Обход RunTime ( динамический анализ АВ)

[Slayer]

Всем привет. В создании малвари полный нуб , поэтому не кидайте сцаными тряпками. Вопрос такой : где поискать информацию (может кто готов поделиться в ЛС в телеге) об актуальных методах обхода проактивных методов защиты АВ.

Пример - пару дней назад захотел написать свой Майнер. Соответственно нужен лоадер , который скачает модули и запустит. Как обойти подводные камни ? Заранее спасибо. Подобный пост размещу и на **** для большего потока информации от знающих людей.

 

[D@rkS1de]

Всем привет. В создании малвари полный нуб , поэтому не кидайте сцаными тряпками. Вопрос такой : где поискать информацию (может кто готов поделиться в ЛС в телеге) об актуальных методах обхода проактивных методов защиты АВ.

Пример - пару дней назад захотел написать свой Майнер. Соответственно нужен лоадер , который скачает модули и запустит. Как обойти подводные камни ? Заранее спасибо. Подобный пост размещу и на **** для большего потока информации от знающих людей.

так за 5 минут не напишешь , ты с начало в гугл пойди там все есть, а потом с конкретными вопросами уже на форум)

 

[Slayer]

так за 5 минут не напишешь , ты с начало в гугл пойди там все есть, а потом с конкретными вопросами уже на форум)

В Гугле нет обхода проактивки . Либо какой нибудь обосцанный RunPE , который уже давно палиться. Собственно конкретный вопрос: кому не в падлу поделиться работающими методами обхода проактивки... Не обязательно тут , можно в ЛС или в телеге

 

[Slayer]

Немного дополню вопрос. Не реклама : Туц
Ссылка на пару сложных и не сложных методов обхода проактивки , которые расписал тс в середине 2017-ого. Что из этого актуально ещё сегодня , или это уже история ?

 

[AnusPoloskator]

Немного дополню вопрос. Не реклама : Туц
Ссылка на пару сложных и не сложных методов обхода проактивки , которые расписал тс в середине 2017-ого. Что из этого актуально ещё сегодня , или это уже история ?

Параша, а не методы. Его так называемые "сложные методы" только добавят детектов, а простые методы это не обход рантайма, совсем.

P.S. Там же написано про эмуляцию, с чего ты вообще взял, что там проактивки?

кому не в падлу поделиться работающими методами обхода проактивки

Atom Bombing, CTRL-Injection

но это все из разряда неюзаемых никем инжектов, поэтому и не палится ( ну, не палилось ). Если нужно конкретно по обходу, то тут только пилить софт, который не ведет себя как малварь. Креативить, короче. Иначе пиздец. Ну или ищи хитровыебанные способы инжекта, которые никто раньше не юзал

 

[Slayer]

Параша, а не методы. Его так называемые "сложные методы" только добавят детектов, а простые методы это не обход рантайма, совсем.

P.S. Там же написано про эмуляцию, с чего ты вообще взял, что там проактивки?


Atom Bombing, CTRL-Injection

но это все из разряда неюзаемых никем инжектов, поэтому и не палится ( ну, не палилось ). Если нужно конкретно по обходу, то тут только пилить софт, который не ведет себя как малварь. Креативить, короче. Иначе пиздец. Ну или ищи хитровыебанные способы инжекта, которые никто раньше не юзал

[/QUOTE]
По словам автора статья вообще про все все все))

 

[Blitz]

нужно либо без палева спавниться в доверенном приложении и из него совершать гадости
либо вести себя как легитимный софт

 

[Slayer]

нужно либо без палева спавниться в доверенном приложении и из него совершать гадости
либо вести себя как легитимный софт

Спасибо за ответ

 

[xdoom]

нужно либо без палева спавниться в доверенном приложении и из него совершать гадости
либо вести себя как легитимный софт

https://lolbas-project.github.io/ - доверенный софт и легитимные приложения. Многие имеют цифровую подпись Necrosoft.

 

[Jentam]

Посмотреть вложение 2740
https://lolbas-project.github.io/ - доверенный софт и легитимные приложения. Многие имеют цифровую подпись Necrosoft.

Можете пояснить для чего это?

 

[xdoom]

Кратко, антивирус "закрывает глаза" на форк процесса, если процесс запущен легитимным ПО (встроенным в ОС, есть цифровая подпись). Один из эффективных методов доставки вредоноса, как загрузчик, например. На этом принципе основан Koadic

 

[AnusPoloskator]

если процесс запущен легитимным ПО (встроенным в ОС, есть цифровая подпись).

Бред. Софт не будет запущен легитимным только если его запускали дроппером или лоадером. Даже двойной клик по экзешке уже "запущен легитимным", и даже со связки эксплойтов. И даже аттач со спама как бы его не слали.

Единственный норм вариант в обход всех проактивок - это запустить софт способом, который ав не хукает. Например, из ядра, через ядерный сплойт. Остальные методы имхо параша и рано или поздно добавляются в правила проактивки. Я уже молчу про эту гитхаб ссылку опенсорц, которая wsh юзает. Вы бы еще LoveLetter для спама предложили заюзать

На этом принципе основан Koadic

ИЛИТО СУПЕР ОБХОД ПРОАКТИВОК (во влажных мечтах если только)
https://github.com/zerosum0x0/koadic/blob/master/data/stager/js/rundll32_js/rundll32_js.cmd

Такой запуск, изобретенный аж в 2015 году Poweliks'м приведет только к триггеру аверов. У меня на эту х#йню год назад даже авг с авастом заорали

 

[xdoom]

Прочитайте внимательно вопрос от ТС. И напишите адекватный ответ без бреда и х#йни.

