• XSS.stack #1 – первый литературный журнал от юзеров форума

Идеальный RAT

Отслеживать
SoftICE сказал(а):
По хорошему использовать ядерные баги которые позволяют свой шеллкод в ядре исполнять, та же use after free бага октября 2018. Там можно в кернел пролезть своим шеллкодом и уже оттуда через APC миграцию сделать в юзермод процесс основным модулем, антивирусник не поймает. Еще можно в целом сетку в ядре реализовать через TDI напрямую, регнуть устройство и через ioctl общаться со своим драйвером из юзермодной компоненты, так всякие мониторилки не запалят. Нужно только реализовать будет авторизацию на прокси, тот же нтлм и тд, иначе на некоторых корп машинах может не пустить. Все остальное лажа для нубов. Разумеется это не поможет от сетевых защит, которые мониторят траф вне узла где работает кернелмод компонента. Но хорошо таргетить всяких сусликов криптомиллионеров и прочих
Ага, прогрузить драйвер, запилить сетку на базе TDI, только ты 100% обосрешься на этапе загрузки ядерного апп, нет смысла лезть в км, учитывая что обычно внедряют такие сложные системы как EDR, лучше делать сетевую составляющую в юзермоде, давно пора понять что времена зероакцесса прошли.
 
vtx сказал(а):
Ага, прогрузить драйвер, запилить сетку на базе TDI, только ты 100% обосрешься на этапе загрузки ядерного апп, нет смысла лезть в км, учитывая что обычно внедряют такие сложные системы как EDR, лучше делать сетевую составляющую в юзермоде, давно пора понять что времена зероакцесса прошли.
Я согласен с этим, да. Только можно драйвер грузить как я уже сказал через свой собственный shellcode-лоадер, который со сплойта грузить. EDR и SIEM такое не палят. В целом сетку действительно проще в юм пилить из-за наличия апи для получения прокси по wpad, автоматического пропарса pac-файлов и авторизации по нтлм на прокси, однако при наличии эксплойтов я бы все-таки сделал загрузчик своей малвари по типу мануалмапа только прямиком из ядра. В любой процесс так можно инжектнуть в обход проактивок. Такое только касп вполне вероятно сможет поймать со своими хуками на базе гипервизора
 
Последнее редактирование:
500mhz сказал(а):
Какие ядерные баги ) тут на питонах пишут )
rootkits.xyz

Windows Kernel Exploitation Tutorial Part 3: Arbitrary Memory Overwrite (Write-What-Where) - rootkit

Overview In the previous part, we looked into exploiting a basic kernel stack overflow vulnerability. This part will focus on another vulnerability, Arbitrary Memory Overwrite, also known as Write-What-Where vulnerability. Basic exploitation concept for this would be to overwrite a pointer in a...
rootkits.xyz rootkits.xyz

Напомнило одного товарища-питониста. Как будто это мешает :D
 
SoftICE сказал(а):
rootkits.xyz

Windows Kernel Exploitation Tutorial Part 3: Arbitrary Memory Overwrite (Write-What-Where) - rootkit

Overview In the previous part, we looked into exploiting a basic kernel stack overflow vulnerability. This part will focus on another vulnerability, Arbitrary Memory Overwrite, also known as Write-What-Where vulnerability. Basic exploitation concept for this would be to overwrite a pointer in a...
rootkits.xyz rootkits.xyz

Напомнило одного товарища-питониста. Как будто это мешает :D
Давненько читал статью, питон там юзается для более простой эксплуатации, здесь не так важно знание языка как понимание принципа работы уязвимости. изучение "черной магии" нужно начинать с отладки, PoC запилить последнее дело.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх