• XSS.stack #1 – первый литературный журнал от юзеров форума

Доставка .exe с ленда

Отслеживать
1space

1space

HDD-drive
Пользователь
Регистрация
22.02.2019
Сообщения
36
Реакции
22
Всем добрейшего времени суток. Сначала небольшая преамбула. Сразу прошу не пинать, не отправлять в Google и в поиск по тредам, т.к. читал что-то, опыта в этом деле немного. Осталось некоторое колличество пробелов, по этому прошу поделиться дельными советами знающих и практикующих в этом направалении.

Схема такая: есть таргетированный биржевой трафик, есть ленд с "Download now" button для скачки условного легитимного софта L33T_WIN10_Booster_Pro.exe склеенного с моим зверем. Ясное дело мне нужен запуск самого .exe

Теперь трудности с которыми сталкиваюсь:
1. Как лучше и чем склеивать софт + зверь (за основу берём обычный нерезедентный стил)
2. Как убарть alert от Хрома? Пробовал делать рип и дальнейший перенос подписи с помощью скрипта SigThief - вроде бы alert Хрома обхожу, но хз как будут обстоять дела после пару сотен скачек. Есть ли смысл покупать сертификат?
3. Крипт и домен. Крипт понятно, как только в статике появляються детекты - рекрипт. А вот с доменами уже посложнее. Как их надо часто менять или чекать на блеки? Нужна ли замена VPS'ок или FastFlux DNS? Как влияют заабуженные домены на общую конверсию?

Заранее прошу прощения если местами был не до конца точен в своих высказываниях, поправте молодого.
Так же заранее благодарен за ответы/советы. За деньные отблагодарю сатошиками.
 
1space сказал(а):
1. Как лучше и чем склеивать софт + зверь (за основу берём обычный нерезедентный стил)
Почему через тот же лоадер не сделаешь?
1space сказал(а):
как только в статике появляються детекты - рекрипт
Тебе статика может показать что угодно, а вот в рантайме будет все иначе. Хороший сервис есть dyncheck.com , там и проверяй. Если тебе криптер отправляет ссылку на статический скан, то можешь переебать его палкой. Максимум тебе хватит на 700-800 инсталлов с фуфельной биржи. На ленды заходит совсем другая аудитория.
 
Последнее редактирование:
What So Not сказал(а):
Почему через тот же лоадер не сделаешь?
Если честно, думал о лодыре, помониторил ситуацию. Среди паблик решений - я так понимаю ничего годного нет (Смок лоадер мёртвый фактически).
А преобрести готовый продукт - ценники солидные, отзывы неоднозначные. Это надо либо на заказ самопис брать, либо какие-то приватные решения.И ценники там разные озвучивают: 2.5к, 5к, 10к (кто больше по факту). Если есть какие-то соображенрия в этом направлении - прошу ткнуть носом, а лучше линком
What So Not сказал(а):
Тебе статика может показать что угодно, а вот в рантайме будет все иначе. Хороший сервис есть dyncheck.com , там и проверяй. Если тебе криптер отправляет ссылку на статический скан, то можешь переебать его палкой. Максимум тебе хватит на 700-800 инсталлов с фуфельной биржи. На ленды заходит совсем другая аудитория.
За dyncheck знаю. Но рантайм зависит в первую очередь от софта, как его не криптуй.
Статик чек я упомянул как коственный способ понимать что файлу прохо, и он уже набрал детектов, которые паляться даже в статике.
До недавно я вообще юзал автокрипт Криптобиза и отстук был порядка 75-80%, что вполне устраивало меня. Но последнее время таких результатов уже нет, и даже билд накрытый Темидой ведёт себя лучше.
И что самое забавное, крипт за 10$, за 25, и даже 80 +/- одинакого набирает детекты и имеет схожий отстук на выходе. Хз, может это особенности конкретного софта/прямоты рук криптора, но моя статистика такова
 
diletant сказал(а):
Откуда трафик идёт? Заклоачить и забыть про баны
Трафик с биржы. Со слов модера у них там около 70 источников.
Как клоачить - понятия не имею, хотя тот же FB через Keitaro вроде бы клоачить дело не хитрое. Ну как клоачить биржевой траф - я хз.
Смена домена вроде как дело копеечное, но вот смена VPS - лишняя суета.
Есть ли смысл прятатть домен за FF? По идее за абузы ещё и VPSки будут сворачивать
 
сервис для клоаки с большими базами за копейки плюс статистика

Код: 
https://redi-rect.ru/

Как заабузят сам сервак,я полагаю,ты сразу найдешь решение.
 
1space сказал(а):
Трафик с биржы. Со слов модера у них там около 70 источников.
Как клоачить - понятия не имею, хотя тот же FB через Keitaro вроде бы клоачить дело не хитрое. Ну как клоачить биржевой траф - я хз.
Смена домена вроде как дело копеечное, но вот смена VPS - лишняя суета.
Есть ли смысл прятатть домен за FF? По идее за абузы ещё и VPSки будут сворачивать

Попробук так:

На основной сервак, проксируй через копеечную впску на Никсе + domen.

Выдавай ехе через HTTPS ..
 
diletant сказал(а):
сервис для клоаки с большими базами за копейки плюс статистика

Код: 
https://redi-rect.ru/

Как заабузят сам сервак,я полагаю,ты сразу найдешь решение.
Общался с модератором, тот быстро смекнул к чему я, вот его ответ:
Но запомните, если вы таким образом собираетесь распространять что либо, к примеру не очень полезное, то отвод ботов вам не поможет. Есть инструменты, внутри любого браузера, которые отслеживают такие маневры (не с помощью ботов - а при помощи анализа контента самим браузером) и в итоге и редирект и ваша ссылка улетит в блокировку именно браузеров.
 
Aristokrat сказал(а):
Общался с модератором, тот быстро смекнул к чему я, вот его ответ:
Но запомните, если вы таким образом собираетесь распространять что либо, к примеру не очень полезное, то отвод ботов вам не поможет. Есть инструменты, внутри любого браузера, которые отслеживают такие маневры (не с помощью ботов - а при помощи анализа контента самим браузером) и в итоге и редирект и ваша ссылка улетит в блокировку именно браузеров.
После нажатия кнопки Даунлоад,сделай попап с капчей или просто прокинь через страницу с капчей. Я его сервисом долго пользовался,нормально всё работало.
 
2. Как убарть alert от Хрома? Пробовал делать рип и дальнейший перенос подписи с помощью скрипта SigThief - вроде бы alert Хрома обхожу, но хз как будут обстоять дела после пару сотен скачек. Есть ли смысл покупать сертификат?
Алерт именно хрома убирается трастовым шеллом с чистым айпи и доменом, и историей. Есть варианты купить таких много. Но это при условии чистого пейлоада. Если уж подписывать файл то EV сертификатом, но сомниваюсь что у тебя есть 4к баксов на один серт. Убрать алерт от хрома это одно, но есть еще алерты от защитника виндовс, от смарт скрина, от уака, плюс дефендер запищит если будет хоть какой то детект на файле. Попробуй найти дроппер не ЕХЕ.
И то что тебе писали по поводу "нормального крипта" которого хватит на 700-800 инсталлов с бирж - это бред полный. Во первых на биржах (на всех вообще) траффик говно, с кучей аналитоков и ханипотов. Грязный траффик очень быстро приговорит все твои ресурсы, крипт (а тем более паблик стиллера за 100 баксов) от паблик сервиса (все кто говорят что они уник - врут 100% :)) этим же стабом накрывает еще кучу файлов, которые из за кривизны рук распространителей улетают в базы АВ моментально. Так что обязательно продумай промежуточную прокладку под траффик, обзаведись хорошей системой фильтрации ханипотов (тдс с базой блек листов подойдет) и продумай выдачу самого файла (например черех пхп). Биржевой траффик это дроч полная, но при правильном подходе и там можно получить более мение живой трафф. Лучше конечно смотри в сторону фб адс и прочего, там траффик сложнее, но чище. На биржах будет много соседей.
 
Traffz сказал(а):
Алерт именно хрома убирается трастовым шеллом с чистым айпи и доменом, и историей. Есть варианты купить таких много. Но это при условии чистого пейлоада.
Либо не использовать ехе и подыскать свою методику выдачи полезной нагрузки, с нулевым алертом и на хроме и на смартскрине. Такие есть. И не нужно вот это вот все. Вопрос с uac же решается правильным софтом, который работает с под юзера.
 
крипт приват стаб, подпись серт ov , и хром все равно ругается предупреждает что файл (exe) может быть dangerous , возможно ли решить проблему набиванием скачиваний у файла? софтом типа human emulator, zennoposter и тд . буду признателен, кто подскажет и если да, тогде раздобыть такой скрипт
 
onepoint61 сказал(а):
крипт приват стаб, подпись серт ov , и хром все равно ругается предупреждает что файл (exe) может быть dangerous , возможно ли решить проблему набиванием скачиваний у файла? софтом типа human emulator, zennoposter и тд . буду признателен, кто подскажет и если да, тогде раздобыть такой скрипт
выдача должна быть с трастового шелла, тогда от Хрома не будет алерта
 
1space сказал(а):
выдача должна быть с трастового шелла, тогда от Хрома не будет алерта
добавлю,что в теории зенкой с профилями нормальными можно раскачать и новый домен. Но чет пока руки опробовать так и не дошли))
 
1space сказал(а):
Всем добрейшего времени суток. Сначала небольшая преамбула. Сразу прошу не пинать, не отправлять в Google и в поиск по тредам, т.к. читал что-то, опыта в этом деле немного. Осталось некоторое колличество пробелов, по этому прошу поделиться дельными советами знающих и практикующих в этом направалении.

Схема такая: есть таргетированный биржевой трафик, есть ленд с "Download now" button для скачки условного легитимного софта L33T_WIN10_Booster_Pro.exe склеенного с моим зверем. Ясное дело мне нужен запуск самого .exe

Теперь трудности с которыми сталкиваюсь:
1. Как лучше и чем склеивать софт + зверь (за основу берём обычный нерезедентный стил)
2. Как убарть alert от Хрома? Пробовал делать рип и дальнейший перенос подписи с помощью скрипта SigThief - вроде бы alert Хрома обхожу, но хз как будут обстоять дела после пару сотен скачек. Есть ли смысл покупать сертификат?
3. Крипт и домен. Крипт понятно, как только в статике появляються детекты - рекрипт. А вот с доменами уже посложнее. Как их надо часто менять или чекать на блеки? Нужна ли замена VPS'ок или FastFlux DNS? Как влияют заабуженные домены на общую конверсию?

Заранее прошу прощения если местами был не до конца точен в своих высказываниях, поправте молодого.
Так же заранее благодарен за ответы/советы. За деньные отблагодарю сатошиками.
как вариант сделай файл формата .msi, хром ругаться не будет но как на конверсии скажется хз
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх