Метод доставки файла без алертов

[bickwfo6]

Ищу актуальные методы доставки файла через браузеры,
а точнее обход в первую очередь хром алертов, что делать если серты быстро умирают? как их прогревать самому быстро? если покупать прогретые то это будет слишком затратно? и сколько живут прогретые
что необходимо по-мимо лодыря с хорошим криптом и прогретого серта? для доставки хвнц со стиллом
буду благодарен за помощь в решении насущных вопросов и благодарность может быть финансовой если это действительно работает.

 

[conazx]

Ищу актуальные методы доставки файла через браузеры,
а точнее обход в первую очередь хром алертов, что делать если серты быстро умирают? как их прогревать самому быстро? если покупать прогретые то это будет слишком затратно? и сколько живут прогретые
что необходимо по-мимо лодыря с хорошим криптом и прогретого серта? для доставки хвнц со стиллом
буду благодарен за помощь в решении насущных вопросов и благодарность может быть финансовой если это действительно работает.

лодырь должен быть чистым без крипта) по поводу хром алертов решает вес файла

 

[tainted_l0ve]

Пара вариантов, как я вижу:

A. Либо вы отправляете архив с хорошим шифрованием DLL sideload. Это обходит предупреждения AV и браузера, но вы должны заставить пользователя поверить, что .exe на самом деле является документом или приложением, которое стоит распаковать (идея состоит в том, чтобы найти подписанный двоичный файл который грузит DLL, значок которого выглядит как документ, например, Windows ctfmon.exe)

B. Покажите пользователю фишинговую страницу с ныне печально известным методом доставки ClickFix (Win+R). Этот метод актуален и используется многими, включая северокорейских APT-парней). Внешний вид и функциональность фишинговой страницы будут зависеть от вашей цели. Например, некоторые люди отправляют сообщения на поддельные страницы Zoom/Google Meets, на которых, когда пользователь пытается присоединиться, он видит «ошибка, ваш микрофон не подключен, нажмите здесь, чтобы исправить», а когда он нажимает, он получает ручные инструкции нажать Win+R, Ctrl+V, Enter... Этот метод можно использовать во многих вариациях, единственным ограничением только воображение)

 

[Hex0r]

Пара вариантов, как я вижу:

A. Либо вы отправляете архив с хорошим шифрованием DLL sideload. Это обходит предупреждения AV и браузера, но вы должны заставить пользователя поверить, что .exe на самом деле является документом или приложением, которое стоит распаковать (идея состоит в том, чтобы найти подписанный двоичный файл который грузит DLL, значок которого выглядит как документ, например, Windows ctfmon.exe)

B. Покажите пользователю фишинговую страницу с ныне печально известным методом доставки ClickFix (Win+R). Этот метод актуален и используется многими, включая северокорейских APT-парней). Внешний вид и функциональность фишинговой страницы будут зависеть от вашей цели. Например, некоторые люди отправляют сообщения на поддельные страницы Zoom/Google Meets, на которых, когда пользователь пытается присоединиться, он видит «ошибка, ваш микрофон не подключен, нажмите здесь, чтобы исправить», а когда он нажимает, он получает ручные инструкции нажать Win+R, Ctrl+V, Enter... Этот метод можно использовать во многих вариациях, единственным ограничением только воображение)

Верно. Но можно еще и старый добрый EXE продвигать

 

[Bork]

Выдача с траст доменов каждый 10 скачек жс к примеру

 

[xChimera]

Ищу актуальные методы доставки файла через браузеры,
а точнее обход в первую очередь хром алертов, что делать если серты быстро умирают? как их прогревать самому быстро? если покупать прогретые то это будет слишком затратно? и сколько живут прогретые
что необходимо по-мимо лодыря с хорошим криптом и прогретого серта? для доставки хвнц со стиллом
буду благодарен за помощь в решении насущных вопросов и благодарность может быть финансовой если это действительно работает.

Зависит от твоего софта, на чем написан он
Как вариант использовать капчу Win + R -> скрипт повершелл -> отключение амси етв -> Assembly::Load
Либо еще вариант Win + R -> powershell script -> python

P.S. не заметил дату сообщения

 

[mor]

Скачивание exe напрямую почти всегда вызывает алерт. Лучше использовать другие варианты, например:

• запароленный архив
• дропер JS/HTA
• макрос Office
• ISO внутри zip
• стеганографию в png

Можно использовать также такие методы:

• CDN-туннелинг и edge-прокси
• Blob-файлы с JavaScript генерацией
• WebSocket-файл, переданный в частях

Для понимания, как Chrome решает блокировать или нет?

• смотрит домен, IP, репутацию, срок жизни, количество жалоб
• сравнивает с базами Google Safe Browsing, Microsoft SmartScreen
• проверяет по SSL сертификат, цепочка, гео-IP

Это так, вкратце, чтобы понимать в какую сторону смотреть.

 

[mock]

на msi кажется нет алертов

Как вариант использовать капчу Win + R -> скрипт повершелл -> отключение амси етв -> Assembly::Load

ЭТО ТАК РАБОТАЕТ!? т.е. патч amsi помогает обходить сканирование сборки .net? это прокатит с крутыми ав?

 

[xChimera]

ЭТО ТАК РАБОТАЕТ!?

 

[Fargo]

Хорошо ли работают сейчас .LNK с second stage, пропустит ли хром в архиве без пароля?