PowerShell команды для запуска стиллера

[cryptoapple]

Если предположительно я захочу использовать стиллер и устанавливать его посредством копирования команд PowerShell в виндовс, после открытия cmd вставляю команды, нажимаю enter, и стиллер загружается ставится и запускается сразу, без какого либо подтверждения или ручной установки и так далее. Нужно ли мне криптовать его? И как понять какие команды мне нужно вбивать? Можно использовать любой стиллер или тут нужно что то и делать для этого? Как я понял стиллер загружается с сайта-загрузчика и автоматически ставится и запускается после копирования команд в cmd, и наверное это не зависит от стиллера, я прав? Хотелось бы подробностей на эту тему.

 

[parag0n]

что значит "ставится" ?
в идеале стилер никуда не должен ставиться. не должен даже дропаться на диск. отработал и не оставил следы своего пребывания.
запускать стилер нужно лоадером или дроппером. вот их нужно криптовать. а стилер должен быть чист в рантайме.

а по стальным вопросам тут есть https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/123994/

 

[cryptoapple]

что значит "ставится" ?
в идеале стилер никуда не должен ставиться. не должен даже дропаться на диск. отработал и не оставил следы своего пребывания.
запускать стилер нужно лоадером или дроппером. вот их нужно криптовать. а стилер должен быть чист в рантайме.

а по стальным вопросам тут есть https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/123994/

То есть нужно найти того кто будет предоставлять крипт и кто будет предоставлять стиллер, но как быть с лоадером? К кому нужно обращаться чтобы получить лоадер? Так же к какому то человеку который этим занимается? Или как это делается?

 

[parag0n]

лоадеры - тоже предоставляют в услугах. можно грузить и напрямую, но скорее всего при этом стилер нужно будет намного чаще криптовать чем лоадер.
возможно тебе стоит поискать статью на тему как и что делать.
вкратце...
арендуешь стилер, криптуешь (тот кто сдаст стилер в аренду может посоветовать и крипт), достаешь загрузки(есть люди кто самостоятельно грузит твой файл), либо находишь траф и через ленд(покупаешь или арендуешь) впариваешь свой файл.

 

[Tr0jan_Horse]

Слушай, по разному, можно стилер скачать повершеллом и запустить, но тогда больше запар с криптом, потому что если что-то скачается, то это будет проверено по-любому, лучше если лоадер без записи исполняет стилак. Хотя через повершелл тоже можно сделать сценарий, но это будет геморрнее, повершелл должен получить стилак и запустить его в процессе каком-то без записи, тут надо делать инъекцию в процесс свой или чужой, геморрно делать это на повершелле, но возможно. Я бы посоветовал использоать шарп и повершелл, он поддерживает вызовы из библиотек шарпа, раньше я так делал полезную нагрузку, но и такая тема тоже палится.

 

[cryptoapple]

лоадеры - тоже предоставляют в услугах. можно грузить и напрямую, но скорее всего при этом стилер нужно будет намного чаще криптовать чем лоадер.
возможно тебе стоит поискать статью на тему как и что делать.
вкратце...
арендуешь стилер, криптуешь (тот кто сдаст стилер в аренду может посоветовать и крипт), достаешь загрузки(есть люди кто самостоятельно грузит твой файл), либо находишь траф и через ленд(покупаешь или арендуешь) впариваешь свой файл.

Да это я в целом знаю, просто не погружался в эту тему. Трафф лить точечно собираюсь, хочу именно чтобы стиллер запускали и грузили через PowerShell команды которые будут вставлять в терминал в винде, поэтому решил спросить как именно сделать это, как именно понять какие повершел команды нужно предоставлять чтобы они загружали лоадер он запускал стиллер и при этом не нужно было бы ничего скачивать самому и все происходило только через cmd за 1 вставку.

 

[cryptoapple]

Слушай, по разному, можно стилер скачать повершеллом и запустить, но тогда больше запар с криптом, потому что если что-то скачается, то это будет проверено по-любому, лучше если лоадер без записи исполняет стилак. Хотя через повершелл тоже можно сделать сценарий, но это будет геморрнее, повершелл должен получить стилак и запустить его в процессе каком-то без записи, тут надо делать инъекцию в процесс свой или чужой, геморрно делать это на повершелле, но возможно. Я бы посоветовал использоать шарп и повершелл, он поддерживает вызовы из библиотек шарпа, раньше я так делал полезную нагрузку, но и такая тема тоже палится.

В том плане что нужно чаще криптовать его? Ну смотри, я взял в аренду стиллер, сделал крипт, лоадер. Что мне нужно сделать чтобы было максимально эффективно загружать и запускать его мамонту через повершелл? Вся суть в том что он не знает что он что то скачивает и запускает, поэтому нужно чтобы это произошло максимально непонятно, он вставил какие то команды и должен придти лог. Как это сделать максимально эффективно и как вообще эти команды найти? К кому нужно обращаться? К тому кто предоставляет лоадер?

 

[cryptoapple]

лоадеры - тоже предоставляют в услугах. можно грузить и напрямую, но скорее всего при этом стилер нужно будет намного чаще криптовать чем лоадер.
возможно тебе стоит поискать статью на тему как и что делать.
вкратце...
арендуешь стилер, криптуешь (тот кто сдаст стилер в аренду может посоветовать и крипт), достаешь загрузки(есть люди кто самостоятельно грузит твой файл), либо находишь траф и через ленд(покупаешь или арендуешь) впариваешь свой файл.

Посмотрел stealc стиллер, там уже встроенный нерезидентский лоадер пишут, и автоматический крипт через бота у них есть

 

[Tr0jan_Horse]

В том плане что нужно чаще криптовать его? Ну смотри, я взял в аренду стиллер, сделал крипт, лоадер. Что мне нужно сделать чтобы было максимально эффективно загружать и запускать его мамонту через повершелл? Вся суть в том что он не знает что он что то скачивает и запускает, поэтому нужно чтобы это произошло максимально непонятно, он вставил какие то команды и должен придти лог. Как это сделать максимально эффективно и как вообще эти команды найти? К кому нужно обращаться? К тому кто предоставляет лоадер?

Ес ли хороший лоадер и цель чтоб мамонт запустио повершеллом стилак, то проще написать или арендовать лоадер, который повершелл скачает и запустит

 

[parag0n]

Да это я в целом знаю, просто не погружался в эту тему. Трафф лить точечно собираюсь, хочу именно чтобы стиллер запускали и грузили через PowerShell команды которые будут вставлять в терминал в винде, поэтому решил спросить как именно сделать это, как именно понять какие повершел команды нужно предоставлять чтобы они загружали лоадер он запускал стиллер и при этом не нужно было бы ничего скачивать самому и все происходило только через cmd за 1 вставку.

это тебе нужно проконсультироваться с теми кто разбирается в powershell и cmd и консоли и т.д.
почти все палится. нужно искать чтото уникальное.

Посмотрел stealc стиллер, там уже встроенный нерезидентский лоадер пишут, и автоматический крипт через бота у них есть

конечно сервисы максимально упрощают работу своим клиентам.
но посоветовать стилер или сервис не могу. не знаю просто что у кого и как.

 

[warp]

Если предположительно я захочу использовать стиллер и устанавливать его посредством копирования команд PowerShell в виндовс, после открытия cmd вставляю команды, нажимаю enter, и стиллер загружается ставится и запускается сразу, без какого либо подтверждения или ручной установки и так далее. Нужно ли мне криптовать его? И как понять какие команды мне нужно вбивать? Можно использовать любой стиллер или тут нужно что то и делать для этого? Как я понял стиллер загружается с сайта-загрузчика и автоматически ставится и запускается после копирования команд в cmd, и наверное это не зависит от стиллера, я прав? Хотелось бы подробностей на эту тему.

а зачем именно командами в терминале?

если цель именно вставить в павершел консоль команду и она все сделает, то залей билд на любой прямой юрл(гитхаб/дискорд) - попроси любую нейронку написать тебе простой пс код для загрузки файла с твоего юрл и запуск, сверху можешь накрыть base64.

но на своем опыте скажу, что пс скрипты которые пытаются что то скачать и запустить высекаются ав на корню, если что то и качать то под сильной обфускацией либо другими методами.

