ФУНКЦИИ:
Фреймворк предназначен для перекомпиляции x64 .exe, которые должны иметь relocation-info (т.е. не должны быть strip -s при компиляции). В случае их отсутствия фреймворк попытается "добавить" собственнымит силами. А так же чистого шеллкода в исполняемые файлы и рефлективные библиотеки. Будет постоянно обновляться, будут добавляться новые фунции и методы. Так же вместе с фреймворком идет компилятор llvm-clang самой последней версии, в данный момент 12, скомпилированный с mingw32 и -mllvm пассами. Могу со 100% уверенностью утверждать что при минимальных настройках и методах будет FUD (т.е. 0/999) в скантайме и минимум в рантайме (скорее это связано с невозможностью "увидеть" приложения АнтиВирусами, в реальной жизни АВ никак не реагирует, т.е. тот же FUD). Был протестирован корпоративным софосом на максимальных настройках паранойи. По-умолчания уже активирован антидебаггер. Софт запустится и прекратит работу, если таковой имеется. Так же Удалит сам себя в этот же момент. Если приложение будет заблокировано - удалится тело, т.е. останется только название и вес 0 байт.
Если сказать проще: фреймворк позволяет "криптовать" любые файлы (x64) и получить 100% FUD
Цена: $2000.
Связано с поставляемым компилятором и универсальностью фреймворка - компилирует любой .exe, который попадает под условия выше. Конечно-же, в первую очередь - для CS. Но, на самом деле - значения не имеет вообще ;-) можете открывать хоть свой сервис ;-) За определенный % ;-)
- analyze - анализ файла как с помощью YARA rules, так и проверка хешей по ВТ и подробная инфа об импорте. Даст общее представление о целесообразности использования
- spoofcmd - execution cmd - unicode символы. т.е. ав фактически будет видеть запуск непонятных символов, неслабо помогает при борьбе с сильными мира сего (софос корп и еже с ними)
- persist - целесообразно использовать вместе с -cradle - пропишет в регистр ваш софт в месте его запуска, а крэдл, .NET приложение весом в 3,5кб (100%FUD) загрузит и исполнит его в %APPDATA%
- phantom - убивает etw в текущем процессе. запрещает доступ к любого вида информации в контексте процесса. требуеб админ. прив.
- cobf - "сворачивает" импортируемые kernel32.dll функции в шеллкод и исполняет его через через Beep system calls (в первую очередь AV смотрят именно на импорт)
- xobf - при "весе" файла > 1,3MB делает невозмодным декомпиляцию и реверс софта. значительно затрудняет работу сильных мира сего
- bcf_prob= bcf_loop= sub_loop= split_num= (так же внутри автоматический AES-256-seed) - пассы llvm-clang, который скомпилирован вместе с mingw. меняя значения - получаем практически неуязвимый софт. при этом каждый билд, благодаря случайному AES-seed получается уникальным. уникальный билд - хоть каждые 15 секунд))))
- text - "прописывает" шеллкод в .text секцию (+ к антидетекту)
- rx -self - проще говоря исполняет само-в-себя, т.е. не использует CreateThread Call.
- sleep= отложенный запуск приложения. если поставить, к примеру 5 минут - тот же AnyRun - не сможет выполнить, так как имеет "предел времени", отведенный пользователю на прогрузку софта
- dargs="" - аргументы запуска .exe (в случае если вы используете .exe вместо raw.bin)
- format=reflective-dll||dll||dotnet- от ПЕзора остался только дотнет, который скоро тоже обновится.
- insane - избегает EDR, ETW, AV и все остальные возможные на данный момент способы обнаружения. Импортирует минимальное кол-во ApiCalls(остальные - Direct System Calls), таким образом не вызывает никакого беспокойства у вышеназванных субъектов. с ним же в комплекте компилируется - kamikadze - .ехе, который импортирует шеллкод в explorer.exe и самоудалится после запуска.
- winapidropper - создаст .exe, который найдет и импортирует полезную нагрузку в указанный Вами процесс, не создаст дополнительных процессов, а после исполнения(миллисекунды) самоликвидируется, таким образом (если не считать phantom) это самое "правильное" в плане OPSEC решение.
- kami - после выполнения всех задач, Ваш софт уйдет по-английски
- cselevate - добавит в кредл elevate. Прямой запуск - детект ВД. Тут для исполнения через execute-assembly для поднятия привелегий, быстро, без боли и дополнительной возни.
*** unhook, syscalls и antidebug уже внутри по-умолчанию. эти опции, как показали тесты, не имеют отрицательных эффектов, только положительные. замена WinApi Calls на Direct System Calls даст менее подозрительный способ исполнения и поможет избежать блокировки запуска и работы софта EDR продуктами, .PE и DLL refreshing, а так же "снятие" userland hooks так же способствует незаметному исполнению и работе софта, а защита софта против дебаггеров даст увелечение выживаемости (особенно если установить -sleep минуты на три) софта в агрессивной среде ;-)
Пробные файлы с моей нагрузкой - в ПМ. Подробнее о работе фреймворка, попытках декомпиляции и многом другом - на канале youtube в подписи =) Всем добра и хорошего настроения)
Последнее редактирование:
