• XSS.stack #1 – первый литературный журнал от юзеров форума

Как склеить легитную аппку и малварь?

Отслеживать
bloodcatz

bloodcatz

RAID-массив
Пользователь
Регистрация
12.07.2023
Сообщения
59
Реакции
10
Задача склеить установщик легитной программы и малварь, чтобы он подгружался до или после установки.
Как это делают и какой % отстука теряют? Есть ли условно бесплатный способ создать такой установщик без детектов?
(при условии, что у малвари детектов не будет). Буду рад услышать ваши мысли по этому поводу!
 
Сортировать по дате Сортировать по голосам
не ну давайте размышлять, можно ли обойти смарт не юзая серт? теоретически можно.
ищем сервис по раскачке файла, и усё, какие то 1-10к пруфнутых скачек и запуска, и ваш файл чистый на скачку.
НО насколько это реально.... раньше слышал были такие сервисы, сейчас не наблюдаю.
я msgbox на c++ напишу, и на него уже будет детект при скачке.
Так что либо при криптовке используются какие то методы связанные с сертами, либо видео в студию.
 
За 0 Против
MrBang сказал(а):
не ну давайте размышлять, можно ли обойти смарт не юзая серт? теоретически можно.
ищем сервис по раскачке файла, и усё, какие то 1-10к пруфнутых скачек и запуска, и ваш файл чистый на скачку.
НО насколько это реально.... раньше слышал были такие сервисы, сейчас не наблюдаю.
я msgbox на c++ напишу, и на него уже будет детект при скачке.
Так что либо при криптовке используются какие то методы связанные с сертами, либо видео в студию.
какие то 1-10к пруфнутых скачек и запуска, и ваш файл чистый на скачку, скорее после 10-скачек файл начнёт палиться гугл защитой при установке
 
За 0 Против
Fooll Zero сказал(а):
Ты хочешь его наебать? Удачи, но не втирай пожалуйста)))))
а в чем наеб? dll sideloading не влияет на работу dll в процессе совершенно никак, но следующие правила
относится к теме, (если dll sideloading не имеет подписи, то еще ничего, а если палился он сто процентов имеет правила, а еще такие моменты как Mark To Web если dll ее имеет, это очевидный детект, так что грузить как легальный бинарник с хрома не получится, в большем кол-ве случаев если def с sideloading ватаканит значит не рельса плохие, а создатель, у ав нет списка вечных хешей актуальной dll ки, c отправкой в лабу, но пропустить обязан) то что сейчас каждый лоадер построен на rundll32 и крепится через шедулер тем же rundll32))), это просто от аутизма, не надо его перевешивать на других
github.com

sigma/rules/windows/network_connection/sysmon_rundll32_net_connections.yml at 08ca62cc8860f4660e945805d0dd615ce75258c1 · SigmaHQ/sigma

Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
github.com
github.com

sigma/rules/windows/network_connection/sysmon_regsvr32_network_activity.yml at 08ca62cc8860f4660e945805d0dd615ce75258c1 · SigmaHQ/sigma

Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
github.com
просто правила на rundll32
github.com

sigma/rules/windows/process_creation/win_rundll32_without_parameters.yml at 08ca62cc8860f4660e945805d0dd615ce75258c1 · SigmaHQ/sigma

Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
github.com
github.com

sigma/rules/windows/process_creation/win_susp_rundll32_by_ordinal.yml at 08ca62cc8860f4660e945805d0dd615ce75258c1 · SigmaHQ/sigma

Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
github.com
Если crowdstrike какой нибудь пропустил rundll32 на low это гарантированный алерт в панель
 
Последнее редактирование:
За 0 Против
bloodcatz сказал(а):
The task is to glue together the installer of a legitimate program and malware so that it is loaded before or after installation.
How do they do this and what % of the tap is lost? Is there a conditionally free way to create such an installer without detections?
(provided that the malware will not have detections). I will be glad to hear your thoughts on this matter!
If you can find and get into remotely accessible shared drives, NAS, Cloud Storage, or even just a file server via misconfigurations, or public RCE you can replace their files with yours so that when a user runs what they think is the real installer they are running yours. Many times the user has direct USB or SMB access to the NAS in question so they never end up using a browser to obtain your file.
 
За 0 Против
как вариант сделать это:

www.ixbt.com

Путеводитель по системам для создания инсталляторов

Знакомство пользователя с программой чаще всего начинается с запуска инсталлятора. Внешний вид («упаковка») и функциональность продукта определяется разработчиком. Пользователю нужно иметь возможность проконтролировать процесс, выставив нужные параметры установки. Для разработчика же важно...
www.ixbt.com www.ixbt.com
https://www.ixbt.com/soft/installers-2.shtml
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх