InstallerFileTakeOver

[inba]

Есть свежая уязвимость

InstallerFileTakeOver , под нее на гитхабе лежит эксплоит.​

Я хочу запустить это все дело на машине куда получил доступ.
Но АВ детектит это дело и удаляет.
Как запускают эксплоиты в таком случае?
Криптор сказал что после крипта эксплоит скорее всего сломается.

 

[KAJIT]

Подумай над тем как запустить его в памяти. тоесть сначала запустить что то чистое.
Сходи на гитхаб и покури ченить про рефлектив лоадеры.
Также ты можешь переписать, все это дело на шарпах(c#),
и выполнить прям в процессе бекона, ваще не касаясь диска, <-- подозреваю что твой недруг,
хз че у тебя там ав\EDR, будет сосат.
Да и скажи че хоть обойти то пытаешься?
это важно, антивирусные движки работают по раздному.
Где то пыхнешь, а где и проскочишь. Ну инсталера сигнатура щас, везде палится.
Дерзай!

 

[inba]

Подумай над тем как запустить его в памяти. тоесть сначала запустить что то чистое.
Сходи на гитхаб и покури ченить про рефлектив лоадеры.
Также ты можешь переписать, все это дело на шарпах(c#),
и выполнить прям в процессе бекона, ваще не касаясь диска, <-- подозреваю что твой недруг,
хз че у тебя там ав\EDR, будет сосат.
Да и скажи че хоть обойти то пытаешься?
это важно, антивирусные движки работают по раздному.
Где то пыхнешь, а где и проскочишь. Ну инсталера сигнатура щас, везде палится.
Дерзай!

Спасибо за развернутый ответ, переписать у меня что-то вряд ли получится, я не знаком с ЯП.
Обойти пытаюсь простой виндовс дефендер.

 

[inba]

Посмотрел гитхаб там какие-то DLL рефлектив лоадеры.
Ничего не понятно. Как мне действовать для запуска installerfalitekeover на хосте.
Не владея языками программирования никак?

 

[KAJIT]

никак?

ага

 

[inba]

Да ну не может быть, должен быть какой-то способ.

 

[inba]

лол. ага есть, один. там вон продают за 5к баксов у меня на форуме. можешь купить и пользоваться.

видел я за 5к, его все хуесосят мол чето дохрена денег за такую штуку.

 

[Quake3]

Не владея языками - никак. Только заплатив тому, кто владеет.
Ищите криптора / кодера, кто это дело запустит с обходом АВ (в памяти или в сорцах что-то поменяет).

 

[blackteam007]

видел я за 5к, его все хуесосят мол чето дохрена денег за такую штуку.

если в кодинге не силен то сам ты не сможешь деф обойти даже при помощи паблик криптов или паблик обфускатора типа енигма и прочая хрень если понимаешь в кодинге то на c# деф обойти можно. // у дефа самые распространенные детекты называются wacatac/b или a либо Sabsic.fl.b либо sabsic.fl.a
если деньги есть то можешь заказать у того кто это сделает за тебя
ну а по поводу ценников ( каждый кодер оценивает свою работу по разному )

 

[n3tube]

видел я за 5к, его все хуесосят мол чето дохрена денег за такую штуку.

ну как, хуесосят... Кто то хуесосит, кто то покупает.. Школьникам он и не нужен - потыкать можно и паблик, отключив виндеф. Рансомщикам, 5к вобще не деньги. Почему именно 5к? Смысл в том, что выставив по $500, его тут же купят ибэшники и нормальным пацанам не дадут погонять, а 5к им, наверно, еще согласовать надо будет. Как то так.

По сабжу - еще в начале недели, его детектили, в основном, по сигнатурам. Обойти это можно, но нужно хотя бы понимание, как собрать в студии программу на плюсах, если она валит ошибки. Если сможешь, то разбавь код каким нибудь мусором. И персобери. Способ, конечно, сомнительный, но может сработать.

 

[inba]

Не владея языками - никак. Только заплатив тому, кто владеет.
Ищите криптора / кодера, кто это дело запустит с обходом АВ (в памяти или в сорцах что-то поменяет).

Сколько может стоить такая работа?

 

[Quake3]

Сколько может стоить такая работа?

не знаю. Зависит, что именно палится - сам метод (допустим, апи вызовы специфические) или просто сигнатурно (строка и т.д.). Не смотрел этот сплойт.
Думаю, 200-500 баксов, если закриптовать уник стабом, грамотный криптор прежде всего системщик (т.е. реверсер), и он должен понимать, сломает крипт или не сломает софт.