т.е. размер стаба не важен для малвари? Или разницы нет, лить 20кб или 2-3мб?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Что имеет наибольший спрос на рынке (малварь)?
- Автор темы 0x5h3ll
- Дата начала
- Автор темы
- Добавить закладку
- #42
на тему читов, знаю плавал и сейчас делаю проектик связанный с читами. Мой вопрос больше исследовательский, я не собираюсь писать малвари на продажу. протсо спортиыный интерес.
На тему холивара асм, си, плюсы или любой другой языка могу сказать следующее. надо подбирать инструмент под цель а не закалачивать гвозди скальпелем.
Спасибо всем за ответы. )
Не важен в том случае если будут юзать тот билд который ты им выдал а если они будут его еще криптовать и чем либо накрывать тогда может быть и важно а так не вижу вообще смысла ебать мозги из за каких то 2-3 мб
Открой HxD засунь туда 2мб бинарь, сохрани в виде C-шеллкода. Сколько там будет символов? Не очень удобно даже копировать если честно такой массив байт, а ты про то что бы это еще и зашифровать и дешифровать. Не хочу спорить, ведь по сути технологии все равно совершенствуются и компы мощьнее становятся, и интернет лучше. Но зачастую имеем то что имеем - 2мб не то что скачать бывает тяжело у меня на мобильном интернете... Но и отправить трудно
Сейчас софты не мало софтов имееют многоступенчатую структуру. Да и атаки идут в несколько ступеней. Размер важен только если речь идет о первой ступени.
2-3 мб + криптор (особенно с vm) ~ 5мб и больше. А это уже не в какие рамки, имхо.
- Автор темы
- Добавить закладку
- #47
тоесть софт с помощью которого осуществляется проникновение и дальнейшая загрузга остального софта?
Да, пример банальный кобальт.
Согласен. Но желательно и на последующих ступенях с размером не перебарщивать. Трафик однако.
- Автор темы
- Добавить закладку
- #50
Разве он так важен в наше время? или ты имеешь в виду что больший след в общем трафике?
я думаю что системы мониторинга скорее больше внимания обратят когда будет выкачиваться бинарный файл большого объема с недоверенного сайта, с кривым сертификатом - чем просто твой бинарник будет расшифрован и запущен в макросе doc'а...
Если в контексте размера то да.
Нужно учтывать все. Я так думаю, что тот же кобальт, не спроста делает минимальный шеллкод. На первичном этапе размер шеллкода ~ 820 байт (для х86), на последующих этапах не превышает 2 кб. Думаю, разрабы кобальта знают, что делают.
даже метасплойт возьми там тоже шеллкод 1-2кб но тут речь идет не о шеллкодах
Если рассуждать о том что сейчас имеет спрос на рынке из малвари то ответ прост "то что после покупки или аренды может окупать себя и приносить бабки" от простых стиллеров до комплексных решений типа банковских ботов. Все что ворует информацию (желательно финансовую) сейчас имеет спрос. В большей степени конечно спрос есть на стиллеры и hvnc первые имеют более низкий порог входения из-за простоты и массовости и в массе своей дешевизны. HVNC или HRDP по сути фабрика по добыче денег (при наличии хороших инсталлов) и могут сами по себе заменить целый банкбот.
- Автор темы
- Добавить закладку
- #56
звучит правдоподобно. хотя и логично что чем меньше "предмет" тепм проще его спрятать. значит как и писал в своем треде Quake3 это си. возможно со свтавками асм. ну или на крайняк плюсы но без кучи либ и прочего.
слим artifact и beacon (которые собирает кобальт) с шелкодом на борту не больше 100кб. фулл модули ~300кб. О 2-3 мб там речи не идет.
у кобальта шеллкод - чистый асм, модули - чистый Си.
Ну это без обфу и крипта а с обфу и криптом там размер разный бывает)
- Автор темы
- Добавить закладку
- #60
понятно, но написание и доставка это разные вещи. я глянул что ты занимаешься лоадероми. стоит ли при разработке сразу продумывать деливери или лучше тогда работать через когото? просто я не из тех людей кто верит что можно быть хорошим во всем.