Статья Мини-обзор лоадера "Matanbuchus "

[Ar3s]

Админка предоставляет возможность запустить файл разными способами: с правами админа, текущего юзера (от которого выполняется бот), запуск команд CMD / PS и т.д. Тут бы хорошо было услышать мнение Ar3s .. Но что есть, то есть. Потестировал сам запуск от админа, запуск с памяти и запуск команд cmd, отработало норм. Файлы для запуска с диска копируются в папку рядом с лоадером с рендомным именем и запускаются стандартным способом. Для повышение привилегий (запуск от админа) используется трюк с runas.

А что тут сказать. Метод паливный. Варианты? Обход только. Но я давно ничего толкового не видел на этот счет.
Из того что есть - это либо самого бота при первом старте поднимать до админа и затем уже запускать все, что вздумается, либо так как здесь представлено. Это не верх совершенства. Это то к чему все обоснованно шло долгое время.

 

[Matanbuchus]

Из того что есть - это либо самого бота при первом старте поднимать до админа и затем уже запускать все, что вздумается, либо так как здесь представлено. Это не верх совершенства. Это то к чему все обоснованно шло долгое время.

Я не скажу что метод палевный. Да в некоторых условиях может не сработать да он может вызвать подозрения у юзера. Но по сути все что требуеться от юзера это дать разрешение на запуск а там уже зависит от качества закрепления и от настроек системы. Я хотя-бы сделал так чтобы окно uac вызывало больше доверия у юзера за счет запуск от довереного процесса. В отличии от одного лоадера который сразу запускал свою копию)
Достойных альтернатив runas + сmd я не нашел. Все сводиться к эксплойтам либо разного рода обманкам. Runas + сmd хотя-бы универсальней тех же сплойтов.

 

[Ar3s]

Согласитесь, что идеал к которому следует стремиться - это отсутствие любых окон и сообщений ("тихая работа"), а так же универсальность (все основные ОС). И выше я написал о том. что стремиться в идеале следует именно к этому.

 

[heybabyone]

Согласитесь, что идеал к которому следует стремиться - это отсутствие любых окон и сообщений ("тихая работа"), а так же универсальность (все основные ОС). И выше я написал о том. что стремиться в идеале следует именно к этому.

и че по твоему сплойты тащить если юзер не в админ группе?

 

[CFiBO]

Я хотя-бы сделал так чтобы окно uac вызывало больше доверия у юзера за счет запуск от довереного процесса.

Ну можно же перехватить функцию определённую из nttdll.dll и обойти uac.

 

[heybabyone]

Это то к чему все обоснованно шло долгое время.

в твоем каком то обзоре был именно этот метод. В году так 12-14 лол

Для размышления. Че бы не запускать юак в скрытном рабочем столе и на алерт юака нажимать "Да"
Но такие алерты просто не проэмулируешь т.к. у таких окон тоже свой ограничитель, нужен инжект в N процесс вроде.
Сигнатурно поискать: гугл методы обход юак (хабр)

 

[Ar3s]

И в том обзоре написано что это верх совершенства?
И второе. На дворе 2021 год, а мы обсуждаем методу 2014 года. Это нормально вообще?

 

[Matanbuchus]

Ну можно же перехватить функцию определённую из nttdll.dll и обойти uac.

Хуки тема достаточно старая и аве её просто не пропустят особенно если хук идет на определенную функцию.

 

[CFiBO]

И в том обзоре написано что это верх совершенства?
И второе. На дворе 2021 год, а мы обсуждаем методу 2014 года. Это нормально вообще?

Ну доставай из привата темы, обсудим.

 

[heybabyone]

И второе. На дворе 2021 год, а мы обсуждаем методу 2014 года. Это нормально вообще?

ну а че хотел в паблике?

 

[heybabyone]

Хуки тема достаточно старая

настолько старая, что щас его никто не применяет, да?)
Формграбы, веб инжекты: ну да ну да, пошли мы на хер...

 

[Matanbuchus]

Согласитесь, что идеал к которому следует стремиться - это отсутствие любых окон и сообщений ("тихая работа"), а так же универсальность (все основные ОС). И выше я написал о том. что стремиться в идеале следует именно к этому.

В рамках теории хорошая фраза. Но к сожелению на практике все иначе) Универсальных решений да еще еще тихих в паблике да и полупривате не найдешь. А бомбить сплойтами или функции перехватывать это уже не тихая работа уж извените.

 

[CFiBO]

Хуки тема достаточно старая и аве её просто не пропустят особенно если хук идет на определенную функцию.

Там не хуки, перехват с прыжком))) подмена оригинальной функции - на свою.

 

[Matanbuchus]

настолько старая, что щас его никто не применяет, да?)
Формграбы, веб инжекты: ну да ну да, пошли мы на хер...

Ну вы конечно сравнили) Я чет не встречал не где чтобы малварь которая использует хуки имела детектов меньше 5. Мы тут как-бы лоадер обсуждаем и не надо смешивать одно с другим. Задача лоадера иметь как можно меньше детектов а с темой хуков это совместимо мало.

 

[heybabyone]

аве её просто не пропустят особенно если хук идет на определенную функцию.

 

[Matanbuchus]

Там не хуки, перехват с прыжком))) подмена оригинальной функции - на свою.

Ну по вашему подмена функций не сказывается на детектах) Чуствую мы скоро до сисколов и обхода аверов в ядре дойдем.

 

[Ar3s]

В рамках теории хорошая фраза. Но к сожелению на практике все иначе) Универсальных решений да еще еще тихих в паблике да и полупривате не найдешь. А бомбить сплойтами или функции перехватывать это уже не тихая работа уже извените.

А я о теории и говорил. Практика полностью совпадает с тем что и я сам писал и Quake. ничего нового, интересного, "бесшумного" в продаже нет. ни в паблике ни в приватах не встречал уже очень и очень давно.
Вы почему-то все воспринимаете мои слова как наезд. Нет уважаемые. Это голая констатация фактов. Давно нет ничего реально тихого и пробивного. И хуже всего то, что уже давно и не появляется ничего годного в этом направлении. Такие чувство, что мелкософт резко стал самой крутой осью и все баги пофиксились. Нет же. Это мы все обмельчали. Нет тех кто эти баги раскручивает и продает/сливает. Соответственно и продуты что пилятся в последнее время почти все работают плюс/минус идентично в плане закрепления в системе и повышения привилегий.
Ни в коем случае не хочу развивать холивар. Просто высказал свое мнение.
Спасибо.

 

[Ar3s]

p.s. от паблик лоадера можно ждать и приватных обходов, но тут только вопрос цены. Я, возможно упустил этот момент, но паблик лоадер может стоит 15к грина. Одно другому не противоречит. А значит он должен стоить своих денег.
Если этот лоадер стоит до 500$ за лицензию - то и ждать "волшебства" не стоит. Но стремиться к идеалу стоит везде и всегда. И я писал свое сообщение в надежде, что автор не остановится на достигнутом и продолжит усовершенствовать свой продукт. А может, если сильно повезет, то и что-то новенькое нароет, чем поразит всех нас. Я был бы искренне рад такому повороту событий.

 

[Matanbuchus]

Но стремиться к идеалу стоит везде и всегда. И я писал свое сообщение в надежде, что автор не остановится на достигнутом и продолжит усовершенствовать свой продукт. А может, если сильно повезет, то и что-то новенькое нароет, чем поразит всех нас. Я был бы искренне рад такому повороту событий.

По поводу чего-то интересного. Я активно работаю в этом направлении. Сейчас пока занят реализацией идей которые не были реализованы в ходе разработки софта. Очень надеюсь что я смогу удивить всех и не один раз)

 

[heybabyone]

то и что-то новенькое нароет, чем поразит всех нас.

Дропер для лоадера, который грузит лоадер ахахах) сорян)