• XSS.stack #1 – первый литературный журнал от юзеров форума

Что можно добавить в лоадер?

Отслеживать

LoveNikki

RAID-массив
Пользователь
Регистрация
20.03.2019
Сообщения
83
Реакции
20
Пишу вот для интереса лоадер, сейчасашний функционал:
Download & Execute exe
Download & Execute dll
Process protection
Autorun
ну там код для обращения к панели и пр..

Вес билда: 3.5kb

Вот думаю тут, что можно ещё добавить и как бы сделать автозапуск чистым для ав.
Может подскажет кто?
 
LoveNikki сказал(а):
Пишу вот для интереса лоадер, сейчасашний функционал:
Download & Execute exe
Download & Execute dll
Process protection
Autorun
ну там код для обращения к панели и пр..

Вес билда: 3.5kb

Вот думаю тут, что можно ещё добавить и как бы сделать автозапуск чистым для ав.
Может подскажет кто?

Функционал для размножения в локальной сети, функционал файлового инфектора, можно встроить LPE для бесшумного выхода из Low IL, да что угодно.
 
LoveNikki сказал(а):
Пишу вот для интереса лоадер, сейчасашний функционал:
Download & Execute exe
Download & Execute dll
Process protection
Autorun
ну там код для обращения к панели и пр..

Вес билда: 3.5kb

Вот думаю тут, что можно ещё добавить и как бы сделать автозапуск чистым для ав.
Может подскажет кто?

По поводу авторана - кури блоги иностранных АВ ресерчеров. Там много интересного лежит.
 
LoveNikki сказал(а):
Process protection
В чем это заключается?

LoveNikki сказал(а):
Вес билда: 3.5kb
Не мало для си?

LoveNikki сказал(а):
Может подскажет кто?
Что-то кроме dll и exe не нужно.

Quasar3с48 сказал(а):
Загрузка файла с админки по шифрованому каналу,
Если речь про https, то его легко декодировать на целевой машине.
Если писать свой алгоритм, то дополнительные детекты в рантайме обеспечены.
Какие есть варианты?
 
Последнее редактирование:
higgler сказал(а):
В чем это заключается?


Не мало для си?


Что-то кроме dll и exe не нужно.


Если речь про https, то его легко декодировать на целевой машине.
Если писать свой алгоритм, то дополнительные детекты в рантайме обеспечены.
Какие есть варианты?
без crt пишу просто.
 
LoveNikki сказал(а):
без crt пишу просто.
и без проверок, видимо. При всем желании качественный сетевой код в 2 кб уложить имхо нереально (пустой файл с MSVC 1.5 кб весит)....

У меня сеть, например, на си занимает 1к строк кода и примерно 8-10 килобайт... А тут еще и запуски пейлоада, пздц...

Помню у меня шеллкод на асме x86 был 3 килобайта +- с сетью особо без заморочек на проверки и разные финты, чтобы стучало лучше :/

higgler сказал(а):
Если писать свой алгоритм, то дополнительные детекты в рантайме обеспечены.

Что, прости? Я, видимо, неверно понял... Имеется ввиду кастомный L7 протокол что ли, или все таки кастомное шифрование внутри https? Если первое, то ты прав, а второе то наоборот - будет чище...
 
gozeye сказал(а):
и без проверок, видимо. При всем желании качественный сетевой код в 2 кб уложить имхо нереально (пустой файл с MSVC 1.5 кб весит)....

У меня сеть, например, на си занимает 1к строк кода и примерно 8-10 килобайт... А тут еще и запуски пейлоада, пздц...

Помню у меня шеллкод на асме x86 был 3 килобайта +- с сетью особо без заморочек на проверки и разные финты, чтобы стучало лучше :/
сейчас немного иной вес, 5кб, проверки есть и код нормальный
 
LoveNikki сказал(а):
сейчас немного иной вес, 5кб, проверки есть и код нормальный
Сомневаюсь что нормальный, если это wininet, то ты забыл про security zone в IE, откуда он настройки импортит. Если это winsock, то ты забыл про всякие возможные ситуации, когда данные chunked + корпоративные прокси.
Оба кейза часто встречаются на корпах и в обоих случаях сильно так подрезают отстук.

Вот ни сколько не сомневаюсь, что там именно те проблемы будут, что я выше описал. Или-или.
 
gozeye сказал(а):
Сомневаюсь что нормальный, если это wininet, то ты забыл про security zone в IE, откуда он настройки импортит. Если это winsock, то ты забыл про всякие возможные ситуации, когда данные chunked + корпоративные прокси.
Оба кейза часто встречаются на корпах и в обоих случаях сильно так подрезают отстук.

