• XSS.stack #1 – первый литературный журнал от юзеров форума

Сложно ли обфусцировать\криптовать простенькие инструменты и надо ли оно вообще?

Отслеживать
Blu-ray

Blu-ray

(L2) cache
Пользователь
Регистрация
01.06.2024
Сообщения
301
Реакции
274
Гарант сделки
1
Привет всем!
Прошу не кидаться тапками, вполне возможно все нижеописанное это полная чушь

Ковыряю сейчас очередной рдп и уперся в то что мне нужен пивотинг, а все доступные инструменты давно паляться любыми антивирусами
И тут я задумался что было бы неплохо вообще иметь возможность криптовать\обфусцировать какие-то инструменты которые в теории могли бы мне упростить работу
Я не претендую на то чтобы научиться делать супер крутой крипт, хотелось бы чтобы просто появился какой-никакой шанс просунуть эти инструменты куда надо

Отсюда вопрос - стоит ли лезть в эти дебри с целью так сказать более эффективно пентестить, если пока нет возможности покупать софт\крипт у профессионалов
Я далек от темы крипта но время от времени читал какие-то посты и там описывались довольно колхозные (по мнению комментаторов) методы которые не требуют глубоких знаний языка но которые при этом вроде как работают, пусть и не так хорошо,

Из языков знаю только базу питона
 
Blu-ray сказал(а):
Отсюда вопрос - стоит ли лезть в эти дебри с целью так сказать более эффективно пентестить, если пока нет возможности покупать софт\крипт у профессионалов
Думаю тебе достаточно определить какой АВ стоит на машине и криптануть и любого селлера с проверкой что эти конкретные АВ не орут на твои инструменты. Самому криптовать учитывая что ты знаешь только базу питона у тебя вряд ли выйдет. Крипт это обобщённое понятие защиты ПО и в данном случае очистки от детектов АВ ( статика ). Крипт да и обфускация ( если рассматривать нормальные методы ) то это довольно кропотливый и сложный процесс. Тебе нужно знать и понимать в первую очередь как работает загрузчик Windows и разбираться в PE формате.
 
DarkBLUP сказал(а):
Думаю тебе достаточно определить какой АВ стоит на машине и криптануть и любого селлера с проверкой что эти конкретные АВ не орут на твои инструменты. Самому криптовать учитывая что ты знаешь только базу питона у тебя вряд ли выйдет. Крипт это обобщённое понятие защиты ПО и в данном случае очистки от детектов АВ ( статика ). Крипт да и обфускация ( если рассматривать нормальные методы ) то это довольно кропотливый и сложный процесс. Тебе нужно знать и понимать в первую очередь как работает загрузчик Windows и разбираться в PE формате.
Это если что начало всего, далее уже углублённое понимание работы АВ и ЕДР/ХДР.
 
I'll cure your impostor syndrome.)

13.jpg
 
Простой криптор можно сделать и на python.

Вот проект, позволяющий запускать exe/dll файлы: https://github.com/naksyn/PythonMemoryModule

Если код немного доработать под себя, можно запускать любой инструмент из памяти. Общий сценарий такой:
  • шифруем свой инструмент с помощью rc4 / aes
  • питоновским скриптом загружаем в память и расшифровываем
  • полученные байты передаем в PythonMemoryModule

Возможно, на каких-то AV/EDR не сработает, нужно проверять.
 
BigBug сказал(а):
Простой криптор можно сделать и на python.

Вот проект, позволяющий запускать exe/dll файлы: https://github.com/naksyn/PythonMemoryModule

Если код немного доработать под себя, можно запускать любой инструмент из памяти. Общий сценарий такой:
  • шифруем свой инструмент с помощью rc4 / aes
  • питоновским скриптом загружаем в память и расшифровываем
  • полученные байты передаем в PythonMemoryModule

Возможно, на каких-то AV/EDR не сработает, нужно проверять.
Вот я такого плана решения и имел ввиду, там их целая куча я так понял
Только готовые гитхабовские что я пробовал лично у меня не сработал не один
 
BigBug сказал(а):
Простой криптор можно сделать и на python.

Вот проект, позволяющий запускать exe/dll файлы: https://github.com/naksyn/PythonMemoryModule

Если код немного доработать под себя, можно запускать любой инструмент из памяти. Общий сценарий такой:
  • шифруем свой инструмент с помощью rc4 / aes
  • питоновским скриптом загружаем в память и расшифровываем
  • полученные байты передаем в PythonMemoryModule

Возможно, на каких-то AV/EDR не сработает, нужно проверять.
На этом форуме была статья для конкурсов по поводу этого метода, но это же не крипт, это просто запуск софта того что есть в памяти, но если создавать новый процесс и прога плоха в рантайме то не поможет ни один запуск в памяти, надо делать именно целую процедуру по обработке PE и желательно вшивать саму нагрузку в процесс запущенного легитимного ПО и будет отлично если с правами админа. Тогда это точно поможет избежать алерта от АВ. Но нужно понимать что очень многое зависит от самого АВ и его механизмов. Тот же Аваст бьёт на уровне Ring0.
 
Blu-ray сказал(а):
Вот я такого плана решения и имел ввиду, там их целая куча я так понял
Только готовые гитхабовские что я пробовал лично у меня не сработал не один
проактивка все равно спалит))
базовые знания всё же должны быть по архитектуре системы, pe-формату.
как минимум для проф-роста, чтобы не лечили и кидали своим FUD-криптом-ботнетом.
процесс это долгий и итеративный для начала взять какую нибудь тулзу с гита и попробывать самому почистить.

наглядно:

утилиты для нахождения сигнатур АВ:
github.com

GitHub - vxlabinfo/SignFinder: Tool for easy clean PE32 from AV signature

Tool for easy clean PE32 from AV signature . Contribute to vxlabinfo/SignFinder development by creating an account on GitHub.
github.com
github.com

GitHub - d3ranged/sf2: Antivirus Signature Search Toolkit

Antivirus Signature Search Toolkit. Contribute to d3ranged/sf2 development by creating an account on GitHub.
github.com
тут можно только пожелать терпения самому все учить/реверсить) и курить очень много блогов/ресерчеров.

SensePost | Sensecon 23: from Windows drivers to an almost fully working EDR

sensepost.com sensepost.com
 
DarkBLUP сказал(а):
На этом форуме была статья для конкурсов по поводу этого метода, но это же не крипт, это просто запуск софта того что есть в памяти, но если создавать новый процесс и прога плоха в рантайме то не поможет ни один запуск в памяти, надо делать именно целую процедуру по обработке PE и желательно вшивать саму нагрузку в процесс запущенного легитимного ПО и будет отлично если с правами админа. Тогда это точно поможет избежать алерта от АВ. Но нужно понимать что очень многое зависит от самого АВ и его механизмов. Тот же Аваст бьёт на уровне Ring0.
А что такое крипт? Обычно это стаб, в котором реализуется кастомный загрузчик PE-файлов, чаще всего методом Process hollowing или LoadPE и запускается полезная нагрузка. Проект, на который я дал ссылку - это как раз реализация LoadPE на python. Если дописать поверх него свой стаб, то формально это можно назвать криптом.

Понятно, что такой запуск PE-файлов не даст FUD, но и детектов не будет много. Например, мои решения набирают около 5 детектов на virustotal, часть из которых от ноунейм AV.
 
BigBug сказал(а):
А что такое крипт? Обычно это стаб, в котором реализуется кастомный загрузчик PE-файлов, чаще всего методом Process hollowing или LoadPE и запускается полезная нагрузка. Проект, на который я дал ссылку - это как раз реализация LoadPE на python. Если дописать поверх него свой стаб, то формально это можно назвать криптом.

Понятно, что такой запуск PE-файлов не даст FUD, но и детектов не будет много. Например, мои решения набирают около 5 детектов на virustotal, часть из которых от ноунейм AV.
Ну это обычно, но более правильно крипт скорее набор определенных решений в целях защиты и снятия алертов АВ. Методов загрузку в память много по мимо RunPE и LoadPE, но цель же сделать стаб и вредонос максимально живучим, что бы стаб жил без детектов как можно дольше что на массовом проливе что нет. Поэтому применяют разные методы антиэмуляции от АВ, конечно со временем сигнатуры бить начинают но от них можно избавиться, главное уметь обходить динамику.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх