Статья Пишем НА АССЕМБЛЕРЕ закрепление через ПОДМЕНУ программ в автозапуске: 1.5 кб инфектор!

[OLYMPO]

Я, конечно, ожидал бурной реакции, но не настолько...)) Впрочем, всё достаточно очевидно. Много экспертов набежало, будут сейчас нам рассказывать, на чём нам писать код, а на чём не писать. Когда мы уже кучу лет этим занимаемся))

Даже интересно, с чем связано это. Ставлю на зависть всё-таки, других причин нет. Человек увидел, кто-то пишет на ассемблере, сам он писать на ассемблере не может, поэтому зашёл сюда и написал, что мы такие плохие, нам писать на ассемблере нельзя и вообще это глупо и плохо.

 

[rootuser77]

Кроме пресловутых перечисленных компиляторов есть другие чистые которые реже используют , на них стиллер и любой другой софт несколько месяцев может висеть fud при трафике а не в архиве с паролем. Не знал бы не писал бы, знающие люди согласятся
Поэтому утверждать что то на 100% с тезисами вы это точно не сделаете у вас точно не получится и тд
С таким мышлением мы бы не летали на самолетах не летали бы в космос, не взрывали бы ядерные бч и тд, думаю

Увы, на Python FUD это точно не будет. Потому что сертификатов нет. И PyInstaller с Nuitka максимально грязнейшие стабы имеют. Вы с ним Defender никак не обойдёте - тоже проверено, уж поверьте)
Тоже самое про С\С++ и практически все другие языки (ну, кроме NodeJS). Стабы и кодогенераторы грязные, сертификатов нет, в целом - код легко прогоняется в облаке нейросетью и всё вываливается наружу. Впрочем, антивирус даже париться не будет с вашим файлом - сразу Wacatac\Wacapew повесит налегке.

В случае с ассемблером, как мы уже в статье сказали, проводится инъекция в ЛЕГАЛЬНЫЕ программы. От этого нейросеть напрягается - 99% легального и реально РАБОЧЕГО кода, а внутри наши 2 килобайтика вредоносных - так и обходим любой ML, мы это не скрываем (ну, потому что ассемблер, к счастью, пока мало кто осилить может, поэтому наши техники не воспроизвести).

Это всё легко проверить. Попытайтесь на досуге написать на С\С++ или Python такой код, который выдаст 0 на VT. Не получится у вас... Вот просто не получится и всё, можем поспорить)

Кроме пресловутых перечисленных компиляторов есть другие чистые которые реже используют , на них стиллер и любой другой софт несколько месяцев может висеть fud при трафике а не в архиве с паролем. Не знал бы не писал бы, знающие люди согласятся могу доказательства в студию.
Поэтому утверждать что то на 100% с тезисами вы это точно не сделаете у вас точно не получится и тд
С таким мышлением мы бы не летали на самолетах не летали бы в космос, не взрывали бы ядерные бч и тд, думаю смысл понятен
Утверждать что то в таком духе в корне не верно.

 

[rootuser77]

Кроме пресловутых перечисленных компиляторов есть другие чистые которые реже используют , на них стиллер и любой другой софт несколько месяцев может висеть fud при трафике а не в архиве с паролем. Не знал бы не писал бы, знающие люди согласятся
Поэтому утверждать что то на 100% с тезисами вы это точно не сделаете у вас точно не получится и тд
С таким мышлением мы бы не летали на самолетах не летали бы в космос, не взрывали бы ядерные бч и тд, думаю

Кроме пресловутых перечисленных компиляторов есть другие чистые которые реже используют , на них стиллер и любой другой софт несколько месяцев может висеть fud при трафике а не в архиве с паролем. Не знал бы не писал бы, знающие люди согласятся могу доказательства в студию.
Поэтому утверждать что то на 100% с тезисами вы это точно не сделаете у вас точно не получится и тд
С таким мышлением мы бы не летали на самолетах не летали бы в космос, не взрывали бы ядерные бч и тд, думаю смысл понятен
Утверждать что то в таком духе в корне не верно.