 

[AnusPoloskator]

Прочитайте внимательно вопрос от ТС. И напишите адекватный ответ без бреда и х#йни.

Прочитал. Я что-то неверно описал?

Приведенный линк добавит только детектов. Запуск рандлл с параметрами такими как там ( это вообще бага рандлла, параметры андок ) приведет к триггеру любой проактивки. х#йню написал тут только ты.

Единственный способ достоверно обойти проактивку - это запустить софт так, что проактивка и не хукнет. Такое увы сделать можно только через сплойты.
Либо вести себя как легитимный софт. Сертификаты, все такое.

а заюз легитимного софта в нелегитимных целях палится после первого же прогруза. mshta после статьи в инсепшене тоже задрочили, увы.

uac bypass eventvwr'а не проверял, но скорее всего там тоже все не так гладко из-за необходимой записи в реестр

 

[Quasar3с48]

xdoom, Не просто легитимного, сомневаюсь что если из пейнта запустить процесс это понравиться АВ, скорее там надор правил для тех кому разрешено запускать процессы, для остальных же либо запрос юзеру, либо блок.
AnusPoloskator, Мало того что их переодически добавляют, их переодически убирают, в зависимости от использования, так что стоит поискать что то в прошлом.

 

[AnusPoloskator]

Quasar3с48


К слову недавно смотрел старый метод, описанный еще в старых езинах, авторан через скринсейвер. Было чисто, но стоило прогрузить, как сразу снова елка. Хд, так что да, все новое - хорошо забытое старое. Убирают не только из-за того, что не юзают. В аверах слишком быстрая текучка кадров, новые просто не знакомы с тем, что юзали раньше. Правила вечно обновляются и старые просто теряются. То есть, это скорее случайность из-за некомпетенции новых сотрудников.

 

[Quasar3с48]

Каждое правило скорее всего имеет ложноположительные результаты, с которыми приходиться считаться и вносить исключения, так что со временем когда метод перестают активно юзать, его можно просто удалить, особенно если метод близок к легальному

 

[AnusPoloskator]

Quasar3с48

Да аверы сейчас баллами работают, уже давно. После волны поноса что нереально ниче поставить (например на авп тогда ныли все, если кто помнит).

Суть в том, что любой нелегальный метод добавляет баллов. Если это переходит какую-то границу - выбивает собственно детект. Если софт ведет себя как легальный, то все заебись. Ну или если он делает что-то вне монитора ав, то тоже заебись (но тут нужны сплойты). Поэтому единственный варик - это косить под приложение доброе. А юзать легитимный софт чтобы чет запустить, ну это пиздец. Вы еще через цмд давайте запускайте, там тоже подпись. certutils когда раньше тоже классно работал, только его белый софт не юзает и сейчас - это елка.

Короче имхо, под точечную мб это все и сойдет (если это инновация конечно), а вот под массу - никаких, бл#ть, внешних вызовов! Тупо на цепочку дерганья внешних приложух повесят детект и все, это достаточно уникально будет. Сколько раз я уже загаживал найденные мною методы, когда лил массово их. В моменте рантайм детекты.

 

[Quasar3с48]

Баллы начисляются для процесса или может быть для дерева процессов, но всегда же можно убежать в другой процесс который предназначин для того что надо сделать, типа из эксплорера читать файлы, а из браузера или свцхоста стучать в сеть. К тому же у разных АВ разные правила, не помню уже где видел, но в зависимости от найденого процесса АВ выбиралось дальнейшее действие.

Почему так критично, можно же через DLL Hijacking стартовать. А так понятно, что если легитимное приложение будет активно использоваться для чего то плохого, под него напишут правила и не дадут этого делать.

А через эксплоит можно и АВ остановить, что бы продлить жизнь.

 

[AnusPoloskator]

Баллы начисляются для процесса или может быть для дерева процессов, но всегда же можно убежать в другой процесс который предназначин для того что надо сделать, типа из эксплорера читать файлы, а из браузера или свцхоста стучать в сеть. К тому же у разных АВ разные правила, не помню уже где видел, но в зависимости от найденого процесса АВ выбиралось дальнейшее действие..

Тут вопрос как беспалевно инжектнуть куда надо (не юзая сплойты и dll hijacking)

А через эксплоит можно и АВ остановить, что бы продлить жизнь

Если зиродей яб не рискнул такое делать, они же отчеты шлют себе в таких случаях) каспер так вообще палит сплойты телеметрией (детекты не кидает)
Ну либо они пиздят в статьях на секурлисте о том что так умеют)

Почему так критично, можно же через DLL Hijacking стартовать

Алсо я писал говностатью на экспе где-то Н месяцев назад по этому поводу. Там криво получилось правда, суть в том, чтобы заставить процесс загрузить длл из %Temp% папки. Фуд в рантайме был на динчеке
Но длл хиджакинг годится для точечных, на массе быстро повесят детекты и придется либо морфить, либо еще что-то. Не очень приятно