Граббинг паролей и куки фф.

[vtx]

Иначе говоря, даже удроченные техники в нейтиве там можно сделать с чистым выполнением.

Зачем тогда весь этот зоопарк? Если можно сделать на нативе, пш ведь еще морфить надо, что скорее всего вызовет ряд проблем, виндеф выпаливает обфускацию пш, легитимный код от обфусцированного легко отличить имея базу белых скриптов, то что сейчас не палится начнет палиться, вопрос времени.

К слову, если морфить на базе LLVM, то таких проблем не возникает, там можно легитимно генерить фреймы с закосом под компилятор, эвристически выпалить какие-то аномалии порой нереально, в отличии от того же пш.

 

[Haunt]

виндеф выпаливает обфускацию пш

Лол Кек. Виндеф нихуя не выпаливает. Даже конкатенацию.
Возьми любую сигнатуру загони в строку и сконкатенируй, он ее не сможет проэмулить . Можешь взять тот же eicar или Invoke-Mimikatz загони в строку или возьми любую сигнатуру из реального кода. Он выпаливает только бомже обфускацию которая на самом деле не обфускация, а упаковка. Как тот же Invoke-Obfuscation. Он обфусцирует? Он пакует. Берет скриптблок как кусок текста, морфит его как строку и загоняет в cmdlet Invoke-Expression которая инвокает код из строки. Но х#йня в том, что в сорцах powershell заложена логика в функции ReallyCompile делать обращение к COM amsi на каждую компиляцию каждого скриптблока. То есть пш перед тем как выполнить код из строки с помощью iex/Invoke-Expression сначала прокидывает контент на чек подписанному на amsi софту. В независимости, как глубоко лежит контент под iex, будь хоть тройной хоть двойной слой. Из бейс64, ксоров, дефлейт стримов и прочей х#йни которая в глубину закапывает контент. А если ты морфишь на уровне стейтментов то виндеф высасывает, как и остальные аверы. Поскольку вся тема с амси и якобы «эмуляцией» укладывается в том, что я описал выше. И это я ещё не говорю про байпассы амси, после чего аверы закрывают глаза вообще на все.

 

[vtx]

Пш в целом иначе анализируется аверами и там проще их обойти.

Два года назад также было? А 5 лет назад? С нативом все было также. В этом и проблема. Сейчас все работает, а потом у них что-то другое. Возможность детекта скриптов сверху ничем не ограничена. Будут все использовать конкатенацию - ML виндефа просто выучит это и начнет выпаливать. Неужели ты не понимаешь что для того чтобы виндефу или кому либо еще запалить натив - ему надо сначала проэмулить, либо продисасмить инструкции, и построить из них дерево (хороший материал в гугле - How windows defender stopped emotet outbreak). Для того чтобы им пропалить повершелл, достаточно просто взять их движок NLP (процессинг естественных языков) из переводчика, вбить миллион легитимных скриптов и малварьных, и он просто их будет даже без эмуляции определять тупо по факту высокой энтропии переменных (как пример, когда все переменные генеренные). Когда этот форум прочтут другое говноеды, то твоей хваленной технике придет конец, а потом морфер на LLVM продолжит давать оплеухи аверам еще минимум 10 лет. Удачи в работе.

 

[Haunt]

Два года назад также было? А 5 лет назад?

Пш версии 2 не имеет никакой защиты в виде амси. Стоит на вин7 по дефолту х#й знает сколько лет и все это время был уязвим к этим атакам. О проблемах с амси и их обходами известно с 2016. Сейчас 2020 и все так же актуально, только с небольшими изменениями.

Неужели ты не понимаешь что для того чтобы виндефу или кому либо еще запалить натив - ему надо сначала проэмулить, либо продисасмить инструкции

Понимаю. По этому уже сейчас задумываюсь над написанием надстройки поверх пш в виде вм, билдер для которой принимает на вход сорцы пш и перегоняет их код в вм(которая тоже написана на пш)с генерацией уникальных опкодов и уникальной, поморфленной реализации для каждого опкода, при каждом билде. Таким образом добавляя ещё прослойку, которую надо будет отреверсить, чтобы понять, что делает код.

то твоей хваленной технике придет конец

Не приходит конец с 2016, хотя данная проблема есть в issues на гитхабе, на которую не реагируют разрабы пш. Можешь сам загуглить если интересно. Я исследовал это поле с пш вдоль и поперёк.

потом морфер на LLVM продолжит давать оплеухи аверам еще минимум 10 лет.

я ж не говорю что он хуже, при таком подходе. Или пш чем то лучше против продвинутых натив техник. Просто есть актуальные темы, которые в тренде и которые работают. Перестанут работать, найду другую тему, перекочую на llvm)))
Просто разница понимаешь в чем, есть те, кто не прогрессируют и дрочат мертвое, не развиваясь. Считаю что паблик малварь в этом плане мёртвый жанр, ты видел хоть 1 проект в паблике с морфером на ллвм?)) с этим уровнем услуг, криптом, который типа помогать должен...ниче хорошего ждать не стоит. По этому надо двигаться дальше, пробовать и копать новое. Это моя позиция. Я никого к ней не принуждаю.

Удачи в работе.

И тебе удачи.

 

[Haunt]

xd

 

[Jeffs]

Интересно, получилось у кого расшифровать пароли без особых костылей?

 

[Apocalypse]

Все прекрасно расшифровывается с костылями, накуя усложнять...

 

[Jeffs]

Все прекрасно расшифровывается с костылями, накуя усложнять...

Просто не очень хочется таскать с собой дллки.
А если брать из папки с фаерфоксом, то там начинается ебля с битностью

 

[Haunt]

Просто не очень хочется таскать с собой дллки.
А если брать из папки с фаерфоксом, то там начинается ебля с битностью

Серверсайд расшифровка libnss3.so, и ниче на клиент не надо тянуть и ебаться с битностью, энжоиинг

 

[Jeffs]

Серверсайд расшифровка libnss3.so, и ниче на клиент не надо тянуть и ебаться с битностью, энжоиинг

Да в моём случае это не выход. Если бы писал для себя, то, наверное, так бы и сделал (тем более есть готовая либа: https://github.com/rusq/gonss3 тупо подаёшь key4.db, получаешь пароли).
Зная на какие сервера некоторые накатывают админки, вангую тонну сообщений "софт гавно админка тупит ебал в рот разработчика".
Поэтому и приходится ломать голову

 

[Haunt]

Да в моём случае это не выход. Если бы писал для себя, то, наверное, так бы и сделал (тем более есть готовая либа: https://github.com/rusq/gonss3 тупо подаёшь key4.db, получаешь пароли).
Зная на какие сервера некоторые накатывают админки, вангую тонну сообщений "софт гавно админка тупит ебал в рот разработчика".
Поэтому и приходится ломать голову

Но это же не выход. Хочет норм софт пусть ставит на норм впс/вдс, а не на шаред. Че теперь костыли мутить, раз клиент ниче не знает кроме шареда? Софт надо для людей делать, а не для говномесов)

 

[monstercat]

да, разобрали уже, скоро вот допилю

 

[Jeffs]

да, разобрали уже, скоро вот допилю

Что там в key3.db изменили, если не секрет?

 

[monstercat]

Что там в key3.db изменили, если не секрет?

в key3.db ничего, в key4.db поменяли структуру asn1, шифрование, на гите есть обсуждение в lazagne, можешь глянуть.

 

[Jeffs]

в key3.db ничего, в key4.db поменяли структуру asn1, шифрование, на гите есть обсуждение в lazagne, можешь глянуть.

Благодарю, нашёл готовую реализацию: https://github.com/lclevy/firepwd/blob/master/firepwd.py