• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Обход AV, EDR, XDR

Отслеживать
ice0 сказал(а):
pyramid.py, замени 419 строчку.
Python: 
        ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER)
        ssl_context.load_cert_chain(certfile=options.sslcert, keyfile=options.sslkey)
        server.socket = ssl_context.wrap_socket(server.socket, server_side=True)
Spasibo< no uzje python3.9 nakatil :)
 
allmanah сказал(а):
Ребята обходят статику в 2к25 нету же других методов это сделать надо же это убожество на питоне тащить. Это не обход edr xdr anal-protection это дерьмо не на одной норм сетке не запустится только на компе Джона из Клинтона который дрочит на xxx и случайно скачал супер бразуер амиго без смс и регистрации.
райнтайм тоже обходило до недавнего времени, но сейчас дефендер ругается на строку сгенеренную пирамидой, выдает детект
Код: 
This program is used to create viruses, worms or other malware. [PwsZlib]->(SWC)
 
WhiteDragon сказал(а):
В 18ых годах надо было написать LLVM, ast ультра-морфер сорцов, поддерживающий C++11, выложить полный POC на форум, который поморфит тебе любой код, загрузит драйвер, анхукнет вызовы в ядре в перемешку с белыми вызовами апи, но этого было мало. Люди требовали сделать полиморфный ВМ со своим ЯП, даже в таком случае коммент Апокса под типу "баян", "делали еще в 2010 году" было не избежать, так еще из под бока выйдет хранитель с очередными видео, где покажет как обойти спам фильтр, пролить через адсы и не словить ни один алерт ни от хрома, ни от UAC без смс и регистрации. Помнится какой-то бедолага выложил стилер на форум на петоне, так его чуть до суицида не довели, а сейчас вполне так на конкурс тянет за 20к зеленых :)
Каких трудов стоило отбиваться от летящих тапок в этом 18 году, рассказывая ребятам про скриптвектор =)
 
WhiteDragon сказал(а):
Помнится какой-то бедолага выложил стилер на форум на петоне, так его чуть до суицида не довели
😂😂😂
 
Haunt сказал(а):
Каких трудов стоило отбиваться от летящих тапок в этом 18 году, рассказывая ребятам про скриптвектор =)
с возвращением старик!)
 
Haunt сказал(а):
Каких трудов стоило отбиваться от летящих тапок в этом 18 году, рассказывая ребятам про скриптвектор =)
накати билдер, что бы у всех попки подгорели ;)
 
dunkel сказал(а):
С подписью проще. Можно еще искать в подписанных софтах функции или уязвимости типо arbitrary code execution или dll hijacking, чтобы лоадер подгружал уязвимую софтину с офф сайта и от лица подписанной exe выполнял свой код. Такая альтернатива виндовой функции CreateRemoteThread которая сразу детектиться
Я тебе даже больше скажу, тебе не нужен легитимный софт с dll hijacking, ты можешь исполнить import poisoning. Логика следующая.main.exe, он же легитимный софт с подписью и его родным импортом dependency.dll. В импорты dependency.dll мы и встраиваемся, подмешивая туда рядом лежащий payload.dll. Либо с помощью CFF Explorer либо самописом.
 
Haunt сказал(а):
Я тебе даже больше скажу, тебе не нужен легитимный софт с dll hijacking, ты можешь исполнить import poisoning. Логика следующая.main.exe, он же легитимный софт с подписью и его родным импортом dependency.dll. В импорты dependency.dll мы и встраиваемся, подмешивая туда рядом лежащий payload.dll. Либо с помощью CFF Explorer либо самописом.
импорты -> найти ту которой нет в KnownDlls -> переименовать payload.dll в имя дллки
 
Последнее редактирование:
Haunt сказал(а):
Я тебе даже больше скажу, тебе не нужен легитимный софт с dll hijacking, ты можешь исполнить import poisoning. Логика следующая.main.exe, он же легитимный софт с подписью и его родным импортом dependency.dll. В импорты dependency.dll мы и встраиваемся, подмешивая туда рядом лежащий payload.dll. Либо с помощью CFF Explorer либо самописом.
https://xss.pro/threads/134790/
 
malware_cryptor сказал(а):
https://xss.pro/threads/134790/
Ага, python интерпретатор, встроенный в dll, эта dll встроенная в легитимный софт, сам пейдоад с запуском основного тела агента по флагу, устанавливаемому на сервере(условный запуск, с холостыми циклами опросов, пока не настанет час Х) = проход почти любых модераций при проливах трафика. Вот и собрали вундервафлю
 
Haunt сказал(а):
Ага, python интерпретатор, встроенный в dll, эта dll встроенная в легитимный софт, сам пейдоад с запуском основного тела агента по флагу, устанавливаемому на сервере(условный запуск, с холостыми циклами опросов, пока не настанет час Х) = проход почти любых модераций при проливах трафика. Вот и собрали вундервафлю
Надо будет попробовать собрать чтото такое
 
malware_cryptor сказал(а):
Надо будет попробовать собрать чтото такое
Кроме шуток, трафферы писяют кипятком, в поисках подобных решений. Некоторые пытаются заказывать разработку и подписывать свои впны со склейками, для прохождения модераций адсов и прочего, так что потенциал есть, да
 
Haunt сказал(а):
Кроме шуток, трафферы писяют кипятком, в поисках подобных решений. Некоторые пытаются заказывать разработку и подписывать свои впны со склейками, для прохождения модераций адсов и прочего, так что потенциал есть, да
Вот именно с такими ребятами и хочу потестить
 
robomusk сказал(а):
А как вы собираете проект в дальнейшем используя портативный питон ?
Архивом как вариант

Стейджер -> подгружать дропать в темп
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх