Да, через schtask.exe +детект обеспечен. Вот тут есть пример работы с com task scheluder: https://github.com/hryuk/Carberp/blob/master/source - absource/pro/all source/schtasks/schtasks.cpp
Обсуждение лоадеров
- Автор темы khano
- Дата начала
Я пока вообще ничего не решал. Сейчас пишу стиллер с сервер сайд декриптом. Сбор всевозможных данных с chromium, gecko-based браузеров в 12 КБ кода на ++ уместился. Правда пока хз, как декриптить пароли старого хрома, те что накрыты dpapi, но что-нибудь придумаю. Как закончу, за лоадер возьмусь, наверное.
Кста, я тож писал такое (гугл 80 версии и выше логи собираются в памяти, а мозилу скидываем на сервак с ключами и там декриптим, у меня на питоне). В ie изи реализовано (у меня сурсы есть стилака, если надо скину). В дпапи там крч такая тема, что есть файлы какие-то и их перекинув и заменив можно дешифровать. Я искал решение и не нашел, если найдешь, то дай знать какая система юзается пожалуйста . p.s. либо dpapi декриптор нужно руками писать +/- оптимизировав.
Последнее редактирование:
Если ты клеишь с доком то это не значит что все так делают (большинство как раз качают) если же тебе важен вес ты можешь грузить резидент часть через загрузчик если тебе вес не важен можешь грузить резидент часть на прямую.
Конкретно в триумфе юзаеться для фильтрации трафика. Также ты можешь не юзать лоадер а грузить резидент часть на прямую.
Ага ты еще про фильтрацию на стороне сервера начни тут рассказывать? ИМХО лучше лоадер еще нечего не придумали.
Конечно потому-что у тебя аргументов нет ты на мои аргументы отвечал отсебятиной (слишком много я) ты рассуждаешь догмами жизнеспособность которых уже давно опровергнута. Я к белиалу не имею не какого отношения. Понятно что всегда найдутся дебилы которые буду хейтить софт так было и будет и эти дебилы буду с пеной у рта отстаивать свое мнение выдавая его за инстину в последней инстанции. И еще научись статику от рантайма отличать так как сканеры рантайма показывает как статику так и динамику.
- Автор темы
- Добавить закладку
- #45
например тот же трик так делает если че) С тобой гуру спорить смысла не вижу, ты крутой хакер, так держать
del whatever
Последнее редактирование:
А что так, говнецом не хочешь обмазаться под конец лета?
Очень не красиво свой продукт так нахваливать.
Можно взять один из способов повышения привилегий от Джеймса Форшау...
Ну и да, по поводу отрубания виртуалок - соглашусь, оно того не стоит.
Лучше всего потратить время на отруб эмуляторов.
В винде овер 4к дллок, которые она подгружает, эмуляторы чисто физически не смогут проэмулировать все процедуры правильно. (т.е тривиальный мокинг)
Дешево и сердито - берем %random_procedure% из какой-то мало значимой %random_dll_name% динамической библиотеки.
Тестим - смотрим значения регистров после выполнения ф-и.
Обычно эмуляторы будут мокать значения и к примеру где после выполнения процедуры на реальной системе значения при любых тестах значение регистра EAX будет равно 3, под эмулятором оно будет равно 0 (Замоканное дефолтное значение для незначимых ф-й).
Таким способом и отсеиваем часть эмуляторов.
Лучше всего потратить время на отруб эмуляторов.
В винде овер 4к дллок, которые она подгружает, эмуляторы чисто физически не смогут проэмулировать все процедуры правильно. (т.е тривиальный мокинг)
Дешево и сердито - берем %random_procedure% из какой-то мало значимой %random_dll_name% динамической библиотеки.
Тестим - смотрим значения регистров после выполнения ф-и.
Обычно эмуляторы будут мокать значения и к примеру где после выполнения процедуры на реальной системе значения при любых тестах значение регистра EAX будет равно 3, под эмулятором оно будет равно 0 (Замоканное дефолтное значение для незначимых ф-й).
