Обсуждение лоадеров

[tilekvj]

В общем, есть желание написать свой лоадер.
По функционалу планирую:
- 4 задания:
1) Обновление
2) Скачать и запустить EXE (с дропом на диск)
3) Скачать и запустить DLL (с дропом на диск)
- Выход из LowIL (не runas в цикле, есть пара идей по этому поводу)
- Сбор базовой инфы о машине (username, computer name, os, ...)
- Простенькое скрытие в системе
Весом думаю до 15 кб уложиться.
Какой-либо ещё функционал для лоадера необходим?

4. Скачать и запустить exe без дропа на диск
5. Скачать и запустить dll без дропа на диск
А вообще, все это дело запустить в памяти проблем не будет у тя.
Как собираешься ил LowIL выйти-то?
Собрать инфу изи.
+ неплохо будет обойти файрволл (мб инжект в браузер?)
Скрытие в системе через планировщик вродь палит.
Есть вариант создать ярлык в автозагрузке перед тем как комп выключится (я вот ищу как это сделать), а после запуска удалить ярлык.

 

[n1ppyyyy]

я вот понять не могу, а чем так плохо виртуалки? аверы и прочее? так в любом случае попадет туда, этого не исбежать. Но при этом теряется % корп логов, там в наше время сидит чуть ли не 90% работников, особенно после удаленки )

Хочешь сказать,что 90% работников сидят на виртуалках?

 

[tilekvj]

Не знаю почему все кодеры забывают добавлять защиту от аверских виртуалок\песочниц. Их же не так сложно задетектить и отсеять от среднестатистического юзера.
Я конечно не гуру разбора малварей\лодырей, но можно ведь просто прописать условия. Аля "Если на исполняемой машине есть такой-то аргумент - начинаем подгружать основной билд" Таким макаром можно и от аверских запусков огородить свой лодырь + он дольше проживет без детектов. (ну и в рантайме себя тоже хорошо покажет)

с покажет с рантаймом я бы поспорил. Есть варик сделать простой крипт. Записать данные в стаб + антиэмуляция. Хоть как-то можно защитить на некоторое время сигнатуру лодыря. Делается прост так. В стаб записывается зашифрованный наш лодырь. После антиэмуляции/антиоткладки в памяти криптор запускает наш зверек. Если она под песочницей то прога обртано отгружается. (не спасет от нода + сканеров памяти, но хотя бы что-то). + в будущем можно прост чистить стаб и все

 

[044rose]

с покажет с рантаймом я бы поспорил. Есть варик сделать простой крипт. Записать данные в стаб + антиэмуляция. Хоть как-то можно защитить на некоторое время сигнатуру лодыря. Делается прост так. В стаб записывается зашифрованный наш лодырь. После антиэмуляции/антиоткладки в памяти криптор запускает наш зверек. Если она под песочницей то прога обртано отгружается. (не спасет от нода + сканеров памяти, но хотя бы что-то). + в будущем можно прост чистить стаб и все

Как антиэмуляция связана с антиотладкой? И причем тут песочница? И ты знаешь, что такое сигнатура?

 

[tilekvj]

Хочешь сказать,что 90% работников сидят на виртуалках?

прост в вм нету логов жирных и мало замечал, что обычный юзер работает через вм. Лан, там качают и тестят на то работает ли или нет. Я вот отключаю, мб там Квейк пытается реверсить мою прогу xD

 

[Jeffs]

4. Скачать и запустить exe без дропа на диск
5. Скачать и запустить dll без дропа на диск

Какой в этом смысл? Если все перед тем как проливать с лоадера криптуют билд.

Скрытие в системе через планировщик вродь палит.

Я планирую использовать планировщик не с целью как-либо скрыться в системе, а просто для автозапуска. Это не так задрочено, как тот же авторан через реестр/startup folder.

 

[n1ppyyyy]

В общем, я все равно никогда не практиковал создание каких либо криптов и прочее.
Все что я хотел донести в этой теме - это создание лоадера с аргументами, под которые подходит ТОЛЬКО живой юзер, а не песочница авера.
Таким образом можно избавиться от скантайм детектов и замазать рантайм детект. По крайней мере это у меня так, на питоне =)
ps
я именно огородил себя от запусков аверских-виртуалок. На корп-виртуалках - все отработает =)
Еще раз повторю. Я лишь использую правильные аргументы. Всем спасибо.

 

[tilekvj]

Как антиэмуляция связана с антиотладкой? И причем тут песочница? И ты знаешь, что такое сигнатура?

Ни как не связана. Это способ защитить программу. Антиэмуляция - от песочниц аверов (если мы под песочницей, то завершаем прогу). Антиоткладка - чтоб не реверсили. Написал с целью чтоб просто защитить прогу на некоторое время, чтоб ОСНОВНОЙ ЛОДЫРЬ не набирал детектов

 

[044rose]

Ни как не связана. Это способ защитить программу. Антиэмуляция - от песочниц аверов (если мы под песочницей, то завершаем прогу). Антиоткладка - чтоб не реверсили. Написал с целью чтоб просто защитить прогу на некоторое время, чтоб ОСНОВНОЙ ЛОДЫРЬ не набирал детектов

Каких песочниц? Эмуляция - это не песочница... Почитай теоретическую часть перед тем, как писать.

 

[tilekvj]

Какой в этом смысл? Если все перед тем как проливать с лоадера криптуют билд.


Я планирую использовать планировщик не с целью как-либо скрыться в системе, а просто для автозапуска. Это не так задрочено, как тот же авторан через реестр/startup folder.

мало кто криптует билд для того чтоб через лодырь грузить. Я в практике мало замечал такое. В основном грузят +/- кейлогер, клипер, стилер. Они та и детекты на лодырь набирают. Народ думает ай ля, через лодырь подгружу билды, посмотрю как там сложится. В идеале - криптовать нужно и лоадер резидент проживет долго, не спорю. С планировщиком согласен, прост когда я делал - палила. мб криво делал.

 

[tilekvj]

Каких песочниц? Эмуляция - это не песочница... Почитай теоретическую часть перед тем, как писать.

мб не правильно выразился, но концепт понятен думаю. Эмулятор антивируса*

 

[Jeffs]

Таким образом можно избавиться от скантайм детектов и замазать рантайм детект.

От детектов ты таким образом не убежишь. Что будет, если у юзера, который подошёл под твои "аргументы" на ПК окажется установлен какой-нибудь условный аваст? Билд улетит в облако, дядьки-индусы расковыряют твой билд "ага значит этот софт начинает творить непотребства только при наличии того-то того-то, делает ... ..., накинем-ка детект". Нужно косить под легитимный софт.

 

[tilekvj]

Нужно косить под легитимный софт.

Кста, как это сделать вообще. Я пытался реверсить легет софты, смотреть в их импорты таблицы и делать примерно такое же у ся. + смотрел как ведет себя программа. Не знаешь материала где об этом почитать?

 

[Jeffs]

Кста, как это сделать вообще.

Не веди себя как малварь, вот и всё.

 

[tilekvj]

Не веди себя как малварь, вот и всё.

легко сказать, когда кленты грузят под твой максимально не косящий на малварь лоадер весь красный стилак... Кста, вроде доверие у аверов появляется после того как они просканируют несколько раз прогу (тип убедиться, что это рил продукт, он существует и т.д. здесь мне помогает иногда всякие подписи, сертификаты).

 

[SingleAdwice]

Хочешь сказать,что 90% работников сидят на виртуалках?

из тех что я видел - да, при чем даже если по итогу доступ есть на пк в офисе, то на пк один хер висит либо рдп на виртуалку, либо цитриксы

компании как от 1кк, так и до 4ккк

 

[Quake3]

Потому что все это вырезается чуть ли не автоматом, все эти ваши анти-вм, анти-аверы и прочее. Ну кроме действительно оригинальных идей, которые вырезаются аверским дятлом вручную. Конечно, какой-то % самых тупых (ленивых) аверов оно отсеет, но вопрос в том, какой, и стоит ли игра свеч? Да и задача не особо простая, вот как задетектить виртуалку ? Перечислять процессы и прочий детский сад - даже не смешно, а играться с разными моментами определения виртуализации, то как писали выше, потеряем % юзеров под разными hyper-v и т.д. Вообще, спорный вопрос.

использовать планировщик не с целью как-либо скрыться в системе, а просто для автозапуска. Это не так задрочено

С чего ты взял? Еще 3 года назад, когда была эпоха говномайнеров, то каждый добавлял себя в автозагрузку через cmd /c at...
ну разве что сделаешь на чистом СОМ, но если автолоад через командную строку, то это задрочено очень даже.

 

[tilekvj]

Потому что все это вырезается чуть ли не автоматом, все эти ваши анти-вм, анти-аверы и прочее. Ну кроме действительно оригинальных идей, которые вырезаются аверским дятлом вручную. Конечно, какой-то % самых тупых (ленивых) аверов оно отсеет, но вопрос в том, какой, и стоит ли игра свеч? Да и задача не особо простая, вот как задетектить виртуалку ? Перечислять процессы и прочий детский сад - даже не смешно, а играться с разными моментами определения виртуализации, то как писали выше, потеряем % юзеров под разными hyper-v и т.д. Вообще, спорный вопрос.


С чего ты взял? Еще 3 года назад, когда была эпоха говномайнеров, то каждый добавлял себя в автозагрузку через cmd /c at...
ну разве что сделаешь на чистом СОМ, но если автолоад через командную строку, то это задрочено очень даже.

кста, у меня была идея +/- как сделать норм автозагрузку. Тут надо во-первых понять, как служба/процесс начинает действовать/убивается при завершении работы. Концепт заключается в том, что малварь создает ярлык на доверенное приложение в папке автозагрузки, перед выключением путь ярылка меняется на малварь. после включения малварь запускает функуию, которая меняет путь ярлыка на норм приложения. Не тестил пока, руки не доходили. Но многие методы под типу папка автозагрузи, планировщик, реестр уже задроченная тема.

 

[Jeffs]

кста, у меня была идея +/- как сделать норм автозагрузку. Тут надо во-первых понять, как служба/процесс начинает действовать/убивается при завершении работы. Концепт заключается в том, что малварь создает ярлык на доверенное приложение в папке автозагрузки, перед выключением путь ярылка меняется на малварь. после включения малварь запускает функуию, которая меняет путь ярлыка на норм приложения. Не тестил пока, руки не доходили. Но многие методы под типу папка автозагрузи, планировщик, реестр уже задроченная тема.

Можно достать все ключи из CurrentVersion\Run, перейти по пути из ключа, заменить оригинальный файл на батник, который запустит твою малварь, оригинальный файл. Но опять же, не факт, что получится это сделать из-под lowil.

 

[tilekvj]

Можно достать все ключи из CurrentVersion\Run, перейти по пути из ключа, заменить оригинальный файл на батник, который запустит твою малварь, оригинальный файл. Но опять же, не факт, что получится это сделать из-под lowil.

lowil скорее всего не получится. нужно подыматься. Но тут тож есть задроченные методы. Вообще РЕЗИДЕНТ лоаедры сложная тема в плане правильного написания, детектов. Кста, ты решил (или знаешь) как ты будешь обходить файрвол? Ну, наверное гейт должен быть по 80 хттп.