• XSS.stack #1 – первый литературный журнал от юзеров форума

Нубский вопрос про self-contained EXE на Python или NodeJs + упаковщик - кто-то так делает малварь?

Перейти к новому Отслеживать
zdestuta

zdestuta

(L1) cache
Пользователь
Регистрация
04.06.2024
Сообщения
753
Реакции
374
Логика примерно такая:
1. Сами рантаймы Python и NodeJs они известные антивирусам и подозрений вызывать не должны по идее? (поправьте если не так)
2. Антивирусник врядли сможет (или сможет?) статически проанализировать обфусцированный код скриптов в self-contained EXE , разве что поведенческим анализаторо и динамически?
3. Юзать UPX без экстремальных флагов - вроде как ничего криминального в этом нет?

А вот разные там C/C++/Go - там код он анализируемый получается статически после распаковки, тогда как обфусцированный скрипт (который потом в рантайме через "интерпретатор" пойдёт что-то делать) - это уже сложнее гораздо статически понять чего он делает.

Да, можно и приавльно на C/C++/Go написать и компактно будет и хитрых evasive "трюков" можно побольше туда запихнуть, но хочется "easy way" просто чтоб не особо напрягаться :)

Тема не для холивара "как правильно", тема "как можно / прокатит ли".

P.S. Ещё варик Lua , а лучше LuaJIT - там интерпретатор 200-300 Кб и luarocks модули они компактные очень, можно EXE сделать буквально 300 Кб да ещё и UPX пожать попробовать ;-)
 
уточню на всякий случай, мой вопрос (см. выше) он слишком наивный или слишком сложный?

просто странно что не ответили никто, я думал тут же будет или ответ "так никто не делает + причины" или ответ "да все так и делают, бро, чо ты тупишь?" :)

в целом вопрос про такой вектор: известный 100пудово беспалевный рантайм + скриптинг в нём, и всё это упаковано в один исполняемый файл - норм для временного undetected антивирями?
ясен пень вечный андетект это сказка, но тут приятно то, что "мутации" скриптов производить проще, а рантаймы (нода, питон, луа) сами по себе они ж беспалевные на них антивири не вопят.
 
zdestuta сказал(а):
уточню на всякий случай, мой вопрос (см. выше) он слишком наивный или слишком сложный?
Другими словами ты хочешь\спрашиваешь что бы тебе спалили в паблик FUD метод)) пробуй;)
 
zdestuta сказал(а):
Логика примерно такая:
1. Сами рантаймы Python и NodeJs они известные антивирусам и подозрений вызывать не должны по идее? (поправьте если не так)
2. Антивирусник врядли сможет (или сможет?) статически проанализировать обфусцированный код скриптов в self-contained EXE , разве что поведенческим анализаторо и динамически?
3. Юзать UPX без экстремальных флагов - вроде как ничего криминального в этом нет?

А вот разные там C/C++/Go - там код он анализируемый получается статически после распаковки, тогда как обфусцированный скрипт (который потом в рантайме через "интерпретатор" пойдёт что-то делать) - это уже сложнее гораздо статически понять чего он делает.

Да, можно и приавльно на C/C++/Go написать и компактно будет и хитрых evasive "трюков" можно побольше туда запихнуть, но хочется "easy way" просто чтоб не особо напрягаться :)

Тема не для холивара "как правильно", тема "как можно / прокатит ли".

P.S. Ещё варик Lua , а лучше LuaJIT - там интерпретатор 200-300 Кб и luarocks модули они компактные очень, можно EXE сделать буквально 300 Кб да ещё и UPX пожать попробовать ;-)

1. Сами по себе - нет, но вот пакеры уже могут давать детекты. Взять, например, PyInstaller или Nuitka - сами по себе они уже могут давать детекты, хоть и не так много.
2. Это то же самое, что и с шифрованием. В статическом варианте никому не сдалось насиловать твой файл, деобфусцировать его и т.д.. Скорее всего, он просто получит детекты после запуска в сандбоксе, ну то есть при динамической проверке.
3. Давно не пользовался UPX, но, как я знаю, в любом виде за UPX дают детекты по известным сигнатурам. Уровень сжатия, вроде как, не сильно влияет.

Итог: в рантайме тебе не поможет никакой Python, Lua, Node и т. д. Что насчет скантайма - да, как временное решение это можно использовать. Естественно, в данном варианте придется жертвовать весом и иногда отстуком.
 
us3rn4m3 сказал(а):
Другими словами ты хочешь\спрашиваешь что бы тебе спалили в паблик FUD метод)) пробуй;)
А кто не хочет получить FUD за бесплатно?))
 
