- Цена
- $70
- Контакты
- knownsec@xmpp.eco.br
"Нерезидентный лоадер" написан на Python, обфускация Pyarmor, собран Pyinstaller'ом.
PoC загрузки и закрепления в системе xmrig майнера:
В теории, можно загружать таким образом любую малварь, т.к. у xmrig 50/70 детектов на virustotal, но лоадер успешно обходит WD.
Механизм работы:
1. Эскалация до админа с помощью fodhelper
(Без прав админа невозможно закрепиться в с системе или добавить исключения в дефендер)
2. Добавление в исключения дефендера всего диска
3. Xmrig скачивается с гитхаба и распаковывается
4. Закрепление в системе с помощью планировщика задач
Майнер настроил так, что при активности пользователя, он перестает майнить --pause-on-active=10 (после 10 секунд неактива начинает майнить), а также другие настройки, слегка уменьшающие утилизацию процессора, но сохраняя комфорт для пользователя.
Также, можно скрыть сам майнер под названием какого-нибудь легитимного процесса, убрать дефолтный .ico, распаковать в System32 (админ права позволяют) и т.д.
В теории, самым удобным способом доставки будет powershell команда для загрузки и запуска, т.к. права админа лоадер сам получает и таким образом можно не париться о смартскрине. Либо можно склеить с любым приложением, но будет смартскрин.
PoC загрузки и закрепления в системе xmrig майнера:
В теории, можно загружать таким образом любую малварь, т.к. у xmrig 50/70 детектов на virustotal, но лоадер успешно обходит WD.
Механизм работы:
1. Эскалация до админа с помощью fodhelper
(Без прав админа невозможно закрепиться в с системе или добавить исключения в дефендер)
2. Добавление в исключения дефендера всего диска
3. Xmrig скачивается с гитхаба и распаковывается
4. Закрепление в системе с помощью планировщика задач
Майнер настроил так, что при активности пользователя, он перестает майнить --pause-on-active=10 (после 10 секунд неактива начинает майнить), а также другие настройки, слегка уменьшающие утилизацию процессора, но сохраняя комфорт для пользователя.
Также, можно скрыть сам майнер под названием какого-нибудь легитимного процесса, убрать дефолтный .ico, распаковать в System32 (админ права позволяют) и т.д.
В теории, самым удобным способом доставки будет powershell команда для загрузки и запуска, т.к. права админа лоадер сам получает и таким образом можно не париться о смартскрине. Либо можно склеить с любым приложением, но будет смартскрин.
