вопрос C2 связь

[OldFont]

я заметил, что многие кодеры всегда искали и стремятся общаться с C2 на основе некоторых необычных протоколов или методов, которые трудно обнаружить или сделать непоколебимый крипт, который не будет детектиться.

Я никогда не понимал, зачем это, я могу понять только 2 случая: если вы делаете maas или атакуете точечно, но если массовый пролив или иная причина тогда зачем, может быть я не понимаю правды, так что скажи мне, куда вы льете на что и как, лично я думал об этом, когда я начал писать свою малварь, я решил выбрать юзеров бомжей обычных школьников, которые юзают старый файрвол винды , старую сборку винды от флибустьера и им похуй на свой пк и так далее, и если у них есть сторонний AV, то зверь не отработает и удаляет все, если все правильно тогда киляем defender и закрепляемся - теперь у нас есть мощности под майнинг, проксирование и воровство данных

стоит ли мне связь с моим C2 сервером на каком то замудренном протоколе или стоит ли мне делать какой то впечатляющий крипт?

 

[Lipshitz]

I think it depends on your goals. If it is simply spreading to home users as you explain then common communication methods are OK, but if your goal involves long dwell times in secured environments you may want to think about more advanced techniques, even getting a baseline for network activity to create a profile that will blend into the background.

But to answer your question: Why not write a stable version and then experiment with different things and see what you can improve. You never know when that knowledge/ technique will come in handy. As security improves the low-hanging fruit will become detected more and more, increasing the technical skills needed to make a profit

 

[dunkel]

что многие кодеры всегда искали и стремятся общаться с C2 на основе некоторых необычных протоколов или методов, которые трудно обнаружить

аааааа эээээ что? приведи пример

 

[sawdust]

Ну сам подумай, где будет профит с логов больше: со школьников бомжей, которым мама компьютер купила и они буквально все подряд открывают, или с прохаванных юзеров, которые имеют работу (и средства соответственно, которые они где-то держат), которые думают о своей безопасности и имеют нормальный ав на машине?

 

[OldFont]

Ну сам подумай, где будет профит с логов больше: со школьников бомжей, которым мама компьютер купила и они буквально все подряд открывают, или с прохаванных юзеров, которые имеют работу (и средства соответственно, которые они где-то держат), которые думают о своей безопасности и имеют нормальный ав на машине?

ты говоришь о юзерах, подавляющее количество которых перешло на линух / использует антивири / слишком умны чтобы попасться на малварь (или любую другую разводку)

 

[sawdust]

ты говоришь о юзерах, подавляющее количество которых перешло на линух / использует антивири / слишком умны чтобы попасться на малварь (или любую другую разводку)

Так ты говоришь о "впечатляющем крипте", что под собой подразумевает избегание детекта антивируса. Ты правда думаешь, что таких большинство? Посмотри на os market share так называемый, линукс юзеров около 2-5% всего из общей массы всего трафика, а юзеров винды гораздо больше. Да и умных людей на планете просто из логики гораздо меньше, чем людей среднего/низкого интеллекта

 

[Whisper]

В это трудно поверить но факт, большинство людей тупые.
Это доказывают телефонные разводилы и таргетированный интелектуальный уровень основной массы медиа контента, в плане компов это еще усугубляется тем что многим просто некогда вникать, у них других дел полно.

 

[OldFont]

В это трудно поверить но факт, большинство людей тупые.
Это доказывают телефонные разводилы и таргетированный интелектуальный уровень основной массы медиа контента, в плане компов это еще усугубляется тем что многим просто некогда вникать, у них других дел полно.

может подскажете на чём мне сделать связь с C2 для многофункциональной малвари (в каком то смысле это rat только написанный с нуля и без лишнего)

 

[Whisper]

может подскажете на чём мне сделать связь с C2 для многофункциональной малвари (в каком то смысле это rat только написанный с нуля и без лишнего)

На том что будет работать на твоей целевой аудитории, если это безграмотные пользователи домашних пк то оверхед тебе точно не нужен. Делай как делают обычные легитимные приложения.

 

[Eject]

Когда тебя будут парить такие вещи как процент отстука и потря хостов тогда стоит задуматься.

 

[OldFont]

Когда тебя будут парить такие вещи как процент отстука и потря хостов тогда стоит задуматься.

потерю хостов я решил, проблем с отстуком никогда не было, это как писать надо чтобы вредонос который крепиться не отстучал ни разу

 

[asddddd]

Может кто написать как нужно делать связь с C2. Как скрывать хост? Использовать прокси? Нужно ли менять tls отпечатки? Или не использовать tls? Что то вроде примера хорошей реализации с2

 

[Eject]

потерю хостов я решил, проблем с отстуком никогда не было, это как писать надо чтобы вредонос который крепиться не отстучал ни разу

Я же тебе говорю не парься если тебя всё устраивает, люди прогружают на тысячи машин, вот тогда это является проблемой.

 

[BlackSun666]

I think it depends on your goals. If it is simply spreading to home users as you explain then common communication methods are OK, but if your goal involves long dwell times in secured environments you may want to think about more advanced techniques, even getting a baseline for network activity to create a profile that will blend into the background.

But to answer your question: Why not write a stable version and then experiment with different things and see what you can improve. You never know when that knowledge/ technique will come in handy. As security improves the low-hanging fruit will become detected more and more, increasing the technical skills needed to make a profit

Definitely this! In my opinion, HTTPS is more than enough for regular users.

If you necessit something more sophisticated, look into tunneling C2 traffic through an external channel: Teams, Slack, GitHub, etc. Check out this example which uses Reddit: github.com/kleiton0x00/RedditC2