так чтобы антивирус не ругался, так?
А есть примеры подробные ? Можно и на других языках вместо C.

 

[АлексейБелов]

Вы можете сделать это на любом языке

Хотя, если вы хотите избежать c, вы можете использовать golang.

Да, инъекция в вспомять имеет решающее значение

Вот почему мы отцепим и т.д.

 

[H2SO4]

Кратко: стаб содержит в себе зашифрованную программу. При запуске расшифровывает, записывает в память своего процесса или чужого и выполняет.
Задача стаба выглядеть как обычная легитимная программа.
Статей вагон и маленькая тележка, юзай поиск по форуму.

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/39006/

https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/42999/

Начни с написания pe-загрузщика

 

[CoderHack]

Кратко: стаб содержит в себе зашифрованную программу. При запуске расшифровывает, записывает в память своего процесса или чужого и выполняет.
Задача стаба выглядеть как обычная легитимная программа.
Статей вагон и маленькая тележка, юзай поиск по форуму.

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/39006/

https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/42999/

Начни с написания pe-загрузщика

загрузить исполняемый код в память это задача именно криптера?

 

[АлексейБелов]

загрузить исполняемый код в память это задача именно криптера?

Да

 

[H2SO4]

загрузить исполняемый код в память это задача именно криптера?

да, это 90% от того что делает криптор, если не больше. То, как и чем шифруется пейлоад мало значения имеет, главное энтропию в норме держать

 

[АлексейБелов]

да, это 90% от того что делает криптор, если не больше. То, как и чем шифруется пейлоад мало значения имеет, главное энтропию в норме держать

Да, слишком высокая энтропия, и она тоже будет помечена

 

[HelloNULL]

Да, слишком высокая энтропия, и она тоже будет помечена

разбивайте файл как пример стеганография

 

[Ladger]

И если можно я свой вопрос тоже хочу задать, есть собранный софт exe, на чем писан я не знаю, его можно как то криптануть, без исходников и прочего?

Можно, а ты думаешь как работают криптеры? Им все равно на чем написан твой софт.

Это действительно просто, преобразует exe в код оболочки

XOR шифрует код оболочки B64

Попытка ввести его в память.

Такой метод был популярен в году 18, такое сразу съест AV в рантайме.

самое главное это инжект в память

Нет, самое главное это как ты мутируешь и морфишь код, инжект вообще не нужен, так как обычной мутации хватает. Если ты конечно не делаешь RunPE\LoadPE.

загрузить исполняемый код в память это задача именно криптера?

Задача криптера не запустить зашифрованные байты программы в память, а производить действия именно с кодом стаба, менять его и сбрасывать рантайм и скантайм детекты на текущем билде, а уже потом, если понадобится делать инжект, так как от обычного шифрования файла в XOR + AES256 + BASE64 ничего не будет, по итогу голый файл будет все равно в памяти висеть и AV его съест сразу же.
Если файл по итогу будет чистый, то шифровать байты будет необязательно, так как в окончательном результате, как бы ты не шифровал всё равно исходные байты окажутся в памяти без шифрования.

к примеру реверсинг ASM и тд) перед началом

Тебе эти навыки никак не пригодятся в создании криптера, перед началом тебе будет полезно узнать как работает мутация, обфускация, виртуализация, полиморф, пакеры. Вот самые основные, которые очень сильно помогут в создании криптера.

да только вот нашел мало инфы публично про то как они работают

Криптеры в основном используют данные типы:
Буду писать коротко*
1) Мутация - делает код более запутанным и различным от оригинала, так же меняются инструкции.
2) Обфускация - тоже самое, что и мутация, но только слабее, оно просто делает код менее читаемым, так же имеет отдельные настройки, которые можно отключить.
3) Виртуализация - воспроизводит твой код виртуально, отдельно от системы.
4) Полиморф - строит код программы фактически налету, который не обнаружается AV и всегда имеет различный код, но движок нужно обновлять.
5) Пакеры - сжимает исходный файл. Запаковывает весь код в другие секции.
Так же можно включить сюда защиту памяти, защиту от импортов, защиту ресурсов, AntiDebug (включен в (2)), AntiVirtualization

 

[Kernel32dll]

del

 

[Ladger]

Чооо. Как не понадобятся. Ну только если малварь не нативна, то да. А так, если интересно скрытие кода именно нативного, учите конечно же ассембли, компиляторы, форматы файлов, внутрянку системы хотяб в юзермоде. А все что ты упомянул напрямую без знания лоулевела не реализуемо, тем более если речь идет о мутации и виртуализации уже скомпиленного кода, это довольно сложная для понимания тема.

Он упомянул реверс asm, я не думаю, что он тут нужен. Конкретно реверс

 

[user_47]

Подскажите, как развернуть среду EDR для отработки уходов от алертов.

Есть готовый крипт с обычным meterpreter`ом на борту. Сигнатура не палится. Сложности начинаются при работе (идёт отвал через некоторое время). Траф через https (с самоподписаным сертификатом).

Достаточно ли для нормального антидетекта запускать такое хозяйство в криптованной dll из под белого бинарника из стандартных утилит винды (вроде wmiprvse.exe mobsync.exe ComcastVNC.exe и т.д.) ?

 

[deniska]

нет конечно, не достаточно. как стартовый пример - MemoryModulePP, неплохой загрузчик