Python+SigThief - Неизвестный издатель

[okihad]

Всем привет!

Подскажите пожалуйста новичку в этой области. На питоне написал приложение, которое отправляет get запрос на определенный сайт. Использовал такие библиотеки, как tkinter и requests. В самом приложении нет вредоносного кода, только считываение введенных данных в поле типа Entry и отправка get запроса.

Конвертировал app.py в app.exe с помощью pyinstaller. Запускаю app.exe, SmartScreen ругается. Пишет, что Неизвестный издатель.

Попробовал с помощью SigThief подписать app.exe Сертификатом Microsoft и Google. Это не помогает, SmartScreen Все равно ругается. Обратил внимание, что сертификат в оригинале нормальный, но после импортирования его в мой app.exe он становится недействительным.

Что еще нужно сделать, чтобы приложение запустилось нормально (smartscreen Отключать нельзя)? Как правильно подписать сертификатом, чтобы он не менялся? Или тут дело вообще не в сертификате?

 

[ColorS]

малварь на python пишешь ??)))) да)))?
smart screen если ему не нравится, подписью бывает не отобьешься

 

[okihad]

малварь на python пишешь ??)))) да)))?
smart screen если ему не нравится, подписью бывает не отобьешься

Да малварем это сложно назвать. Ни один антивирус приложение не палит, потому что там нет ничего вредоносного. И какой будет ваш совет?

 

[mtd]

ну подпиши настоящим сертом. только они дорогие, те что обходят смартскрин.

 

[ColorS]

ну подпиши настоящим сертом. только они дорогие, те что обходят смартскрин.

smart screen можно и такой с правильной суммой отбить

 

[ColorS]

smart screen можно и такой с правильной суммой отбить

ему не нравится 0x0 сумма

 

[okihad]

ему не нравится 0x0 сумма

Можно поподробнее про это? Я ранее с таким не сталкивался.

 

[mtd]

вот описание, что такое смартскрин. думаю вполне становится из этого понятно, методы обхода.
**
Фильтр SmartScreen проверяет скачиваемые из Интернета файлы по списку известных сайтов с вредоносными и небезопасными программами. При обнаружении совпадения фильтр SmartScreen уведомляет, что скачанный файл заблокирован в целях безопасности. Фильтр SmartScreen также проверяет загруженные файлы по списку хорошо известных файлов, которые загружают многие пользователи Internet Explorer. Если скачиваемый файл отсутствует в этом списке, фильтр SmartScreen выводит предупреждение.
На уровне операционной системы SmartScreen функционирует, посылая информацию о каждом загружаемом и запущенном приложении на серверы Microsoft. Если приложение является чем-то законным и довольно популярным, например, Google Chrome или Apple iTunes, Windows разрешит его запуск. Если Microsoft знает, что это вредно, Windows не допустит ее запуска.
Если приложение не знакомо SmartScreen, вы увидите предупреждающее сообщение о том, что Windows помешала запуску нераспознанного приложения


А ну еще есть мысль, интересно послушать мнение коллег.
Это замена альтернативного потока у файла с полученнного с инета, на локальную машину. Тогда в теории винда будет считать, что файл не из инета получен. ?

 

[okihad]

Это замена альтернативного потока у файла с полученнного с инета, на локальную машину. Тогда в теории винда будет считать, что файл не из инета получен. ?

Вот это надо проверить. Только непонятно, каким образом смартскрин понимает, что файл из инета был скачан. Разве где-то в тэгах у файла прописывается такое?

 

[mtd]

яж написал, альтернативные потоки данных NTFS почитай что это такое.

 

[okihad]

яж написал, альтернативные потоки данных NTFS почитай что это такое.

Почитал. Проверил, на моем ПК ADS у файла нет. В данном случае он запускается нормально - смарт скрин не ругается.

23.04.2020 17:30 10 007 656 vpn.exe
1 файлов 10 007 656 байт
2 папок 71 316 402 176 байт свободно



Но как только передаю его через интернет, то ADS дописывается и смарт скрин начинает ругаться.

23.04.2020 17:28 10 007 656 vpn.exe
50 vpn.exe:Zone.Identifier:$DATA
1 файлов 10 007 656 байт
2 папок 71 328 870 400 байт свободно

Так что вы были правы. Спасибо

Как теперь сделать, чтобы ADS не дописывался?

 

[mtd]

ну смотря где ты использовать такое хочешь. если файл кто либо твой получает по сети, то он в любом случае должен иметь хорошую репутацию. (набить ее можно например с ботнета, запустив этот файла пару тыщ раз, но это не точно ) или подписать доверенным сертов, но такие стоят очень дорого.
если это лоадер, и он еще что то грузит и качает, тут я думаю, стоит дописать работу с NTFS потоками, чтобы менял зону, чтобы файл, который скачали, не имел ADS.

 

[okihad]

Что-то не пойму, как ADS работает.

1. Создал файл с ADS,
C:\>type sample.txt:secret.txt

2. Передал файл через интернет - ADS затерлось

3. Создал файл без ADS, передал файл через интернет - ADS добавился.

Ладно, буду разбираться.

 

[Pernat1y]

2. Передал файл через интернет - ADS затерлось

ADS поддерживается только на NTFS.

3. Создал файл без ADS, передал файл через интернет - ADS добавился.

:Zone.Identifier добавляется к загруженным из интернета файлам.

 

[corpserves]

отличная дока https://outflank.nl/blog/2020/03/30/mark-of-the-web-from-a-red-teams-perspective/

ютуб

 

[okihad]

отличная дока https://outflank.nl/blog/2020/03/30/mark-of-the-web-from-a-red-teams-perspective/

Да. Спасибо