Идеальный стиллер

[DildoFagins]

Ну это понятно, но как это относится к стиллеру? Что увидит там авер в памяти? БД браузеров?)

Сигнатуры увидит (у многих сейчас облачные алгоритмы работают, массовая малварь очень быстро отваливается, достаточно одному семплу улететь в облако и подождать от часа до пары дней, хорошая технология), неподписанный экзешник в памяти вендового процесса увидит, или исполняемые страницы, вообще хер пойми откуда взявшиеся, что в большинстве ситуаций означает либо JIT-компилятор, либо шеллкод. А про БД браузеров: аверам вообще давно пора палить по поведению чтение БД браузера из не процесса браузера, не понимаю, почему этого до сих пор нет у всех аверов.

 

[MercuryOxide]

Можно и на своей машине поднять веб-сервер, как делают юзеры одной шляпы на шарпе)) Зато не заблокируют!

я уже даже догадался что это за шляпа) Хотя например опять-же, впихнуть бэкдор в зараженную машину, не думаю что будет сложно) Вот тебе и прокладка. Лог взял - используем как прокладку)

 

[Jeffs]

Сигнатуры увидит (у многих сейчас облачные алгоритмы работают, массовая малварь очень быстро отваливается, достаточно одному семплу улететь в облако и подождать от часа до пары дней, хорошая технология), неподписанный экзешник в памяти вендового процесса увидит, или исполняемые страницы, вообще хер пойми откуда взявшиеся, что в большинстве ситуаций означает либо JIT-компилятор, либо шеллкод. А про БД браузеров: аверам вообще давно пора палить по поведению чтение БД браузера из не процесса браузера, не понимаю, почему этого до сих пор нет у всех аверов.

Вопрос изначально был касательно функционала самого стиллера.
Ну я только два выхода из данной ситуации вижу - морфинг кода самого стиллера, ВМ. Генерировать 100500 вариаций легитимного кода из грязного я не умею, ВМ тоже вряд ли осилю. Но это всё разговоры о высоком. В реальности гайки не так сильно закручены.

 

[DildoFagins]

ВМ тоже вряд ли осилю

Подход с виртуальной машиной тоже отчасти обречен, так как сам код виртуальной машины будет палиться. Его тоже надо морфить/обфусцировать, и мы по сути приходим к тому же, что и морфить/обфусцировать оригинальный код, но с перекручиванием себе яиц. Хотя виртуальная машина может существенно усложнить реверсинг, но с другой стороны, а нужно ли это для малвари? Есть вариант с тем, что сама виртуальная машина будет известным и популярным легитимных кодом без модификаций (тот же Петон, Луа, Руби и тд) и может быть даже подписанной библиотекой, тогда в теории аверы не смогут привязать к ней сигнатур. Но с другой стороны в этом случае и байткод не сделаешь каким-то уникальным, и готовые декомпиляторы могут уже существовать для этого формата байткода. Но можно попробовать обфусцировать байткод без изменения виртуальной машины. Кароч хз, что из этого может выйти, надо думать и тестить.

 

[Jeffs]

Есть вариант с тем, что сама виртуальная машина будет известным и популярным легитимных кодом без модификаций (тот же Петон, Луа, Руби и тд) и может быть даже подписанной библиотекой, тогда в теории аверы не смогут привязать к ней сигнатур.

Разве что только в теории. Почти любый собранный скрипт на AutoIT детектят все кому не попадя.

Подход с виртуальной машиной тоже отчасти обречен, так как сам код виртуальной машины будет палиться. Его тоже надо морфить/обфусцировать, и мы по сути приходим к тому же, что и морфить/обфусцировать оригинальный код, но с перекручиванием себе яиц.

Морфить/обфусицировать код ВМ проще, чем весь код своей малварки, т.к ту же стековую вм можно уместить в 500 строк кода (видел на гите где-то). Но, опять же, всё упирается в морфинг.

 

[DildoFagins]

Морфить/обфусицировать код ВМ проще, чем весь код своей малварки, т.к ту же стековую вм можно уместить в 500 строк кода (видел на гите где-то). Но, опять же, всё упирается в морфинг.

Наоборот сложнее, чем меньше объем кода, тем меньше существенно различных его комбинаций можно наморфить.

 

[Jeffs]

Наоборот сложнее, чем меньше объем кода, тем меньше существенно различных его комбинаций можно наморфить.

Я в том плане, что написать морфер для ВМ проще, чем для всего своего проекта (по крайней мере такому нубу как я).

 

[Emi]

пора палить по поведению чтение БД браузера из не процесса браузера, не понимаю, почему этого до сих пор нет у всех аверов.

По хуку давно уже палят чтение бд. Тут аверам нужно двигаться в сторону хука копирования файлов (та же теневая копия через СOM). В любом случае инжектом в браузер обойдут)

Есть вариант с тем, что сама виртуальная машина будет известным и популярным легитимных кодом без модификаций (тот же Петон, Луа, Руби и тд) и может быть даже подписанной библиотекой, тогда в теории аверы не смогут привязать к ней сигнатур.

В теории можно дропать питон и запускать молваре через него. Фуд рантайм. Но не, давайте придерживаться взглядов 2005 года когда молваре должна была быть не больше 12кб, ауф.

Наоборот сложнее, чем меньше объем кода, тем меньше существенно различных его комбинаций можно наморфить.

Та не. Тут на форуме формула есть же как сделать N комбинации при этом каждый выход уникален.

Вообще задачи такие решаются на изи, креатива нету прост)

 

[Haunt]

Но не, давайте придерживаться взглядов 2005 года когда молваре должна была быть не больше 12кб, ауф.

Проблема легко решается путём вынесения компонентов с большим весом в отдельные модули, прогружаемые на рантайме из удаленного ресурса в память легковесной апп, которая является лаунчером вредоноса.

 

[Emi]

Проблема легко решается путём вынесения компонентов с большим весом в отдельные модули, прогружаемые на рантайме из удаленного ресурса в память легковесной апп, которая является лаунчером вредоноса.

p.s. хз как обходится с тем, что на лаунчер детект могут повесить. Хоть поморфи, хоть обфуцируй, рано или поздно детект полетит. Закреп запарная тема.

 

[Jeffs]

Вообще задачи такие решаются на изи, креатива нету прост)

Да, с креативом у меня явные проблемы.

Как оцениваете данную архитектуру? Есть 2 пула воркеров:
- Sender - отправляет логи в админку. Неограниченное кол-во воркеров.
- Grabber - исполняет задания, полученные с сервера. Всего 2 воркера.
В зависимости от типа задания вызывается нужный хэндлер. У каждого хэдлера общий интерфейс управления. К примеру, конфиг граббера с chromium-based браузеров:

"chromium": {
    "grab": true,
    "cards_autofill": true,
    "history": true,
    "top_sites": true,
    "local_storage": true,
    "extensions": []
},

Обработчик рекурсивно обходит %APPDATA%, %LOCALAPPDATA% в поисках файла "Cookies", если такой файл был найден - пытается спарсить AES-key, если всё успешно - формирует лог и отправляет в Sender-пул.
Gecko обрабатывается аналогично: рекурсивно обходятся папки ..., формируется лог, отправляется в Sender.
В данной реализации меня смущает только то что папки обходятся рекурсивно несколько раз, когда можно за один проходит сформировать список папой для обработки.

 

[Emi]

Обработчик рекурсивно обходит %APPDATA%, %LOCALAPPDATA% в поисках файла "Cookies", если такой файл был найден - пытается спарсить AES-key, если всё успешно - формирует лог и отправляет в Sender-пул.
Gecko обрабатывается аналогично: рекурсивно обходятся папки ..., формируется лог, отправляется в Sender.

Не понимаю зачем рекурсивно искать. Я бы статиком пути написал до профилей и не парился бы.

 

[Jeffs]

Не понимаю зачем рекурсивно искать. Я бы статиком пути написал до профилей и не парился бы.

Браузеров на базе того же chromium с пол сотни, проще уж рекурсивно собрать.

 

[Emi]

Браузеров на базе того же chromium с пол сотни, проще уж рекурсивно собрать.

Мысли с точки зрения реализма)

С юсы 60% chrome, 30% edge, 10% ff

Пытаетесь делать макс сап браузеров, которыми мало кто пользуется, как в итоге - в работе лишь несколько браузеров.
Если ты в комерц идешь, то поддерживаю твою позицию, но не думаю, что ты пойдешь в пабл продажи)

 

[Jeffs]

Мысли с точки зрения реализма)

С юсы 60% chrome, 30% edge, 10% ff

Пытаетесь делать макс сап браузеров, которыми мало кто пользуется, как в итоге - в работе лишь несколько браузеров.
Если ты в комерц идешь, то поддерживаю твою позицию, но не думаю, что ты пойдешь в пабл продажи)

Причем тут "комерц"/пабл/не пабл? Смысл упускать лишние пароли? Если говорить о скорости: у меня софт всего в 2 основных граб-потока работает, ещё ни одного лога не видел, который бы собирался более 10 сек (не считая сборки лога на сервере).

 

[Exfazo]

Причем тут "комерц"/пабл/не пабл? Смысл упускать лишние пароли? Если говорить о скорости: у меня софт всего в 2 основных граб-потока работает, ещё ни одного лога не видел, который бы собирался более 10 сек (не считая сборки лога на сервере).

Смотри, если ты будешь искать рекурсивно Файлы cookies, например в localappdata, то там будут не только файлы cookies с браузеров, у других программ тоже такие файлы есть.

 

[DildoFagins]

у других программ тоже такие файлы есть

Например?

 

[Exfazo]

Например?

Не помню уже, telegram использует такие файлы.

 

[Jeffs]

Смотри, если ты будешь искать рекурсивно Файлы cookies, например в localappdata, то там будут не только файлы cookies с браузеров, у других программ тоже такие файлы есть.

Я знаю. Граббер пропустит файл, если не получится вытащить AES-ключ. Ну и там ещё некоторые проверки (проверка хидера SQLite format 3/...)

 

[Cryptoinstalls]

Не помню уже, telegram использует такие файлы.

tdata они называются