 

[cryptoapple]

а зачем именно командами в терминале?

если цель именно вставить в павершел консоль команду и она все сделает, то залей билд на любой прямой юрл(гитхаб/дискорд) - попроси любую нейронку написать тебе простой пс код для загрузки файла с твоего юрл и запуск, сверху можешь накрыть base64.

но на своем опыте скажу, что пс скрипты которые пытаются что то скачать и запустить высекаются ав на корню, если что то и качать то под сильной обфускацией либо другими методами.

Единственный способ при котором непонятно что это за команды и что вообще собирается какая то загрузка. Пс скрипты могут палиться как и любой другой метод как мне кажется, если лить напрямую например, сейчас наоборот участились методы скачиваний именно через повершел, значит все таки можно нормально скачивать. В целом просто может быть достаточно качественного крипта? Возможно ав не настолько кусачие что любую скачку+запуск пресекают, интересно как у них сделано.

 

[warp]

Единственный способ при котором непонятно что это за команды и что вообще собирается какая то загрузка. Пс скрипты могут палиться как и любой другой метод как мне кажется, если лить напрямую например, сейчас наоборот участились методы скачиваний именно через повершел, значит все таки можно нормально скачивать. В целом просто может быть достаточно качественного крипта? Возможно ав не настолько кусачие что любую скачку+запуск пресекают, интересно как у них сделано

пс скрипты отлично справляются с тем что бы приготовить систему для дроппа на нее билда(выключить виндеф например), если твой лоадер работает без инжекта.
не уверен что использование команд в терминале это эффективное решение для доставки полезной нагрузки, если все таки хочешь пробовать так - обфусцируй как можешь, голый пскод для загрузки и запуска файла тебе сразу даст аллерт как минимум на виндеф.

 

[NMZ]

такой тебе без проблем и чат гпт накидает =}

 

[cryptoapple]

пс скрипты отлично справляются с тем что бы приготовить систему для дроппа на нее билда(выключить виндеф например), если твой лоадер работает без инжекта.
не уверен что использование команд в терминале это эффективное решение для доставки полезной нагрузки, если все таки хочешь пробовать так - обфусцируй как можешь, голый пскод для загрузки и запуска файла тебе сразу даст аллерт как минимум на виндеф.

Вот пример как это сделано в подобном кейсе через пс.

 

[warp]

Вот пример как это сделано в подобном кейсе через пс

конверсия с такого будет минимальная, честно не представляю кто это запускал

Verifying press Yes...(запрос админ прав) =))

 

[cryptoapple]

конверсия с такого будет минимальная, честно не представляю кто это запускал

Verifying press Yes...(запрос админ прав) =))

А почему маленькая? Запрос админ прав всегда тригерит?
И если да, обязательно ли нужно запрашивать их? Или можно поумнее сделать чем в примере

 

[warp]

А почему маленькая?

да просто способ какой то угарный, выглядит очень глупо

Запрос админ прав всегда тригерит?

зависит от целей, в идеале что бы его не было

И если да, обязательно ли нужно

он их просил для добавления исключений, если они тебе не требуются то и просить не обязательно(только если файл который грузишь их не требует), а так да, можно реализовать UAC Bypass методы

 

[cryptoapple]

Ес ли хороший лоадер и цель чтоб мамонт запустио повершеллом стилак, то проще написать или арендовать лоадер, который повершелл скачает и запустит

Тогда нужно будет скачивать сам лоадер, это будет понятно что идет какая то загрузка, задача состоит в том чтобы не было понятно что вообще что то грузится, только команды в cmd и сразу лог. Никаких скачиваний.

 

[Tr0jan_Horse]

В таком случае, тебе надо реализовать функционал лоадера в повершелл. И где будет понятно, что идёт загрузка? Ты можешь сделать это в функционале другого повершелла, а затем запуск, как пример, либо запуск в памяти делай через повершелл, дам подсказку, повершелл позволяет использовать C# функционал
Это к примеру
[System.Console]::WriteLine("XSS the best");
Обратился к просратнству имён System, затем к классу Console и вызвал метод
Показал, что работает на примере онлайн компилятора