loader

[Whisper]

Можно и в рантайме но мне приходилось встречать и подредактированные образы нтдлл и вовсе имитации нтдлл.
Я не люблю полагаться на вероятности и мне даже не западло конвертить структуры 32->64->heavens gate->syscall->64->32 если конечно мы запустились в 32битном процессе в 64 битной ос.

 

[Whisper]

Вы же понимаете, что это заведомо провальная цепочка? Обращение к серверу/выполнение чувствительного кода из ненадежного источника.
Можно без удаленного потока, но экзекутор должен быть, иначе код не будет запущен.

Повторюсь тема не про инжекты вообще.
Но если бы она была про инжекты я вас уверяю что врайт процесс мемори это достаточно хороший экзекутор шеллкодов.
И поразмышляйте на досуге почем же врайт процесс мемори жестко не палят(даже через сиссколл), это ведь так просто посмотреть кто и куда пишет и что именно он пишет,
без врайт ведь не обойтись, а значит все малвары которые инжектятся отловить легче легкого тем более что везде эти чудные гипервизоры.
Может вы этот вопрос спросите на ав форумах? вдруг вам премию какую дадут и на работу возьмут.

 

[Dummy]

Повторюсь тема не про инжекты вообще.
Но если бы она была про инжекты я вас уверяю что врайт процесс мемори это достаточно хороший экзекутор шеллкодов.
И поразмышляйте на досуге почем же врайт процесс мемори жестко не палят(даже через сиссколл), это ведь так просто посмотреть кто и куда пишет и что именно он пишет,
без врайт ведь не обойтись, а значит все малвары которые инжектятся отловить легче легкого тем более что везде эти чудные гипервизоры.
Может вы этот вопрос спросите на ав форумах? вдруг вам премию какую дадут и на работу возьмут.

Но как без инжектов? Позже инжектить придеться в любом случае, но только в вашей цепочке уже засветился сервер и пейлоад следующего уровня. Локально выполнять код - большая ошибка. Вот вы пишите: загрузим легитимную длл, перезапишем ее секцию кода и никто ничего не заметит, но это ложь. Автоматика сработает на загрузке модуля и установит за ним наблюдение.

 

[Whisper]

Вы не уловили суть топика. Пробуйте перечитать топик вникая во все написанное, там все разжеванно.
Не думайте про всякие позже, вникните для чего именно нужен шеллкод. Вы просто не понимая о чем речь бежите вперед паравоза...,
я вам даже немного подскажу - вы когда будете перечитывать и вникать держите в голове мысль что все сплойты, инжекты, мегакрутые
техники обхода гипервизоров и прочие чудеса будут выполнены в недрах шеллкода, и перечитывая вы даже найде где об этом явно написано
и там даже будут объяснения почему так. И еще постоянно держите мысль в голове что топик не про обходы, не про сплойты, не про инжекты,
а про суть вопроса и базовую архитектуру.

 

[doggi]

Ребят, посоветуйте максимально качественный сабж с закреплением под винду, лояльостью АВ, максимально секурным беккеонектом и что б пах иалками

по итогу то что, нашел что искал?

 

[Dummy]

Вы не уловили суть топика. Пробуйте перечитать топик вникая во все написанное, там все разжеванно.
Не думайте про всякие позже, вникните для чего именно нужен шеллкод. Вы просто не понимая о чем речь бежите вперед паравоза...,
я вам даже немного подскажу - вы когда будете перечитывать и вникать держите в голове мысль что все сплойты, инжекты, мегакрутые
техники обхода гипервизоров и прочие чудеса будут выполнены в недрах шеллкода, и перечитывая вы даже найде где об этом явно написано
и там даже будут объяснения почему так. И еще постоянно держите мысль в голове что топик не про обходы, не про сплойты, не про инжекты,
а про суть вопроса и базовую архитектуру.

Я прочитал. Вы предлагаете следующее:
Лоадер качает шеллкод, расшифровывает и выполняет его в своем же контексте.
Также вы пишите, что лоадер попадет в ханипоты, анализируется и вносится в базы.
То есть вы решили сразу засветить один из своих серверов, я прав? Шеллкод первого уровня должен быть выполнен в любом случае для анализа среды выполнения, его нет смысла скачивать ( палить свой сервер ) и выполнять из недоверенного источника ( злить защитные решения ).
Также вы утверждаете, что вся магия после валидации машины и инжект основного пейлоада происходят опять же в недрах шеллкода, то есть все действия происходят в контексте одного процесса, в этом случае сегментирование никак не поможет. Давайте тогда и пейлоад сюда же грузить. А что? Сервер все равно уже спалили, юзверю ваш malware.exe тоже не мешает, а защитные решения сломаны магической лапшой из шеллкодов!

 

[Whisper]

А еще я предлагаю не путать - домен и сервер, а так же - ип и сервер. =)
Но самое главное вы так ничего и не поняли, а именно почему шеллкод, почему в своем процессе, почему он обязательно должен быть скачан.
Я был терепелив и так подробен как только возможно но мое кунгфу не достаточно хорошее что бы победить ваше понимание прочитанного.
...лирическое отступление..
И вот уже осень сменяет лето
И новая глупость спешит на смену старой.
(c)Басе

 

[silverspace88]

есть самописный лоадер, не является переделкой чего либо. Сдаю в аренду/ищу компаньонов для трафа. Рабочий хвнц. Сам спамлю в инбокс. Связь лс форума

 

[Bozon]

Ну давайте будем считать сладкими вещами эксплуатацию уязвимостей.
Что именно вы хотите выцепить автоматом и как это должно выглядеть?
Ну допустим одна уязвимость базируется на SetWindowLong и вкусное действо происходит гденибудь в explorer.
Другая в хитрой конфигурции структур передаваемых в ядро серией функций Nt...
А третья в какомнибудь COM интерфейсе и все странное случаеться в svchost.
Во первых все интересности случаются не в процессе лоадера, они там только инициируются,
во вторых а как вы следя за процессом лоадера поймете что случилось чтото интересное когда оно случилось в другом процессе или ядре?
в третьих а что вы собственно хотите получить? рисунок апи вызовов? или километры трасировки обфусцированного кода?
Получаеться задача понять что случилось нечто вкусное, а уже имея это понимание начинать нудное разгребательство говна в ручную так сказать от обратного,
тоесть от процесса где вкусное прозошло.
Но перед вкусным скорее всего будет детект пристального наблюдения...выполнение серии операций и замер таймингов.
Вы размышляете об автоматизации процессов которые оч хреново автоматизируются, гораздо проще создать ии который будет клепать бестселлеры в жанре лит рпг =)
Вы обязательно учитываейте что в автоматический анализатор сваливается тонна говна и на эту тонну говна приходиться 1грамм с вкусным а значит пристально наблюдать за каждым граммом не получиться.
Просто подумайте каково это снимать логи со всего ядра..ну потому что шелл может юзать сисколлы и похучить нтдлл не вариант, да и поять же хучить нтдлл это кричать о пристальном наблюдении.
Здесь все как с брутфорсом биткойнов, одновременно и все реально технически и не реально фактически.
Возьмите панду, поставьте старую винду, семпл кого нибудь лоадера который юзает старую уязвимость, +500 неинтересных семплов, соберите эти вкусные логи исполнения опкодов всея ос по каждому из пациентов..
на террабайты дисковго пространства..хотя там пожалуй на каждом пациенте выйдут террабайты и многие сутки.
Короче брутить биткойны гораздо меньше помех чем вкатить в рай на этом чудном мишке.

Мысль очень понравилась твоя. А что, если скажем, обучить нейронную сеть(на "выработке" от panda) выцеплять из кучи "говна" нужные вещи ? Конечно, есть шанс напороться на бриллиант, однако к тому времени нейронка будет обучена на существующих эксплоитах.
С чего надо в таком случае начать ?
Организовать базовое окружение для экспериментов я смогу... Что еще - найти сэмплы качественные. Выбрать параметры и обучить нейронку - api трасса, файловая активность, сетевая активность, изучение дампа оперативной памяти. По каким входным данным можно достоверно определить выполнение эксплоита, ну или хотя бы примерно ?

 

[Whisper]

Ну допустим тригеры что, что то такое сплоетное случилось.
предварительно считаеться что система предсказуема, нет кучи продуктов которые обновляються и базы телеметрий записаны - кто кого как и с какими правами запускает, а так же кто какие домены резолвит и по каким адресам ходит. в любом другом случае ловить аномалии дело совсем не благодарное.
(без медведа)
1 был запущен процесс с высокими привелегиями который раньше никогда не выполнялся на данной системе с высокими привелегиями. (контроль процессов по чексумме).
2 процесс был запущен неожиданным родителем. например svchost запустил malware.exe.
3 процесс был запущен суспендом что согласно телеметрии не типично. например svchost запустил суспендом iexplore.exe.
4 процесс открыл хендл другого процесса что согласно телеметрии не типично. например svchost открыл explorer.exe.
5 процесс начал нетипичную сетевую активность.
6 нетипичная сетевая активность из ядра.
я не специалист по эксплойтам, тут хорошо бы поспрашивать 500mhz.
первым делом ловим сам факт срабатывания сплойта, без всяких медведов тут важо что бы все работало очень быстро.
вторым делом уже лог выполнения апи и ком с привязкой ко времени, что бы понять что в какой последовательности происходило.
далее уже разбор ручками без вариантов, потому как если вы научите нейросеть всем апи и технике программирования вам нах ненужны будут сплойты, вы просто закажете ей кодинг полезных программ.
Все выше описанное это просто мои фантазии, не исключаю что дурацкие, а поскольку у меня короны не имеется то можете пинать меня за любую глупость, корона с головы не слетит.
Статистика наше все!