Извиняюсь за дубликаты писал с телефона
В общем каждому свое но если настаиваете на споре можно поспорить.
Я просто веду к тому что не нужно выставлять это как нохау и панацею ко всему

 

[OLYMPO]

Кроме пресловутых перечисленных компиляторов есть другие чистые которые реже используют , на них стиллер и любой другой софт несколько месяцев может висеть fud при трафике а не в архиве с паролем. Не знал бы не писал бы, знающие люди согласятся
Поэтому утверждать что то на 100% с тезисами вы это точно не сделаете у вас точно не получится и тд
С таким мышлением мы бы не летали на самолетах не летали бы в космос, не взрывали бы ядерные бч и тд, думаю

Кроме пресловутых перечисленных компиляторов есть другие чистые которые реже используют , на них стиллер и любой другой софт несколько месяцев может висеть fud при трафике а не в архиве с паролем. Не знал бы не писал бы, знающие люди согласятся могу доказательства в студию.
Поэтому утверждать что то на 100% с тезисами вы это точно не сделаете у вас точно не получится и тд
С таким мышлением мы бы не летали на самолетах не летали бы в космос, не взрывали бы ядерные бч и тд, думаю смысл понятен
Утверждать что то в таком духе в корне не верно.

И какие же компиляторы, например? Ни один компилятор не позволит Вам генерировать каждый раз уникальную информацию в файл, уникальные сертификаты, уникальные сигнатуры. Ассемблер - позволяет реализовать код шеллкодом и хоть каждый день внедрять его в разные программы - установщики браузеров, компиляторы, интерпретаторы, Телеграм, во что угодно. Вы это понимаете? Хорошо, покажите хоть один компилятор, который на выходе вам выдаст программу с иконкой, метаданными и сертификатами. Есть такой?

И другой вопрос - у вас есть пример реализации с 0\72 на VirusTotal, которая написана на высокоуровневом языке?

 

[DildoFagins]

а внутри наши 2 килобайтика вредоносных

Ну в качестве эксперимента сделай так полноценную малварь, хотя бы лоудер какой-нибудь минимальный, получи FUD на VirusTotal и выложи сюда всем на тесты. Когда ты заливаешь файлы на любой сервис, ты не знаешь, как настроен каждый конкретный антивирус в системе, на которой эти антивирусы гоняются. Что-то может проверятся только в статике, какие-то антивирусы вообще могут быть настроены на игнор 100мб экзешников.

Когда мы уже кучу лет этим занимаемся))

Ты почему-то не предполагаешь, что тут есть люди, которые занимаются этим большую кучу лет. Вообще, люди не любят саморекламы и особо важных мнений о себе, поэтому реакция совершенно очевидная, особенно после ряда забавных высказываний. Чего ты ожидал то после такого?

Ни один компилятор не позволит Вам генерировать каждый раз уникальную информацию в файл, уникальные сертификаты, уникальные сигнатуры.

Компилятор - нет, морфер перед, внутри или после компилятора - да.

позволяет реализовать код шеллкодом

Ты можешь написать шеллкод и на Си и на С++, например.

который на выходе вам выдаст программу с иконкой, метаданными и сертификатами

Если ты внедришь свой шеллкод в экзешник, то цифровая подпись у тебя будет некорректная. Добавить иконку и некорректную цифровую подпись можно в любой экзешник.

 

[rootuser77]

И какие же компиляторы, например? Ни один компилятор не позволит Вам генерировать каждый раз уникальную информацию в файл, уникальные сертификаты, уникальные сигнатуры. Ассемблер - позволяет реализовать код шеллкодом и хоть каждый день внедрять его в разные программы - установщики браузеров, компиляторы, интерпретаторы, Телеграм, во что угодно. Вы это понимаете? Хорошо, покажите хоть один компилятор, который на выходе вам выдаст программу с иконкой, метаданными и сертификатами.

Вы хотите сказать если вы внедряете в приложение с подписью свой код, она не теряет свою силу?
Обычно если даже иконку изменить на приложении уже будет предупреждение smart screen
А про компилятор, он и не должен давать возможность каждый раз другие сигнатуры
Сигнатуры другие даются через покрытие разными протекторами и тд. Это же база
А про шеллкод, есть инструменты pe to shellcode по типу clematis
Все до безобразия просто

 

[OLYMPO]

Ну в качестве эксперимента сделай так полноценную малварь, хотя бы лоудер какой-нибудь минимальный, получи FUD на VirusTotal и выложи сюда всем на тесты. Когда ты заливаешь файлы на любой сервис, ты не знаешь, как настроен каждый конкретный антивирус в системе, на которой эти антивирусы гоняются. Что-то может проверятся только в статике, какие-то антивирусы вообще могут быть настроены на игнор 100мб экзешников.

Я очень не хочу здесь нагло рекламироваться, поскольку всё-таки уважаю форум, и мы не внесли сюда депозит... Но раз вы не можете догадаться... Я секрет открою - OLYMP BOTNET это и есть наш лоадер, написанный на ассемблере, и для которого мы применяем ВСЕ перечисленные выше техники.

Мы рекомендуем сразу же после покупки покупателям заливать билд на VirusTotal для проверки на FUD. И там всегда 0. Онлайн стабильный всегда, хоть неделю после слива на VT - чаще всего детектов нет. Только недавно начали на нас вешать сигнатуры, но уже всё почистили.
Повторюсь - лоадер написан на ассемблере (+ есть модули для кражи данных).

Сейчас у нас 18 активных человек на подписке, это общая статистика всей панели (inactive bots - выключенные ПК или отработанные, могли туда залить какой-нибудь ransom, не наше дело):

Ни в коем случае не реклама! Не покупайте у нас ничего! Мы такие сякие плохие, пишем на ассемблере. Фу-фу.

 

[OLYMPO]

А про шеллкод, есть инструменты pe to shellcode по типу clematis

Тут и ваша критическая ошибка. Ручной шеллкод будет намного качественнее. Плюс на ассемблере легко написать самошифрующийся код, что также обходит статическое сканирование. Все эти инструменты... Извиняюсь за слово - говно на палочке)) такие же грязные стабы, как и кодогенератор С\С++.

 

[rootuser77]

Я, конечно, ожидал бурной реакции, но не настолько...)) Впрочем, всё достаточно очевидно. Много экспертов набежало, будут сейчас нам рассказывать, на чём нам писать код, а на чём не писать. Когда мы уже кучу лет этим занимаемся))

Даже интересно, с чем связано это. Ставлю на зависть всё-таки, других причин нет. Человек увидел, кто-то пишет на ассемблере, сам он писать на ассемблере не может, поэтому зашёл сюда и написал, что мы такие плохие, нам писать на ассемблере нельзя и вообще это глупо и плохо.

Мы уважаем и всячески почитаем асемблеристов и олдскул кодеров
Дело в том что вы применили асемблер там где без него очень легко обойтись и представили это как панацею от всего.

 

[rootuser77]

Я очень не хочу здесь нагло рекламироваться, поскольку всё-таки уважаю форум, и мы не внесли сюда депозит... Но раз вы не можете догадаться... Я секрет открою - OLYMP BOTNET это и есть наш лоадер, написанный на ассемблере, и для которого мы применяем ВСЕ перечисленные выше техники.

Мы рекомендуем сразу же после покупки покупателям заливать билд на VirusTotal для проверки на FUD. И там всегда 0. Онлайн стабильный всегда, хоть неделю после слива на VT - чаще всего детектов нет. Только недавно начали на нас вешать сигнатуры, но уже всё почистили.
Повторюсь - лоадер написан на ассемблере (+ есть модули для кражи данных).

Сейчас у нас 18 активных человек на подписке, это общая статистика всей панели (inactive bots - выключенные ПК или отработанные, могли туда залить какой-нибудь ransom, не наше дело):

Ни в коем случае не реклама! Не покупайте у нас ничего! Мы такие сякие плохие, пишем на ассемблере. Фу-фу.

Он жить будет 3дня, неделю верно?

Неделя трафика и уже 30 детектов
Мы все уже это проходили
И по итогу ваш ботнет сдохнет через несколько месяцев если не мучаться и обновлять по на клиенте
Бессмысленно писать такое на ассемблере и ваши красивые скриншоты это просто красивые скриншоты

 

[OLYMPO]

Он жить будет 3дня, неделю верно?

Неделя трафика и уже 30 детектов
Мы все уже это проходили
И по итогу ваш ботнет сдохнет через несколько месяцев если не мучаться и обновлять по на клиенте
Бессмысленно писать такое на ассемблере и ваши красивые скриншоты это просто красивые скриншоты

Нет, больше недели точно живёт. В панельке морфер, всё зависит от того, как лично покупатель будете использовать билд. Если залить на VT и туда сразу стиллер залить - конечно, будет детект (VT в песочнице свяжет лоадер со стиллером). Если залить на VT, подождать пару дней и начать пролив - будет 0 обнаружений и очень долгая чистота.

Как мы уже сказали, для нас билд почистить - как раз плюнуть) просто инжектнуть в другую программу, и готово.

 

[DildoFagins]

Ни в коем случае не реклама! Не покупайте у нас ничего! Мы такие сякие плохие, пишем на ассемблере. Фу-фу.

Так все твои топики (в размере двух штук) на форуме сделаны только с одной целью - реклама.

Мы рекомендуем сразу же после покупки покупателям заливать билд на VirusTotal для проверки на FUD. И там всегда 0.

