Как спрятаться от runtime детектов?

[ioioio777]

Интересует вопрос, изложенный в заголовке.

Допустим, имеется RAT, работающий на TCP сокетах.
Логика простая : Есть сервер, есть клиент.
Сервер отправляет сообщение -> клиенту "Открой калькулятор". В коде клиента изложена логика поведения, что при получении сообщения "Открой калькулятор", он должен запустить процесс калькулятора.

Со стороны динамической проверки антивирусом данное поведение выглядит пиздец как подозрительно. Так как приложение ожидает сообщений с какого-то левого сервера и выполняет его команды.

Собственно, вопрос. Как можно реализовать выполнение команд, посланных с сервера, но сделать это не на столько заметным.

 

[DildoFagins]

Инжект в легитимный процесс. До какой-то степени может помочь анхук перехваченных функций или процесс холовинг, если нужно противостоять аверу, который всратый.

 

[opapopa1090]

Интересует вопрос, изложенный в заголовке.

Допустим, имеется RAT, работающий на TCP сокетах.
Логика простая : Есть сервер, есть клиент.
Сервер отправляет сообщение -> клиенту "Открой калькулятор". В коде клиента изложена логика поведения, что при получении сообщения "Открой калькулятор", он должен запустить процесс калькулятора.

Со стороны динамической проверки антивирусом данное поведение выглядит пиздец как подозрительно. Так как приложение ожидает сообщений с какого-то левого сервера и выполняет его команды.

Собственно, вопрос. Как можно реализовать выполнение команд, посланных с сервера, но сделать это не на столько заметным.

хороший вопрос, пошли в лс, возможно смогу помочь тебе с твоим вопросом

 

[opapopa1090]

Инжект в легитимный процесс. До какой-то степени может помочь анхук перехваченных функций или процесс холовинг, если нужно противостоять аверу, который всратый.

что такое анхук, а что такое холовинг. а то как я подозревал эти вопросы в нашь добропорядочный поиск навели меня лишь на то, что холовинг это что-то в майнкрафте, а анхук эо походу какие-то трюки на серфе

 

[garrett]

Инжект в легитимный процесс. До какой-то степени может помочь анхук перехваченных функций или процесс холовинг, если нужно противостоять аверу, который всратый.

можно сделать кд между получанием команды с сервера и её выполнением и замоскировать это

 

[ioioio777]

можно сделать кд между получанием команды с сервера и её выполнением и замоскировать это

Вот, как раз интересно услышать примеры маскировки.

К слову, уже думал над этим, есть вариант (не осуждайте сильно, я прекрасно понимаю, что это какието дичайшие костыли, граничащие с Шизо-теорией)

Иметь 2 процесса. Один - это принимающая команды Форма. Второй - просто программа, которая мониторит первую.

У формы есть название (можно использовать не только название, но и класс Хендла)

При получении сообщения с сервера - меняется имя формы на "Calc"
Второй .ехе , замечая это - уже выполняет нужную программу

В итоге мы имеем клиент <-> сервер, которые просто общаются, ничего не выполняя из открытия программ.

 

[ioioio777]

Вот, как раз интересно услышать примеры маскировки.

К слову, уже думал над этим, есть вариант (не осуждайте сильно, я прекрасно понимаю, что это какието дичайшие костыли, граничащие с Шизо-теорией)

Иметь 2 процесса. Один - это принимающая команды Форма. Второй - просто программа, которая мониторит первую.

У формы есть название (можно использовать не только название, но и класс Хендла)

При получении сообщения с сервера - меняется имя формы на "Calc"
Второй .ехе , замечая это - уже выполняет нужную программу

В итоге мы имеем клиент <-> сервер, которые просто общаются, ничего не выполняя из открытия программ.

Посмотреть вложение 32028

Пока писал сообщение, протестировал в живых условиях. На удивления метод работает очень шустро (не заметил разницы между обычной отправкой команд)

Это наврятли подойдет для передачи команд, требующих быстрой обработки (в моем проекте это к примеру движения мышью), однако скрыть такие заметные команды, как открытие того или иного софта - пожалуйста.

 

[KasperWAF]

Если тебе нужно скрыть факт передачи команд по сети, смотри в сторону перехода с TCP на HTTP (Помимо палевности по очевидным причинам, например, не отстучит через системный прокси), domain fronting, мимикрию сетевого трафика, так же, если проблема возникнет непосредственно в запуске доставленного приложения, пробуй ppid spoofing, lolbins, отложенный запуск.

 

[McCoder]

1. Шифровать трафик межку клиентом-сервером
2. Инжектить шелкод под процесс explorer'а свою малварь.(donut помощь)

 

[McCoder]

Тем более у тебя код на шарпе, там очень просто обойти дефендер в рантайме

 

[McCoder]

Анхук хз, Process Holowing- скрытие под другим процессом. По другому (Behind Process). Ну у тебя код на шарпе, так что не ной. Там просто обойти рантайм.

 

[GayFox]

а обфускация кода не поможет обойти аверы или добовления мусорного кода???

 

[DildoFagins]

а обфускация кода не поможет обойти аверы или добовления мусорного кода???

Рантайм детекты в общем случае - нет.

 

[GayFox]

Рантайм детекты в общем случае - нет.