Вот ни сколько не сомневаюсь, что там именно те проблемы будут, что я выше описал. Или-или.
wininet пока, хочу перейти на socket из Си
Если говорите, то и предлагайте :)
 
LoveNikki сказал(а):
wininet пока, хочу перейти на socket из Си
Если говорите, то и предлагайте :)
Что предлагать? Мне код скинуть? А зеродеев там случаем не дать?

Я тебе уже сказал что поправить в коде. Сделать обход security zones, а если будет переход на winsock, то добавить поддержку отстука через прокси системное.
 
LoveNikki сказал(а):
без crt пишу просто.
У меня 200 строк кода вместились в 55 кб. Без срт.
Даже на асме около 3-10 кб на 200 строк.

gozeye сказал(а):
Что, прости? Я, видимо, неверно понял... Имеется ввиду кастомный L7 протокол что ли, или все таки кастомное шифрование внутри https? Если первое, то ты прав, а второе то наоборот - будет чище...
Объясни про второе.
Дополнительное шифрование в https?

gozeye сказал(а):
Сомневаюсь что нормальный, если это wininet, то ты забыл про security zone в IE, откуда он настройки импортит.
Юзаю вининет, траблов в ие нет. Или это относится к веб проектам?
Винсокс в 2019 еще кто-то юзает?
 
Последнее редактирование:
higgler сказал(а):
У меня 200 строк кода вместились в 55 кб. Без срт.
Даже на асме около 3-10 кб на 200 строк.

В смысле ... инструкция на асме занимает от 1 до 15 байт, ты в 200 инструкций никак больше 3 кб не смог бы набрать, а учитывая что средний размер инструкций эдак 3-4, то там и вовсе максимум килобайт бы вышел... Что-то ты как-то не то делаешь)
Про си... 200 строк без црт 55 кб.... Если это 200 строк в смысле 200 UNICODE строк каждая длиной по 160 символов, тогда верю))

higgler сказал(а):
Объясни про второе.
Дополнительное шифрование в https?

Свой протокол инкапсулировать внутрь https, пошифрованный своим алгоритмом.

higgler сказал(а):
Юзаю вининет, траблов в ие нет. Или это относится к веб проектам?
Винсокс в 2019 еще кто-то юзает?

.... я честно хз как это прокомментировать) гугли security zones
Про вынсокс даже писать не буду
 
gozeye сказал(а):
В смысле ... инструкция на асме занимает от 1 до 15 байт, ты в 200 инструкций никак больше 3 кб не смог бы набрать, а учитывая что средний размер инструкций эдак 3-4, то там и вовсе максимум килобайт бы вышел... Что-то ты как-то не то делаешь)
Про си... 200 строк без црт 55 кб.... Если это 200 строк в смысле 200 UNICODE строк каждая длиной по 160 символов, тогда верю))
В асме использую для компиляции фасм, насм, гас. Несколько файлов с исходным кодом, в каждом по 200 строк, если конкретно. Ты прав, если один файл то 2-3 кб выйдет.
В си компилятор жсс. Стандартная компиляция. Есть вариант как уменьшить размер?
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Нормальный выход с Low IL. Везде дрочево с runas, вот в эту сторону надо копать.
Ну и общая стабильность работы. Если винсок, то как уже сказали выше, парсить настройки системного прокси + думать, как прикрутить хттпс.
 
higgler сказал(а):
В асме использую для компиляции фасм, насм, гас. Несколько файлов с исходным кодом, в каждом по 200 строк, если конкретно. Ты прав, если один файл то 2-3 кб выйдет.
В си компилятор жсс. Стандартная компиляция. Есть вариант как уменьшить размер?

Кури флаги оптимизации для gcc.
 
higgler, HTTPS надо всегда поддерживать, но я про дополнительное шифрование трафика хотя бы RC4, что бы пришлось реверсить протокол для получения ключа.

gozeye, Что бы не было chunked можно использовать HTTP 1.0, хотя это подозрительно. И у меня вопрос, можно подробнее про security zones ? И что скажите насчет WinHTTP его можно использвать в службах, оно наверное не зависит от ишака ?

Quake3, А что можно придумать для выхода из Low IL, только дрочего или эксплоиты, которые не вечны.
 
Quasar3с48 сказал(а):
higgler, HTTPS надо всегда поддерживать, но я про дополнительное шифрование трафика хотя бы RC4, что бы пришлось реверсить протокол для получения ключа.

gozeye, Что бы не было chunked можно использовать HTTP 1.0, хотя это подозрительно. И у меня вопрос, можно подробнее про security zones ? И что скажите насчет WinHTTP его можно использвать в службах, оно наверное не зависит от ишака ?

Quake3, А что можно придумать для выхода из Low IL, только дрочего или эксплоиты, которые не вечны.
WinHTTP не поддерживает socks5 в качестве прокси, увы. Поэтому вообще не тот вариант. В security zones можно настроить чтобы коннектились только определенные домены, wininet юзает настройки ie и если они настроены, то может не отстучать через wininet.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх