Статья short aurastealer #2

[Quake3]

В целом и про сисколы с нтапи можно так сказать - все это скорее от реверсера нежели от ав детектов

Но ведь так и есть, по сути; это защита от юзермодных отладчиков и т.п. фигни. Т.к. АВ юзают минифильтры в ядре и пофиг на сисколы.
Да, кое что оно обходит, но сейчас не 2008 год.

в корпах есть системы на вин7

В корпах и вин2к есть, тут вопрос того, что за софт мы пишем. Если что-то для пентеста - там одни условия, там желательна поддержка (хотя бы опциональная) NT 5 . А если стилак - смысла нет, все равно браузеры не работают на старых ОС, а если у кого и работают - таких людей мизерное к-тво и запустить у них стилак не выйдет.

не так понял сообщение Quake3

Белый софт юзает кроссплатформернные вещи типа QT, чтобы если что, пересобрать прогу для линупс и т.д. Поэтому там нет особого смысла юзать винапи напрямую, ибо надоест кодить под каждую ОС отдельно; удобнее взять либу, которая сама вызовет где что надо. В малвари же если ты будешь тянуть QT, то софт будет весить 100 метров, конечно некоторые клоуны так и пишут и пофиг, но мы говорим об адекватных людях, и там нужно винапи. Винсок сложно кодить с 0, да у всех кто кодил есть готовые либы-обертки, но винхттп удобнее.

 

[USA_Straday]

В целом и про сисколы с нтапи можно так сказать - все это скорее от реверсера нежели от ав детектов
Именно такие мысли у меня были когда я люму реверсил


Тапками таких закидать хочется

Там lts до 203* года насколько помню, да и все равно в корпах есть системы на вин7

Лично я привык проверять поддержку тех или иных фишек на вин7, условный ReadFile WriteFile пишу в соответствии с вин7

про сисколлы поспорю, можно подделать калстэк и будет всё хорошо

 

[USA_Straday]

Те же аллокации, одно дело LoadLibrary аллоцирует или маппит RE, другое дело какой то там 0xdeadbeef+8

 

[xChimera]

про сисколлы поспорю, можно подделать калстэк и будет всё хорошо

Юзермод вызов был? нет
В ядре вызов был? да
Детект

Те же аллокации, одно дело LoadLibrary аллоцирует или маппит RE, другое дело какой то там 0xdeadbeef+8

Загрузка работает иначе, в ядро приходит лишь увед о загрузке модуля, при мануал мапинге такого нет
А в случае с HookPe приходит колбек когда еще модуль не перезаписан, так что это не имеет значения

 

[USA_Straday]

Юзермод вызов был? нет
В ядре вызов был? да
Детект


Загрузка работает иначе, в ядро приходит лишь увед о загрузке модуля, при мануал мапинге такого нет
А в случае с HookPe приходит колбек когда еще модуль не перезаписан, так что это не имеет значения

я про mapviewof... и я всё ещё говорю о том что можно сделать вызов в юзер моде с чистым стеком и восстановить его перед самой инструкцией

 

[xChimera]

я про mapviewof... и я всё ещё говорю о том что можно сделать вызов в юзер моде с чистым стеком и восстановить его перед самой инструкцией

Inderect?

 

[n3byte]

Inderect?

Как минимум ты можешь просто сам сформировать синтетический стек фрейм

 

[xChimera]

Как минимум ты можешь просто сам сформировать синтетический стек фрейм

Я вкурсе, только смысл? в ядро то вызов все равно приходит. мало чем сисколы помогут щас, учитывая что у многих сейчас банальный wow64cpu гейт

 

[n3byte]

Я вкурсе, только смысл? в ядро то вызов все равно приходит. мало чем сисколы помогут щас, учитывая что у многих сейчас банальный wow64cpu гейт

Проходит, но теряется контекст такого вызова при раскручивании стека. По вызову одной функции сложно определить, является ли вызов вредоносным. По цепочке вызовов - вполне. Впрочем, даже директ сисколлы позволяют получить более чистую реализацию того же инжекта в процессы. Сделай две реализации какого то простого инжекта (например создание процесса и смена его контекста) и сравни детекты в рантайме

 

[xChimera]

Проходит, но теряется контекст такого вызова при раскручивании стека. По вызову одной функции сложно определить, является ли вызов вредоносным. По цепочке вызовов - вполне. Впрочем, даже директ сисколлы позволяют получить более чистую реализацию того же инжекта в процессы. Сделай две реализации какого то простого инжекта (например создание процесса и смена его контекста) и сравни детекты в рантайме

На счет инжекта - возможно, но в целом сисколы не актуальны на сегодняшний день имхо

 

[yslvintage]

но в целом сисколы не актуальны на сегодняшний день имхо

зато хомяки с форумов такие: оооо Hells Gate, ну сразу видно не ламер на овнере сидит! Беру!

 

[wizardo]

Был договор с аурой о том чтобы билд никуда ни в какой форме не ушел

всем интересующимся билдом - вам в первую тему. я выложил же ссылку на malware bazaar в первых нескольких предложениях?? там можно скачать билд без регистрации

 

[bantik]

зато хомяки с форумов такие: оооо Hells Gate, ну сразу видно не ламер на овнере сидит! Беру!

