• XSS.stack #1 – первый литературный журнал от юзеров форума

Как подписать малварь? Где найти сертификат для подписи малвари?

Отслеживать

user90348

floppy-диск
Пользователь
Регистрация
31.01.2021
Сообщения
7
Реакции
2
Здравствуйте!
Не впервые вижу, что люди на форуме говорят о том, что подписывают малварь сертификатом что бы ав меньше палил. Хотел задать вопрос, а где брать сертификат? Кто согласится подписать малварь? Или используются какие то слитые сертификаты?
 
ставишь пайтон
качаешь зип файл https://github.com/secretsquirrel/SigThief

либо через консоль либо для удобства создаешь бат файл

Код: 
python sigthief.py -i файл с которого надо взять подпись -t файл которому надо передать -o сохраняешь полученый файл

подпись ставишь уже после всех манипуляций со своим билдом
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Настоящую подпись можно только купить (ну или украсть, но этот вариант не будем рассматривать). На форумах иногда продают, 200-300 $ за обычный (не-EV) серт, по разному.
 
user90348 сказал(а):
А как аверы реагируют на просроченную/перенесенную с другого файла подпись?
Ав разве не палят такое? Эффективно ли это?
проверь, расскажешь нам.
 
user90348 сказал(а):
А как аверы реагируют на просроченную/перенесенную с другого файла подпись?
Ав разве не палят такое? Эффективно ли это?
Этой теме более 4х лет, конечно все АВ уже палят это давно,но есть кое-какие дополнительные манипуляции с реестром, где можно обмануть АВ при проверке просроченной подписи. Но опять же некоторые АВ и это тоже палят.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
user90348 сказал(а):
А как аверы реагируют на просроченную/перенесенную с другого файла подпись?
Ав разве не палят такое? Эффективно ли это?
для некоторых аверов важно, чтоб был какой-то серт, паленный/не паленный разницы нету. Это вроде беспонтовые аверы. А другие смотрят на подпись и на хеш приложения. После нахождения несоотвествия - детект.
Не стоит париться по этому поводу, если найдешь норм криптора, который подписывает стабы EV сертом (но учти это дорого).
 
heybabyone сказал(а):
для некоторых аверов важно, чтоб был какой-то серт, паленный/не паленный разницы нету. Это вроде беспонтовые аверы. А другие смотрят на подпись и на хеш приложения. После нахождения несоотвествия - детект.
Не стоит париться по этому поводу, если найдешь норм криптора, который подписывает стабы EV сертом (но учти это дорого).
Это где подписывают EV сертом?
OV ещё можно поверить, EV купить то не всегда просто
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Nokia3310 сказал(а):
Это где подписывают EV сертом?
OV ещё можно поверить, EV купить то не всегда просто
я один раз заказал такой крипт через посредника т.к. этот криптор на прямую не работает. По бабкам вышло 500$.
 
для некоторых аверов важно, чтоб был какой-то серт, паленный/не паленный разницы нету. Это вроде беспонтовые аверы. А другие смотрят на подпись и на хеш приложения. После нахождения несоотвествия - детект.
В таком виде детектов одного и тоже файла намного меньше, но позже еще зависит из какого места запускается, если \windows, temp или system32, то если и пропустит, то через день-два все равно палиться начнет.
sign.PNG
 
heybabyone сказал(а):
я один раз заказал такой крипт через посредника т.к. этот криптор на прямую не работает. По бабкам вышло 500$.
Учитывая стоимость EV серта в 2,5к+...
Либо это был OV серт за 250-400$, либо у чела одновременно должно быть больше 10 клиентов, чтоб менее чем за 2 недели до сгорания серта окупиться.
Либо я не понимаю экономику такого крипта)
 
Nokia3310 сказал(а):
Учитывая стоимость EV серта в 2,5к+...
Либо это был OV серт за 250-400$, либо у чела одновременно должно быть больше 10 клиентов, чтоб менее чем за 2 недели до сгорания серта окупиться.
Либо я не понимаю экономику такого крипта)
Те кто знают, быстро окупят его в связках, так как он только под то, что может гарантировать окупаемость неплохую.
Хоть в нашей сфере, только под опред. группу людей такое подойдет вполне.
 
ZERO сказал(а):
Те кто знают, быстро окупят его в связках, так как он только под то, что может гарантировать окупаемость неплохую.
Хоть в нашей сфере, только под опред. группу людей такое подойдет вполне.
Я имел в виду самого криптора. Один серт = 5 покупателей только себестоимость. Одновременно 7+ покупателей за 500$ это либо иметь огромную клиентскую базу, либо по записи принимать(хах)
 
Кстати такая подпись может служить сигнатурой антивирусам, я к тому, если малварь на массовое применение, то смысла подписывать нет...)

Более того, если хотите обойти проактивную защиту, у которой белые списки по подписям, то тоже не получится.
Т.к. подпись именно нужно корпоративных компаний, типо там Майкрософт и т.д., просто подпись купить и обойти этим детект, не получится конечно...)

А купить подпись корпоративных компаний, тоже вряд-ли получится, хотя может и получится, но думаю это будет не дешево и т.к. подпись очень быстро отзовут и добавят в базу, смысла в этом нет от слова вообще...)

Если только для таргетивной атаки, но тоже думаю особо и смысла нет.)))
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх