Тут Quake правильно сказал, лоадер - дополнительное звено. Которое нужно будет криптовать, и даже просто купить его(или взять в аренду). Когда ты увидишь какое говно на рынке имеется, ты поймешь что возможно с лоадером - плохая затея, хотя для кого-то дорого , а для кого-то на семечки....
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как лучше грузить локер?
- Автор темы
- Добавить закладку
- #22
понял, к примеру затея с лоадером плоха, есть какие-то предложения которые были бы не плохой заменой первому варианту?
Рассылают фишинг письма, с вредоносными макросами Word. После этого макросы загружают маяк Cobalt Strike получают сессию, очень хорошо скрываются в системе, потом закрепляются. Крадут учетные данные с помощью Mimikatz а потом уже грузят локер. Лучше грузить по такому принципу. И Cobalt Strike для таких оперций самое то. Он запускается только в памяти и до клиенской части отправляется только сердцебиение (heartbeat) и обнаружить его присутствие сложно.
Можно поподробнее о этом? Вроде бы сам мимикатз ничего не крадет?
Леша написал как-то шикарную статью на эту тему, но там не упоминалось, что он крадет.
Ох уж этот mimikatz
Последнее редактирование:
Почитай на хабре.
В Кобальте уже встроен Mimikatz
Я знаю немного про Кобальт и мимкатз. Но сам мимикатз ничего не крадет, с помощью него ты можешь. А это как говорят в Одессе есть две большие разницы, костолом и костоправ.
Я с большим удовольствием почитал Алексея.
С помощью него что могу? Докончи свое предложение.
Смотри что пишет википедия. Mimikatz — инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлечь аутентификационные данные залогинившегося в системе пользователя в открытом виде.
Да с помощью него ты можешь вытащить сессионные данные, но именно с помощью него. А не он сам, а дальше ручки нужны.
Почитай ссылку. Леха силен в компе, он херню не писал.)))
А если брать туже любую современую атаку она не состоит из нескольких звений? Или кто-то действительно думает что если убрать лоадер из цепочки то осечки не будет где-то в начале или в конце цепи? Не все что есть на рынке говно. Многое зависит от лоадера и его разраба. И дело не в цене дело в реализации и подходе кодера к разработке и поддержке продукта.
Нечего что кобальт решение достаточно заюзаное? Чтобы его можно было использовать его нужно криптовать а перед этим желательно еще обфускации подвергать ибо без этого он имхо бесполезен в сетях с нормальными ав решениями. В идеале кобальт нужно разворачивать через тот же лоадер или как тут уже писали писать что-то по типу своего билдера кобаля. Нет конечно если атаковать массово с целью пробить как можно больше уязвимых сетей со слабой защитой где кобаль может нормально развернуться то связка макросы + кобаль это топ связка но для работы по сетям с нормально защитой нужны либо свои приватные решения аналогичные кобальту либо инструменты для разветки кобальта с чистым рантаймом и сам кобальт с почищеным до минимума рантаймом.
Последнее редактирование:
Так, что тебе мешает сделать крипт на него и так же обфусцировать?
У меня для этого есть продукт который позволяет запускать теже маяки кобаля в памяти тем самым уже убирая необходимость в крипте. Но дело тут в другом когда кобаль грузиться с лоадера то если кобаль ловят остаеться лоадер(если это хороший лоадер и смотря где на каком этапе и какой защитой кобаль поймал) который держит доступ и дает возможность пересмотреть вектор атаки и "хакнуть" сетку по другому. Если же кобаль грузиться с того же макроса то если его ловят доступ можно считать потеряным. Конечно если говорить про массовый взлом сеток то это не так важно ибо когда куча сетей всегда есть возможность найти более слабую и обработать её но если работа идет точечно то потеря даже одной сети это потеря нехилой суммы денег. По этому можете грузить что угодно и максимально скоращать количество посредов работая через один софт но этим вы решаете себя подстраховки а также сокращаете вектор атаки при проникновении. Опять же тут исключительно мой опыт мое мнение вы можете не соглашаться.
Последнее редактирование:
На эту тему были дебаты на эксплойте, точный пруф сейчас не дам. Лоадеры есть разные, да. И есть разные ситуации.
Тут речь шла о том, что если это масс лоадер и еще грузит такой же масс говнософт, то есть немало шансов, что что-то отвалится.
А на тему масс загрузок..был когда-то один локер, который сначала лили на связку (адверт был одаренный или кто-то из команды), а потом локерщики платили и 100к, и 200 лишь бы вычистить. Врядли тот адверт принес им 100к, а если и дал - то сколько целей, наверное, они потеряли из-за грязного билда. Вот и суть.
У обычных людей мало что есть ценное на компе (фоточки в инсте, музычка тоже где-то в инете, фильмы там же). Максимум фоточки , которые опять же, могут дублироваться на телефоне или в гуглоакке.Но за эти фоточки, за несчастный выкуп в 500 баксов, обычный человек вынесет весь мозг - и обязательно напишет на десятках форумов аверов, в твиттерах и везде, приложит билд и т.д.
my little steps
1. fud your whateveryoucallit.exe, fud runtime and scantime.
2. you can get silent exploits, buy bin or buy builder if you can afford it and load your whateveryoucallit.exe to it and produce yourself a .doc file or whatever
3. extract good office leads from zoominfo ( ceo, cfo etc )
4. use mailer, attach and send to first 30 victims etc.
be ready to negotiate and happy your wallet..
this is just tips.. you need be creative.
1. fud your whateveryoucallit.exe, fud runtime and scantime.
2. you can get silent exploits, buy bin or buy builder if you can afford it and load your whateveryoucallit.exe to it and produce yourself a .doc file or whatever
3. extract good office leads from zoominfo ( ceo, cfo etc )
4. use mailer, attach and send to first 30 victims etc.
be ready to negotiate and happy your wallet..
this is just tips.. you need be creative.
Заебал ты в каждом топике свой говнолоадер продавать. Нет у него будущего по крайней мере с таким весом и с таким вымогателем за рулем. Подробный отчет почему это хлам я тебе уже писал, а ты видимо не понял и опять кому то в моей команде впариваешь это..
По теме - дружище ищи хороший тихий резидентный лоадер. Лоадер нужен тебе в первую очередь для закрепа в целевой системе, на случай обнаружения кобы, когда хакеры начнут с ней работать. Спалили кобу - выпилят тебя тут же и доступ будет проебан. Нормальные люди не грузят локер на прямую, ни одна команда, кто дает софт в аренду такое не простит))) И дело тут даже не в том, что его быстро начнуть ресерчить (это мало чем навредит), а в том что это тупо не эффективно. Придет куча ботов непонятных (если вообще придут с таким подходом
) и что потом с ними делать? из 100 в лучшем случае будет один интересный, в домене - остальное это потраченное вникуда время и ресурсы, так что на кобу такие схемы точно не делаются. Этих ботов, которые не подойдут можно заюзать в любой другой теме ,если у тебя есть закреп (лоадер). Тем много, не нужно упираться в сети и лок. Тем более не имея в этом опыта. Подставишь и партнеров и свой кошелек\нервы. Судя по всему ты даже не до конца понимаешь различия резидентного от нерезидентного, поэтому в тему локеров тебе рановато, набирайся опыта, изучай малварь, смотри примеры кто и как работает и твоя тема сама тебя найдет. Мир всем местным.