Наличие индирект сисколов реально же улучшает положение дел

 

[yslvintage]

Наличие индирект сисколов реально же улучшает положение дел

с каким антивирусом? в каком месте? в каком году?

 

[bantik]

с каким антивирусом? в каком месте? в каком году?

Я исходил из того факта, что EDR не любит когда возврат сискола у "непроверенного" куска памяти, и может пропустить возврат в легитимный процесс. (даже с учётом инлайн хука это сильно улучшает "дела")

 

[yslvintage]

Я исходил из того факта, что EDR не любит когда возврат сискола у "непроверенного" куска памяти, и может пропустить возврат в легитимный процесс. (даже с учётом инлайн хука это сильно улучшает "дела")

Чувак я не знаю в каком году ты застрял... но индирект сисколлы это что-то на уровне 2014 года, когда антивирусы не юзали виртуализаторы/минифильтры/etw. Сейчас тебе никакой индирект не поможет (и наоборот сделает хуже, что в статике, что в рантайме), ибо все важное логгается в KM. Правильный инжект в доверенный процесс - да, индирект - нет.

сискола у "непроверенного" куска памяти

У тебя его не будет, если ты не будешь дрочить свои индиректы с приветом из 2014

 

[USA_Straday]

Чувак я не знаю в каком году ты застрял... но индирект сисколлы это что-то на уровне 2014 года, когда антивирусы не юзали виртуализаторы/минифильтры/etw. Сейчас тебе никакой индирект не поможет (и наоборот сделает хуже, что в статике, что в рантайме), ибо все важное логгается в KM. Правильный инжект в доверенный процесс - да, индирект - нет.


У тебя его не будет, если ты не будешь дрочить свои индиректы с приветом из 2014

Давай честно, представь ситуацию индирект сисколла когда стэк в процессе вызова функции из ntdll был с чистыми аргументами, а в момент вызова syscall;ret; стал нормальным.


Что от ав требуется для того что бы убить тебя.

1) логать stack, backtrace и тп из UM (своя dll)
2) логать всё то же самое в KM

Что бы реализовать это нужно асинхронно делать и то и то.

Теперь вспоминаем о том что даже некоторые UI фичи уходят в KM т.к. тоже имеют syscall;ret;
Теперь вспоминаем о том что даже аверы асинхронно будут скидывать все эти логи в некий центр обработки, то снять backtrace + stack в UM + KM, взять mutex и тд и тп это
дохуя вызовов, тактов процессора, как душе угодно.

А потом нужно сравнить:
Был ли вызов сисколла из ntdll? А до ntdll какие dll были? В общем распарсить и пропустить через кучу проверок весь backtrace.
Потом сравнить всё это с легитимным списком, у некоторых ав детекты пишутся цепочками, т.е.:
ставим такой детект если тогда было вызвано то, потом это и при этом что то другое случилось вот так

Вы тут за сисколлы затираете забывая о том что весь этот анализ и покрытие всего спектра обнаружения это не тупой чек одной строкой для АВ вендоров.
Многие тачки с CrowdStrike, Sentinel One и тд и тп 2 RAM 2 CORE в Гипервозорах.

Даже если оно всё успешно обрабатывается где нибудь в облаке, то представьте себе ситуацию когда сигнал о вызове syscall из UM не дошёл
по причине банального бага, АВ пойдут крошить легитные процессы?


Хватит придуряться и страдать х#йнёй затирая за то как плохо сисколлить, одни пишут на форумах что карж умер, другие ходят и вбивают по 3к с центурионов.

 

[bantik]

Чувак я не знаю в каком году ты застрял... но индирект сисколлы это что-то на уровне 2014 года, когда антивирусы не юзали виртуализаторы/минифильтры/etw. Сейчас тебе никакой индирект не поможет (и наоборот сделает хуже, что в статике, что в рантайме), ибо все важное логгается в KM. Правильный инжект в доверенный процесс - да, индирект - нет.


У тебя его не будет, если ты не будешь дрочить свои индиректы с приветом из 2014

Не думал, что у меня всё ТАК запущено.

ибо все важное логгается в KM

Тогда вопрос по КМ. - кто такой и с чем едят.

 

[PrinceDeLaMort]

AuraCorp, привет. А почему вы не захотели написать простой код для JSON'a + использовать сокеты ? Когда я держал стилер, то у меня размер билда был 45 кб (NoCRT + NoSTL). Внутрянка хорошая, но её можно сделать идеальной

 

[xChimera]

AuraCorp, привет. А почему вы не захотели написать простой код для JSON'a + использовать сокеты ? Когда я держал стилер, то у меня размер билда был 45 кб (NoCRT + NoSTL). Внутрянка хорошая, но её можно сделать идеальной

Закос под легит софт - по поводу крт стл (да и в целом не всегда нужная дрочь)
По поводу жсона я им говорил
Сокеты имхо палево по сравнению с винхттп
Проект развивается, дорабатывается