Малварь на Go

[tenfield]

Что скажете о использовании гошечки для малвари? Стиллер/Загрузчик

Плюсы
высокоуровневый. Отправка на gate 20 строк, создание zip 60.
в стандартной либе есть json, работа с путями, шифрование, base64
кросплатформенная сборка
собирается в единый exe с зависимостями

Минусы
Нескромный размер бинарника в 3-9 Мб
Новые версии не поддерживают windows 7

В статье ( /threads/124496/ ) я анализировал бинарник. После сборки находятся строки, пути к файлам, имена функций.
Артефакты можно подделать, но от веса не избавиться. Толкать ли дальше эту лошадь?
Что скажете?

 

[hiddenname3]

если как-то сигнатуру exe можно легко обновлять то мб и неплохо

 

[warpedwater]

https://github.com/burrowers/garble, но где то тут писали что не все пути обрубает, нужно доп флаги ставить

 

[EnableSwartz]

если говорить конкретно под загрузчик, то есть ака hells gate реализация на го https://github.com/C-Sto/BananaPhone/tree/master. реп 2 года не обновлялся, но принцип работы с моей точки зрения не особо поменялся.

 

[barnaul]

Идея, имхо, такая же, как и писать её на питоне - это уродство, блядство, разврат, наркотики

 

[DildoFagins]

Нууу, на мой взгляд смысла в целом мало. Если нужно сделать какую-то малварь на короткий срок, то, наверное, можно, если нужна малварь, которая должна прожить несколько лет, то скорее нет, чем да. Я постараюсь пояснить. У идиланга жирные бинари с большим количеством rtti: имена структур и функций попадают в бинари, ида в последних версиях умеет rtti-таблицы парсить. Есть всякий garble, который до некоторой степени может rtti-таблицы порезать, но он довольно примитивный, и я не знаю, как эти жирные бинари нормально морфить, чтобы аверов обходить. Допустим, мы можем поморфить наш исходник, модифицируя исходник перед компиляцией, но ничего не помешает аверу докопаться до библиотек, которые мы использовали, в том числе и к сравнительно уникальной для нашей малвари комбинации использованных функций из стандартной библиотеки. Вроде бы всратое, но для многих очевидное решение - упаковать эти монструозные экзешники в loadpe/runpe, но детекты по памяти никто не отменял, и вангую, что надо еще будет постараться, чтобы найти криптор, который нормально сработает с идиланг бинарями (хотя я не тестил, может это и просто будет).