Привет всем. Появилась идея - написать резидентный лоадер. Что по вашему должно быть в хорошем лоадере? ( В плане функционала ) Хотелось-бы увидеть общественное мнение. Спасибо.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Идеальный лоадер
- Автор темы iceberg
- Дата начала
Download & Run
весь функционал лоадера
весь функционал лоадера
- Автор темы
- Добавить закладку
- #3
Если шире, то инфа об ОС, об АВ, стране как минимум.Было-бы всё так просто.Узко мыслишь.
Worm-функционал, hVNC, network exploring
- Автор темы
- Добавить закладку
- #6
Зачем лоадеру внц? Да и насчёт функционала червя - как ты это видишь? Ибо инфектить флешки / файлы - не тру. А SMB сплойты - будут приносить только проблемы.
TrickBot как-то работает, так что не вижу никакой проблемы. Постоянные таргетированные атаки, да еще и на критические узлы. Там весь описанный мной функционал есть.
Дерьмо-лоудеры не нужны, ибо выгоднее уже в данном случае просто запилить powershell под себя. Нужно решение, если уже и писать лоудер, которое поможет установить полезную нагрузку на нужную ноду в сети.
- Автор темы
- Добавить закладку
- #8
TrickBot - банкер, а я говорю именно про резидентный лоадер. Для массовой рассылки.
Если посмотреть на последние новости, то TrickBot отчасти более не используется в качестве банкера, а скорее как part of chain (Дроп IcedID, Ryuk).
Для массовой рассылки можешь просто написать очередного Amadey, пипл схавает.
- Автор темы
- Добавить закладку
- #10
Спасибо за мысль, понял. Амадей я вообще малварью пригодной для спама не считаю, думаю многие меня поддержат в этом плане.
Собственно, лоадер это именно это. Все эти внц, вормы и прочее - к лоадеру отношения не имеют. Как отдельные модули - мб.
Надо думать в сторону качественного Download & Run (обходы, инжекты, запуск длл, запуск жс , запуск в памяти).
- Автор темы
- Добавить закладку
- #12
Я хочу сделать решение, которое можно будет максимально монентизировать в различнейших направлениях. В основе - естественно DL&RUN, так-же хочу сделать модульную сис-му. Инжекты сейчас не очень-то и актуальны, ибо паблик способов которые хоть как-то пригодны к использованию - нету. Поправь, если я не прав.
iceberg, Хорошое закрепление в системе и противодействие своему удалению, а так же обеспечение связи с ботмастером, опять же сопротивлясь попытка эту связь нарушить это определение резидентности. Записаться в реестр и стучаться по зашитому домену ничем не отличается от обычного лоадера, запись удалят, а домен локнут и вся резидентность на этом закончиться. А потом уже можно будет думать о модулях - из них хорошо было бы иметь backconnect socks, тогда ботнету всегда можно будет найти применение.
Еще интересно какие сейчас в среднем цены на резидентные лоадеры без ничего?
Еще интересно какие сейчас в среднем цены на резидентные лоадеры без ничего?
- Автор темы
- Добавить закладку
- #14
Хорошее закрепление - да, я думаю над этим. Я уже сел кодить, реализовал некое подобие такого. Касательно сопротивления попыткам нарушения связи - тут не очень много идей. Ничего на ум толкового не приходит. Соксы - хорошая идея, ты прав. Amadey стоит ~ 600$. Чисто стучалка.
iceberg, Где можно прочитать условия поддержки Amadey? Глядя на условия для стилеров, где за 100$ дается поддержка на пол года, с бесплатными чистками, понимаешь что условия на рынке не дадут на этом заработать.
- Автор темы
- Добавить закладку
- #16
На эксплоите. Но там ничего особенного. Заплатил 600 юсд, и юзаешь с лайфтайм саппортом. Там ничего необычного нету, да и палится он, как и все. Хз, почему на такой софт поставили такой ценник.
Трик в продаже или приват? (автор, сори за оффтоп)
В паблике кроме данабота и рамнита нет ничего. Линки не проси. внимательно читай экспу просто. И там не покупка
Если у тебя есть желание и ты не против помощи со стороны -> возьми меня к себе в мини команду. Пишу хорошо а вот стоящих и актуальных методов обхода проактивки не знаю, поэтому мне очень нужен наставник вроде тебя
Этот "наставник" тут спрашивал недавно как билдер написать, о чем ты вообще?