Таким способом и отсеиваем часть эмуляторов.
Ну и кстати: - https://github.com/mis-team/dpapick/
UPD Added research: https://sudonull.com/post/6370-Secrets-DPAPI-or-DPAPI-for-pentesters
UPD Added research: https://sudonull.com/post/6370-Secrets-DPAPI-or-DPAPI-for-pentesters
я бы не сказал что хорош, но хотя-бы не скам
При завершении работы (если хочешь отловить), то специальное оконное сообщение отправляется, но только тем приложениям где есть окна (можно мессадже онли окно создать); для служб там другая фигня отправляется, сигнал не помню какой. А так - читай Руссиновича , там все есть.
Огорчу вас, но и этой методике много лет + с лоу ил не запишешься в реестр, но пробовать надо, почему нет. Врядли кто-то выдумает что-то принципиально новое, винда все таки не неизведанное космическое пространство. Я к тому, что сейчас не 2000 год и все методы инжектов давно известны, как и методы автозапуска, но можно поиграться, что-то поменять, комбинировать. Скажем, на васме обсуждают инжект через АРС, хотя это древнее говно мамонта, но почему-то его снова переоткрыли и юзают..
Не хочу разводить сплетни, но что уж . С автором не сошлись во взглядах, он хотел обзор УЖЕ и СЕЙЧАС (хотя как бы это дело добровольное, и у меня есть чем заняться), + хотел не обзор, а как бы ревью с советами. У меня есть принцип - если человек учится, и честно говорит мол так и так, то можно помочь и подсказать, но с комерсанта должен быть полный спрос. Если ты заявил себя как малваре-кодера и продаешь продукт - никаких поблажек быть не может. Обзор сугубо со стороны, как будто вот авер реверсит или что, без скрытия каких-то неприглядных фактов. А они бы там были, уверен.
Спасибо за наводку. Действительно, сейчас изобрести что-то прям беспалевное +/- мало кто может, наверное. В привате конечно есть. Лоадер по-любому это мин 5 рантайм детектов. Именно рездиент. А вот нерезидент думаю можно сделать +/- беспалевным. Все просто мне КАЖЕТСЯ именно в не рездиент. Попадает на софт и грузит с гейта данные. Тут тоже нюансы, UrlDownFile - не варик. Думаю можно из гейта в зип архиве получить зашифрованным трафиком данные, после распаковать эти данные в памяти, и запустить с соотвествии с параметрами файлы (exe, dll и т.д.) (дроп или не дроп на диск), тут нюанс, чтоб файлы были с мин детектами, иначе нету смысла лоадера. Лоадер - простая хрень, которая должна доставить до жертвы файлы и запустить и всё.
Ну да. Сеть - по любому кто-то да спалит, хоть как не делай, автозагрузка - тоже , считай, красная тряпка для авера, ну и запуск процесса.. По запуску надо писать нормальный РЕ лоадер, который будет поддерживать современную, так сказать, "малварь" на шарпе и петухоне. Вот в процессе написания такого пе лоадера и найдешь ответ на извечный форумный вопрос "а почему малварь надо кодить на Си, а мне одноклассник говорил что шарп норм..".
А записывать ничего и не нужно. Нужно только прочитать значение из реестра. Вытаскиваем значения всех ключей CurrentVersion\Run, получаем список путей. Идём по каждому из путей, переименовываем оригинальный файл, перемещаемся в эту папку, переименовываем себя под оригинальный файл. Главное не забыть потом оригинальный файл запустить. Много нюансов у этого метода, больше как идея.
Проблема может быть в том, что большая часть файлов будет лежать в Program Files (куда, напомню, нужны админ права для записи). Нужна какая-то статистика по юзерам, что именно там лежит, и исходя из этого можно пробовать.
Кстати, видел зимой лоадер (самопис, приват) с всего лишь двумя детектами на динчеке, с фулл инетом в плане. Но - на павершелл. Натив хз возможно ли такое сделать (тут прав Haunt ).