вреде как именно этим и обходил один чел в сам сорцы приписывал код рандомный и обходил множество райнтайма детекта. я про .NET по другому хз если какие то методы опишите)

 

[blackteam007]

вреде как именно этим и обходил один чел в сам сорцы приписывал код рандомный и обходил множество райнтайма детекта. я про .NET по другому хз если какие то методы опишите)

простое добавление мусорного кода не поможет обойти рантайм детекты. Что бы избавится от некоторых детектов в рантайме необходимо делать чистку Сигнатур. //ps. чистка сигнагур не сделает вам полный фуд в рантайме но уберет достаточно детектов для того что бы спокойно работать.

DildoFagins - ты вот бьешь тапком в грудь себя что рантайм вообще нельзя почистить с чего вот ты это взял скажи пожалуйста?
Просто если ты Expert то придерживайся своего статуса, дал бы новичкам каким нибудь какие то напутствия или подсказал бы какой то путь куда им копать а то у тебя единственный ответ на такие вопросы это "Рантайм детекты в общем случае - нет" ты сам та хоть пробывал это или это просто твои догадки? это просто вопрос без всяких подъебок если что.

Кстати по поводу Касперского самый говенный вариант этого антивируса это "KasperskyAnti-Virus" в котором активна только базовая защита, а вот с этой версией "KasperskyTotal Security" да обойти его сложно и вполне даже нереально.
Многие кстати в своих малварях используют Fody от него лучше избавиться и найти альтернативу что то типа ILMerge или что то еще.

 

[ioioio777]

DildoFagins - ты вот бьешь тапком в грудь себя что рантайм вообще нельзя почистить с чего вот ты это взял скажи пожалуйста?

Так его же спросили именно про обфускацию. Он ответил именно по поводу нее, как я понял. Естественно методы побега от рантайма есть, но его же не об этом сейчас спросили.
Если я правильно понял

 

[Exfazo]

DildoFagins - ты вот бьешь тапком в грудь себя что рантайм вообще нельзя почистить с чего вот ты это взял скажи пожалуйста?
Просто если ты Expert то придерживайся своего статуса, дал бы новичкам каким нибудь какие то напутствия или подсказал бы какой то путь куда им копать а то у тебя единственный ответ на такие вопросы это "Рантайм детекты в общем случае - нет" ты сам та хоть пробывал это или это просто твои догадки? это прост

Как бы он разбирается, у него даже про обход статьи есть, например статья про анхуки

 

[DildoFagins]

вреде как именно этим и обходил один чел в сам сорцы приписывал код рандомный и обходил множество райнтайма детекта

Наверное, это был тот чел, с которым мы долго срались и в итоге он ничего не смог показать, кроме своей некомпетентности. Кто же это был? Хм... Кто-нибудь помнит?))

Что бы избавится от некоторых детектов в рантайме необходимо делать чистку Сигнатур

Вообще, сигнатуры в классическом понимании проверяются в скантайме.

DildoFagins - ты вот бьешь тапком в грудь себя что рантайм вообще нельзя почистить с чего вот ты это взял скажи пожалуйста?

Елочками, чисткой сигнатур и всякой такой чушью в общем случае нельзя. Я писал уже здесь не раз: инжектом в легитимный процесс, бесфайловым запуском - можно попробовать. Но опять же аверы с хитрой проактивкой, которая способна откручивать события в системе, как Касперский, например, умеет простые инжекты мониторить. Так при инжекте через удаленные потоки и выполнении явного малварного поведения из контекста explorer.exe он на моих тестах прибивал поток и удалял инжектор на момент выполнения малварного поведения.

Если запустить бесфайлого, то малварное поведение блокируется, но поток остается живым. То есть он, видимо, мониторит именно взаимодействие процессов.

 

[KasperWAF]

Наверное, это был тот чел, с которым мы долго срались и в итоге он ничего не смог показать, кроме своей некомпетентности. Кто же это был? Хм... Кто-нибудь помнит?))


Вообще, сигнатуры в классическом понимании проверяются в скантайме.


Елочками, чисткой сигнатур и всякой такой чушью в общем случае нельзя. Я писал уже здесь не раз: инжектом в легитимный процесс, бесфайловым запуском - можно попробовать. Но опять же аверы с хитрой проактивкой, которая способна откручивать события в системе, как Касперский, например, умеет простые инжекты мониторить. Так при инжекте через удаленные потоки и выполнении явного малварного поведения из контекста explorer.exe он на моих тестах прибивал поток и удалял инжектор на момент выполнения малварного поведения.

Если запустить бесфайлого, то малварное поведение блокируется, но поток остается живым. То есть он, видимо, мониторит именно взаимодействие процессов.

На самом деле, частично он прав, от чего то можно избавиться за счёт недобора авером баллов по скантайму, ведь всё строится на них. Я недавно тестил один из вариантов DLL Hijacking, в винде есть места, где можно залезть в системный процесс без лишнего шума, только нужны права. Результаты по рантайму очень хорошие, и никаких инжектов. )

 

[KasperWAF]

Код нужно уметь инжектить, многие методики палятся при поведенческом анализе. К слову, помогает использование системных вызовов, даже обычный CreateRemoteThread не так смутно выглядит, если его правильно приготовить.