Alzheimer сказал(а):
Итог: в рантайме тебе не поможет никакой Python, Lua, Node и т. д.
в рубрике "ответы" тут натыкался на "написать свою VM" (хотя эмуляция CPU и кастомный асм под него - это конечно похлеще интерпретатора, а эффект кмк тот же примерно - на "точках взаимодействия" с ОС оно "спалится") - а это как в рантайме помогает тогда? проактивный АВ он же детектит системные вызовы в том числе, не важно откуда они были вызваны, так?

у меня идея была как раз в том, чтобы с помощью легитимного рантайма скриптового языка притворяться полностью легитимной прогой.
 
Последнее редактирование:
zdestuta сказал(а):
уточню на всякий случай, мой вопрос (см. выше) он слишком наивный или слишком сложный?

просто странно что не ответили никто, я думал тут же будет или ответ "так никто не делает + причины" или ответ "да все так и делают, бро, чо ты тупишь?" :)

в целом вопрос про такой вектор: известный 100пудово беспалевный рантайм + скриптинг в нём, и всё это упаковано в один исполняемый файл - норм для временного undetected антивирями?
ясен пень вечный андетект это сказка, но тут приятно то, что "мутации" скриптов производить проще, а рантаймы (нода, питон, луа) сами по себе они ж беспалевные на них антивири не вопят.
Все дефолтные пакеры дадут детекты . Обф скрипты не спалит . Вот старая но прикольная штука (аж статью про это писали) https://github.com/naksyn/Pyramid. Я когда-то делал связку lnk > js in ads (или пошик не помню уже)> python.exe. Крч метод не новый
 
zdestuta сказал(а):
в рубрике "ответы" тут натыкался на "написать свою VM" (хотя эмуляция CPU и кастомный асм под него - это конечно похлеще интерпретатора, а эффект кмк тот же примерно - на "точках взаимодействия" с ОС оно "спалится") - а это как в рантайме помогает тогда? проактивный АВ он же детектит системные вызовы в том числе, не важно откуда они были вызваны, так?

у меня идея была как раз в том, чтобы с помощью легитимного рантайма скриптового языка притворяться полностью легитимной прогой.

Виртуализация поможет лишь в скантайме. В рантайме твоя программа вернется в обычный вид после исполнения ее интерпретатором, и когда она будет делать WinAPI вызовы, ты получишь детект. Даже не планируй использовать интерпретируемые языки для обхода рантайма. Это будет очень сложно в реализации и бессмысленно. Советую тебе лучше освоить C/C++ или найти специалиста вместо того, чтобы делать это все на Python или каком-то другом языке, не предназначенном для этого.
 
Alzheimer сказал(а):
когда она будет делать WinAPI вызовы, ты получишь детект
Советую тебе лучше освоить C/C++ или найти специалиста вместо того, чтобы делать это все на Python или каком-то другом языке, не предназначенном для этого.
А чем WinAPI вызов из C/C++ отличается от WinAPI вызова из чего-либо другого? ну чисто вот технически отличия какие?
 
zdestuta сказал(а):
А чем WinAPI вызов из C/C++ отличается от WinAPI вызова из чего-либо другого? ну чисто вот технически отличия какие?
Разницы никакой нет, просто на C/C++ легче будет реализовать техники вроде InDirectSyscalls.
 
Alzheimer сказал(а):
на C/C++ легче будет реализовать техники вроде InDirectSyscalls
а, ну тут спору нет... на асм опять же вставки... ой как давно это было то... wasm.ru был форум шикарный в 90-е и 2000-е , эх хз где он щас...
а в легитимные процессы сейчас ещё модно/реально инжектиться DLL'кой своей?

просто на C/C++ я к сожалению знаю (знал) какой геморой был тогда, сейчас сомневаюсь что проще стало, потому и хочется "схалявить" как-то скриптовыми языками... :)
 
zdestuta сказал(а):
в легитимные процессы сейчас ещё модно/реально инжектиться DLL'кой своей?
Тебе в рантайме моментально детект накинет за такое… Сейчас самая большая проблема - это рантайм, EDR/XDR агенты
 
zdestuta сказал(а):
на асм опять же вставки..
Много чего можно сделать и без ASM вставок - они просто дают больше контроля, и в некоторых случаях их даже удобнее использовать, чем чистый язык
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх