ГОЛОСОВАНИЕ: Выбор победителя КОНКУРСА СТАТЕЙ #5.

[admin]

Мы начинаем выбор победителя КОНКУРСА СТАТЕЙ #5! Напоминаю, призовой фонд - 15.000$

https://xss.pro/files/konkurs_statey5.png​

Как все происходит? Точно также, как и на прошлом конкурсе, правила не изменились. А именно:

1. Я провожу первичный отбор. На предмет копипаста, соблюдения формальных правил конкурса и т.д. Таких статей было всего несколько.
2. Статьи выставляем на голосование. Голосование будет доступно только участникам, зарегистрированным до начала конкурса. Набивы, мультов и махинации жестко присекаем. Голосование публичное и открытое.
3. Победителя определяем голосованием. Однако, вес голосов будет разным. Все голосуют одним голосом. А я admin и спонсор SingleAdwice голосуем с повышающим коэффициентом, 5-ю% голосов сразу. Процент голосов берется от общего количества проголосовавших, выступая повышающим коэффициентом для нас.
4. Голосование будет длиться до 01.12.2020.
5. Для выбора будет доступно <=3 статьи (всем: участникам, мне и SingleAdwice)

Я и спонсор будем голосовать по такому принципу:
- серьезность и уровень технической части статьи;
- объем, содержательность и проработка материала;
- практическая ценность и полезность;

* Наш движок не позволяет привязать дату регистрации к голосованию, поэтому, как и в прошлом конкурсе, голоса тех, кто был зарегистрирован ПОСЛЕ начала конкурса, будут в самом конце сняты мной вручную.

Конкретный практический пример:
После голосования, я вручную снимаю голоса тех, кто был зарегистрирован после начала конкурса, если такие будут. Далее мы берем общее количество проголосовавших, например, суммарно проголосовали 100 человек. Все голосуют 1 голосом. admin голосует 5 голосами. Спонсор SingleAdwice голосует 5 голосами. Все смогут отдать голос одновременно до 3 разных статей максимум.


Участники:

1. Статья KONUNG "Пишем ратник с нуля и навека" - https://xss.pro/threads/42931/
2. Статья X-Shar "Обход проактивной защиты антивирусов" - https://xss.pro/threads/42941/
3. Статья DildoFagins "Обфускация С/С++ кода с помощью Python и libclang" - https://xss.pro/threads/42944/
4. Статья Octavian "Криптор исполняемых файлов. РЭволюция =)" - https://xss.pro/threads/42999/
5. Статья DildoFagins "Исследуем и обходим перехваты/хуки функций на уровне пользователя" - https://xss.pro/threads/43097/
6. Статья AlexLES "Делаем «Android» который пишет сообщения в «Viber», регистрирует аккаунты в «ВКонтакте» и смотрит «YouTube» без вашего участия" - https://xss.pro/threads/43201/
7. Статья pic4a "Заменяем HTTP. Варианты обмена данными между клиентом и сервером по альтернативным протоколам" - https://xss.pro/threads/43451/
8. Статья X-Shar "Изучаем руткиты на примере руткита для Linux Kernel 5" - https://xss.pro/threads/43479/
9. Статья ayanami "Организация массовых спам-рассылок и сбор данных юзеров в Телеграмм без особых усилий" - https://xss.pro/threads/43628/
10. Статья Decentor "Хакерский гейминг" - https://xss.pro/threads/43693/
11. Статья bratka "Стопроцентный Ransomware" - https://xss.pro/threads/43716/
12. Статья xrahitel "Грузоперевозки малвари через Осла (IE)" - https://xss.pro/threads/43725/
13. Статья rokkkkkko "Macbook на $1,5 млн и Криминальная форензика Apple-устройств" - https://xss.pro/threads/43730/
14. Статья Temchi "Реагирование на компьютерные инциденты в ОС семейства Windows. Методика и реальный пример." - https://xss.pro/threads/43755/
15. Статья Katant "Внедрение в Android приложения с помощью Frida" - https://xss.pro/threads/43767/
16. Статья Cl0Ud5 "Трафик, руководство по применению сарафана" - https://xss.pro/threads/43784/

(отсортированы по дате добавления)


Подведение итогов:
Голосование длится с текущего момента и до 01.12.2020 в 23:59.


Призы:
Победитель конкурса (1 место) получает приз - 5.000$
2 место - 4.000$
3 место - 3.000$
4 место - 2.000$
5 место - 1.000$


Набивы & Нарушения
Поскольку сумма приза солидная, важный пункт (!). Подозреваю, что кто-то обязательно захочет злоупотребить. Напоминаю, за набив и нарушение правил конкурса - моментальная дисквалификация. Поверьте, это сразу видно. И это сразу же всплывет, ведь призы солидные, соседи по турнирной таблице "спалят" вашу накрутку первыми. Если не заметят конкурсанты, найду и замечу я. Так что, не рискуйте, занимаясь обманом среди своих. Голосование прозрачное. Таблица голосов открыта для всех. Каждый голос будет виден другим участникам.

Публиковать ссылку в блогах, на других форумах, группах и т.д т.п. можно. Но без призывов проголосовать за выгоду и конкретно себя. Например, "проголосуйте за мою статью, получишь приватный софт" - это запрещено. А "проголосуйте в конкурсе" - это разрешено.

Проголосовать можно за 3 статьи одновременно.


Спонсор конкурса
Спонсор SingleAdwice. Благодарим за материальное спонсорство!


Поехали! Всем удачи.

 

[omne999666]

Статья Decentor "Хакерский гейминг" <3 отдано.

 

[DildoFagins]

Этот опрос будет закрыт: 30.11.2020

Голосование длится с текущего момента и до 01.12.2020 в 23:59.

admin, это баг с опросником, если верить подписи, то он будет закрыт на день раньше, или это я туплю?

 

[heybabyone]

Один из двух статей Рела тянет на призовое.

1. Статья DildoFagins "Обфускация С/С++ кода с помощью Python и libclang" - очень хорошо рассмотрен морфинг сорцев при помощи другого языка. Интересное чтиво. Чутка доработать и уже получится готовый морфер.

2. Статья Octavian "Криптор исполняемых файлов. РЭволюция =)" - самый универсальный метод загрузки в память) Пожалуй, поюзаю у себя

3. Статья DildoFagins "Исследуем и обходим перехваты/хуки функций на уровне пользователя" - как по мне, очень подробно рассмотрены обходы с использованием нескольких техник. Очень обрадовал использование при помощи COM виндового дизасма. Как вариант в будущем можно морфить бинарь, перед загрузкой в память (loadpe) и поставить образцовую сигнатуру будет сложно. Однозачно именно за эту и про обфускацию - жирный лайк.

Статья X-Shar про проактивку канеш был норм, но особого-то кода или новой техники не увидел

А все остальные вроде неплохо, но некоторые косили по ReadBear. ИМХО.

Успехов всем участникам!

 

[X-Shar]

Статья X-Shar про проактивку канеш был норм, но особого-то кода или новой техники не увидел

Да что-то мне тоже та статья неочень понравилось, в плане реализации, т.к. я до конца там недоделал, спешил, сама как идея и обсуждения норм., к тому-же потом появилась другая статья от Рела, что тоже не плохо...)

Про Линукс статья круче получилось, но т.к. в ней нет практического смысла, то вряд-ли тут будет успех...

Я проголосовал за статьи Рела + Октавиан, думаю эти статьи заслуживают три призовых места, остальные пять как получится, в целом все статьи достойные.)

 

[KONUNG]

Да что-то мне тоже та статья неочень понравилось, в плане реализации, т.к. я до конца там недоделал, спешил, сама как идея и обсуждения норм., к тому-же потом появилась другая статья от Рела, что тоже не плохо...)

Про Линукс статья круче получилось, но т.к. в ней нет практического смысла, то вряд-ли тут будет успех...

Я проголосовал за статьи Рела + Октавиан, думаю эти статьи заслуживают три призовых места, остальные пять как получится, в целом все статьи достойные.)

По сути, первая статья, с обходом проактивки сводилась к переносу кода в длл и инжекту в легитимный процесс, так если подумать, по такой технологии можно тот-же ратник вшивать в легитимный процесс, и он тупа не будет палиться ни в диспетчери, ни в каких-либо листах с процессами, том же tasklist'e
Так что, тут тоже есть почва для размышления, как применить это

 

[DildoFagins]

переносу кода в длл

Ну так же можно сделать и шелл-код и код из экзешника инжектить (если ему сделать релоки).

Да что-то мне тоже та статья неочень понравилось, в плане реализации, т.к. я до конца там недоделал, спешил, сама как идея и обсуждения норм., к тому-же потом появилась другая статья от Рела, что тоже не плохо...)

Ну в этой статье было достаточно жаркое обсуждение. У меня до сих пор в голове не укладывается, что Касперский пропускает инжект, практически идентичный тому, что описан в книжке Джеффри Рихтера от начала двухтысячных. Хотя я практически уверен, что во времена тотальных SSDT перехватов их драйвером klif.sys такого дерьма не было. И потом, эта статья натолкнула на идею написания моей второй статьи, если мне память не изменяет.

но некоторые косили по ReadBear

Если она займет первое место, то можно будет уже говорить об этакой тенденции. И на следующий конкурс все будут писать статьи в таком стиле)).

 

[heybabyone]

По сути, первая статья, с обходом проактивки сводилась к переносу кода в длл и инжекту в легитимный процесс, так если подумать, по такой технологии можно тот-же ратник вшивать в легитимный процесс, и он тупа не будет палиться ни в диспетчери, ни в каких-либо листах с процессами, том же tasklist'e
Так что, тут тоже есть почва для размышления, как применить это

Не обязательно инжектить. Можно подменить (длл хайджейкинг). Например смотришь каким процессам какие длл не подключаются. Смотришь их расположение. Если расположение в той папке, где разрешено копирование, то копируем туда свой dll. Таким образом можно повыситься до high из Low например. И ни каких инжектов. Например процессу svhchost не хватает dll по имени need.dll, он должен быть расположен по пути C:\Program Files\dllData\need.dll. После смотрим, можно ли туда записывать данные. Если да, то создаем там файл (точнее наш вредононосный dll). А после svchost при помощи LoadLibrary импортить и вот тебе инжект, и доверенный процесс, и выход из low, и автозагрузка. Ну это только начало.

Ну так же можно сделать и шелл-код и код из экзешника инжектить (если ему сделать релоки).

Имеешь ввиду создание шелл кода из dll и скажем инжект в процесс след видом: VirtualAlloc под наш шелл, WriteProccesMemory пишем шелл и удаленным потоком запускаем?

Я вот запуска у себя в памяти dll след образом:
((void(*)())exec)();
и все.
Изначально пишу свой малварь как dll) Даже с loadpe и т.д. мучаться не надо.

Или ты имел ввиду другое?

С dll это самый изи вариант. В пару строк. Всегда так делал.

Ну в этой статье было достаточно жаркое обсуждение. У меня до сих пор в голове не укладывается, что Касперский пропускает инжект, практически идентичный тому, что описан в книжке Джеффри Рихтера от начала двухтысячных. Хотя я практически уверен, что во времена тотальных SSDT перехватов их драйвером klif.sys такого дерьма не было. И потом, эта статья натолкнула на идею написания моей второй статьи, если мне память не изменяет.

Скорее многие перестали его юзать из-за детекта, а аверам уже не встречается долго. Мб поэтому не детектят) Не удивлюсь, если та же самая шляпа будет с UrlDownloadFile

Если она займет первое место, то можно будет уже говорить об этакой тенденции. И на следующий конкурс все будут писать статьи в таком стиле)).

Нее, зашкварно будет)

 

[heybabyone]

По сути, первая статья, с обходом проактивки сводилась к переносу кода в длл и инжекту в легитимный процесс, так если подумать, по такой технологии можно тот-же ратник вшивать в легитимный процесс, и он тупа не будет палиться ни в диспетчери, ни в каких-либо листах с процессами, том же tasklist'e
Так что, тут тоже есть почва для размышления, как применить это

Относительно первой статьи, где писал X-Shar на счет инжекта в процессы браузеров дабы читать данные очень костыльное и глупое решение как по мне. Это показывает, что автор со стилером не работал. Во многих случаях после запуска стилера процесс хрома например активный, а значит он не позволит прочитать Login Data т.к. в данный момент идет запись и т.д. А инжектить в 3-4 браузера (если они активны например - глупый подоход). Придется таскать как x86/x64 версии dll для инжекта. И тем более тот метод инжекта, который X-Shar привел (Рихтера) - нужно таскать так же две версии софта под две арихтектуры т.к. CreateRemoteThread не запустит удаленный поток, если твой инжектор x32 а процесс, в который нужно инжектнуть x64. Учитывайте, что нужно дропать dll в папку какую-то (если метод Рихтера). А это уж точно вызовит детект. Пропустим то, что инжектнули, прочитали данные, а теперь их нужно отправлять или декриптить. Стилер сам по себе одномодульный малварь, которому всякие инжекты не нужны.
Лучший вариант копировать Login Data в папку "выше"->имеется ввиду "../LoginDataDump".
Еще прикрутите вариант дампить файл с новым названием. Например, в рантайме генерируйте из символов рандом строку. Если на первой машине копируется с названием "../dsakna", то на другой "../xaljiaak" - точный детект поставить сложно, разве что хучить CopyFile. А тут вызываете сисколом и профит. (ток в юзермоде)

 

[DildoFagins]

Не обязательно инжектить. Можно подменить (длл хайджейкинг). Например смотришь каким процессам какие длл не подключаются. Смотришь их расположение. Если расположение в той папке, где разрешено копирование, то копируем туда свой dll. Таким образом можно повыситься до high из Low например. И ни каких инжектов. Например процессу svhchost не хватает dll по имени need.dll, он должен быть расположен по пути C:\Program Files\dllData\need.dll. После смотрим, можно ли туда записывать данные. Если да, то создаем там файл (точнее наш вредононосный dll). А после svchost при помощи LoadLibrary импортить и вот тебе инжект, и доверенный процесс, и выход из low, и автозагрузка. Ну это только начало.

Ну ком-хайджекинг попроще сделать, твоя длл может лежать, где угодно. Да и проксировать вызовы в ком-хайджекинге проще, тк не надо всю таблицу импорта оригинальной длл у себя воссоздавать (достаточно реализовать DllGetClassObject). Но повысить привилегии таким образом не удастся, тк сможешь записать только в HKCU. Вообще вроде в 10ках (или даже раньше) SYSTEM уже не может писать в HKLM\...\CLSID\*, для этого уже нужны права TrustedInstaller'а. Это в принципе не особая проблема, но нужны права администратора как минимум, и это немного усложняет процесс. Но с админа до система через ком-хайджекинг можно подняться.

Имеешь ввиду создание шелл кода из dll и скажем инжект в процесс след видом: VirtualAlloc под наш шелл, WriteProccesMemory пишем шелл и удаленным потоком запускаем?

Ну типа того, да. Можно взять свой образ (экзешника) и замаппировать его в удаленный процесс той же разрядности. Но надо учесть несколько вещей, например то, что некоторые глобальные переменные в твоем образе уже проинициализированны, релоки поправить должным образом и тд. Это хорошо в том плане, что не нужно внутри себя никаких длл таскать, инжектируешь себя же. С шеллом проще, тк он самодостаточный, просто разместил в памяти удаленного процесса и запустил. Но канеш кодить шелл сложнее, чем длл или экзешник.

С dll это самый изи вариант. В пару строк. Всегда так делал.

Да, но это тоже лучше бы из памяти делать, не сбрасывая длл на диск, тк для некоторых антивирусов дроп чего-то исполняемого и его исполнение тут же является жестким детектом.

Скорее многие перестали его юзать из-за детекта, а аверам уже не встречается долго.

Ну может, но это тоже странно, тк обычно система защиты идет по пути совершенствования, а не забивания хера, но аверам наверное виднее.

 

[KONUNG]

Например процессу svhchost не хватает dll по имени need.dll, он должен быть расположен по пути C:\Program Files\dllData\need.dll. После смотрим, можно ли туда записывать данные. Если да, то создаем там файл (точнее наш вредононосный dll). А после svchost при помощи LoadLibrary импортить и вот тебе инжект, и доверенный процесс, и выход из low, и автозагрузка. Ну это только начало.

Интересно было бы почитать больше на эту тему, по поиску вот таких вещей в винде, которые могут быть полезны при написании вирусняка

 

[X-Shar]

Интересно было бы почитать больше на эту тему, по поиску вот таких вещей в винде, которые могут быть полезны при написании вирусняка

Была у меня идея написать такую статью.

Это можно потом использовать и для обхода уак например, принцип тот-же.

 

[heybabyone]

Но повысить привилегии таким образом не удастся, тк сможешь записать только в HKCU.

Смотрим у exe в манифесет если autoevelate=True, после смотрим какие dll не хватает и по какому пути. И смотрим, можно ли туда дропать dll. Если да, то это подключаемая dll к нашему процессу получает уже админ права. Лазейки так сказать. Разве нет?) Я так делал еслчо) Имел ввиду, если юзер в локалке админа, то обойти юак можно

Ну типа того, да. Можно взять свой образ (экзешника) и замаппировать его в удаленный процесс той же разрядности. Но надо учесть несколько вещей, например то, что некоторые глобальные переменные в твоем образе уже проинициализированны, релоки поправить должным образом и тд. Это хорошо в том плане, что не нужно внутри себя никаких длл таскать, инжектируешь себя же. С шеллом проще, тк он самодостаточный, просто разместил в памяти удаленного процесса и запустил. Но канеш кодить шелл сложнее, чем длл или экзешник.

Ну тобой сказанное про экзе подойдет для крипторов. Для меня не надо мучаться. Я малварь под dll делаю. А dll как шелл инжектить в сто раз легче и не надо ни какая релоков-х#йоков.

Да, но это тоже лучше бы из памяти делать, не сбрасывая длл на диск, тк для некоторых антивирусов дроп чего-то исполняемого и его исполнение тут же является жестким детектом.

Ну вот же, пошифрованный шелл код изначально моего dll раскидан в моем экзешнике по разным секциям, а после антиэмуля и т.д. происходит сборка и дешифровка шелл кода, после - запуска в памяти:
((void(*)())exec)();

Конкретно таким образом я решил гемор с loadpe, с релоками и прочим.
Насколько я помню, это называется dll reflective shellcode.

 

[DildoFagins]

по поиску вот таких вещей в винде

Была у меня идея написать такую статью.

Да это вообще не сложно. Sysinternals Process Monitor и несколько правильных фильтров в помощь: https://posts.specterops.io/automating-dll-hijack-discovery-81c4295904b0 плюс скрипт, который разбирает его логи автоматом. Ну и тоже самое примерно актуально и для ком-хайджекинга.

 

[corovo]

я правда новенький тут но не очень эта по простоте своей понравилась

Грузоперевозки малвари через Осла (IE)​

 

[heybabyone]

для обхода уак например, принцип тот-же.

Можно и найти такую лазейку, что еще автозагрузка + трастовый процесс и т.д. А от туда инжекти куда угодно и как угодно) Вот и обход проактивки.
Насолько я помню, аверы не анализируют (по крайней мере деф) те экзе и длл, которые находятся в трастовой ветке.

p.s. Кста, еще некоторым подсказка, если вы боитесь, что Вашу dll при рескане папки поставят сигнатуру, то сделайте так, чтоб это dll была безобидной, а внутри содержался шеллкод. После того, как трастовый процесс подгружает Вашу dll, то Вы антиэмулите у себя в памяти запсукаете малварь-шеллкод. Вот Вам и задачка на выходные)

 

[yashechka]

!!!Всем коллегам желаю удачи в конкурсе, пусть победит лучший!!!

 

[evilcore]

Интересно было бы почитать больше на эту тему, по поиску вот таких вещей в винде,

https://xss.pro/threads/26552/

 

[izobretatel]

Статья Decentor "Хакерский гейминг" <3 отдано.

Написано несносно, чувствуется что пока все довольно сырое, но мысль прослеживается. А вы имели практику по статье автора или на уровне идеи голос?

Если она займет первое место, то можно будет уже говорить об этакой тенденции. И на следующий конкурс все будут писать статьи в таком стиле)).

Если я правильно понял, о какой статье речь, то это считаю здорово. Сам лишь понял определенную техническую направленность, поучаствовав в прошлом конкурсе.
Для полной картины, статей про то как писать\разбирать софт недостаточно, а вот статей про назчначение этого софта и его применение на практике - просто нет на человеческом языке без инфоцыганщины.

Прошлая мне не особо зашла, а статья про Стопроцентный Ransomware очень даже. Без пафоса и детских обидок, очень достойно и довольно чесно, с ироничным юмором. хоть и ransomware не на все 100%, но узнал много нового. С удовольствием прочитал бы вторую, побольше скриншотов и подробностей. Может кто из криптолок проектов тоже что расскажет или автору интервью даст SingleAdwice ?

 

[autumn]

всего 15 статей.... грустно