Ноль на вирустотале, как и на любой другой платформе, не означает ноль в реальном мире, я об этом уже говорил.

 

[OLYMPO]

Так все твои топики (в размере двух штук) на форуме сделаны только с одной целью - реклама.


Ноль на вирустотале, как и на любой другой платформе, не означает ноль в реальном мире, я об этом уже говорил.

Ну, мы нагло не рекламируемся и прямые ссылки не предоставляем. Просто говорим, что вот есть какой-то OLYMP BOTNET, и всё. Кто захочет - найдёт. До этого даже не говорили, что такое вообще продаётся.

По поводу VT - на самом деле это отражает реальный результат. А по-вашему 20\72 на VT это значит 0 в реальном мире, или что? По-моему, логика как раз такая, что FUD должен быть исключительно 0 на VT, иначе это херня просто.
Ну, если Вас успокоит, мы дополнительно билды проверяем на виртуальной машине с Win11 на полностью чистой системе с полностью выкрученным Defender (все включённые функции, самая последняя база), билд исключительно качаем через браузер (проверка Smart Screen. Дропнутые файлы имеют выше доверие, поэтому так надёжнее). И как уже было сказано - всё чисто в рантайме и скантайме. Даже после создания задачи (читайте статью про Cyber-Kill-Chain, там описаны техники посредственного запуска, у нас лоадер не связывает дропнутые файлы с своим процессом, поэтому Defender не удаляет лоадер).

Опять же, ни в коем случае не реклама. У нас не внесён депозит, поэтому нам нельзя доверять.

 

[FCK_]

асм-джедаи ? а моторы индея завёдете ?

 

[waahoo]

Я пишу шеллкод на Си, хотя умею писать на ассемблере. Что со мной не так?
Знать асм круто, писать на асме не круто. Как только твой проект на асме перерастет MessageBox тебе придется буквально спустя две недели перечитывать свои же сорцы и вспоминать на кой х#й то или это было сделанно именно так.
Ну а если вздумаешь с этим поспорить или обосрать высокоуровневые языки, то в ответ можешь сразу прислать реализацию работы с регулярками или чистый SSL/TLS например (не wininet или winhttp) на асме. Смогешь?

Это конечно же все реклама, рекламодатель пытается зацепить или удивить местный люд словом АССЕМБЛЕР, ну типа только тру пишут на асме... Я Вам так скажу, на асме пишут еще не выгоревшие бедолаги, такому проекту с выходом в паблик жить не больше года с хорошим запасом.

 

[shrekushka]

 

[Patr1ck]

пишем на ассемблере уже больше 6-ти лет весь свой софт

А писали бы на C - справились бы за месяц

Попытайтесь на досуге написать на С\С++ или Python такой код, который выдаст 0 на VT. Не получится у вас... Вот просто не получится и всё, можем поспорить)

На сколько готовы поспорить?

 

[LohBit]

Я очень не хочу здесь нагло рекламироваться, поскольку всё-таки уважаю форум, и мы не внесли сюда депозит... Но раз вы не можете догадаться... Я секрет открою - OLYMP BOTNET это и есть наш лоадер, написанный на ассемблере, и для которого мы применяем ВСЕ перечисленные выше техники.

Мы рекомендуем сразу же после покупки покупателям заливать билд на VirusTotal для проверки на FUD. И там всегда 0. Онлайн стабильный всегда, хоть неделю после слива на VT - чаще всего детектов нет. Только недавно начали на нас вешать сигнатуры, но уже всё почистили.
Повторюсь - лоадер написан на ассемблере (+ есть модули для кражи данных).

Сейчас у нас 18 активных человек на подписке, это общая статистика всей панели (inactive bots - выключенные ПК или отработанные, могли туда залить какой-нибудь ransom, не наше дело):

Ни в коем случае не реклама! Не покупайте у нас ничего! Мы такие сякие плохие, пишем на ассемблере. Фу-фу.

ну так боты же будут все равно со временем отмирать и авер будет удалять разве нет? изменяя файл он не становиться легитным и хеш другой и серт слетает

 

[DildoFagins]

а моторы индея завёдете ?

ЗЫ: Прошу прощение, если перепутал аббревиатуры, я уже слишком старенький, чтобы все упомнить)

 

[xChimera]

Увы, на Python FUD это точно не будет. Потому что сертификатов нет. И PyInstaller с Nuitka максимально грязнейшие стабы имеют. Вы с ним Defender никак не обойдёте - тоже проверено, уж поверьте)