[Неактуально] Крипт маячков кобальта x64

[MekkeyBug]

Чистый нативный DLL стаб - https://checkzilla.io/scan/e0c1e51d-ad1a-4cf5-978e-a017f06e4140
Стаб чистится по мере засирания
Вес - от 10KB

Прайс $100.
Оптовикам скидка

Людям с репой сделаю на тест за отзыв.

Криптую пока в ручном режиме. Если наберется достаточное кол-во заказчиков будет автоматзация.

Если нужен гарант, то я - за

В телеге не общаюсь.

Первый контакт в ПМ, далее TOX

 

[awaken1337]

Чистый нативный DLL стаб - https://checkzilla.io/scan/e0c1e51d-ad1a-4cf5-978e-a017f06e4140
Стаб чистится по мере засирания
Вес - от 10KB

Прайс $100.
Оптовикам скидка

Людям с репой сделаю на тест за отзыв.

Криптую пока в ручном режиме. Если наберется достаточное кол-во заказчиков будет автоматзация.

Если нужен гарант, то я - за

В телеге не общаюсь.

Первый контакт в ПМ, далее TOX

Шк криптуешь?

 

[MekkeyBug]

Да бинарные шк

 

[MekkeyBug]

Месяц спустя - все еще актуально.
Два стаба в комплекте
Есть автоматизация крипта для клиентов с подпиской (приложение)

Если нужен гарант, то я - за
В телеге не общаюсь.
Первый контакт в ПМ, далее TOX

 

[Yes]

Обменял свою RAW нагрузку на две криптованные длл"ки. Вес первой был 8.7кб, второй 110кб, обе отстучали. Но хочу сразу заметить, что beacon HTTP криптоваться не хочет.

Прикладываю скан мелкой: https://checkzilla.io/scan/9d0a9726-6fb3-415d-9c07-f1fd29e1fe65
5 из 19 по рантайму, 4 из которых фейк (видно по скринам), а пятый детект от АВ третьего мира.
На момент моего отзыва рекомендую человека.

 

[FREEM4N]

Тест под Sofos-om \ SentinelOne \ Cortex XDR \ VmWare Carbon Black \ Crowd Strike \ Trend Micro - Можешь сделать? Если да отпиши в пм или тут, возмем оптом.

 

[zuna34]

Test under Sofos-om \ SentinelOne \ Cortex XDR \ VmWare Carbon Black \ Crowd Strike \ Trend Micro - Can you do it? If yes, write in PM or here, we'll take it in bulk.

+

 

[MekkeyBug]

Sofos-om \ SentinelOne \ Cortex XDR \ VmWare Carbon Black \ Crowd Strike \ Trend Micro

Эх, мужик )) Ты собрал все топовые антивирусы. А это уже другой уровень на котором крипт делается под обход каждого авера и уж конечно это все в паблик не попадает.

 

[FREEM4N]

все топовые антивирусы

Если что-то из них обходишь, пиши. Ценну обсудим. Гарант\Авто-гарант всегда +
ЗЫ - Crowd Strike \ Trend Micro - эти далеко не топ.
ЗЫ2 - Нужны в первую очередь - Sofos \ SentinelOne \ Cortex XDR

 

[0ffS3t]

Если что-то из них обходишь, пиши. Ценну обсудим. Гарант\Авто-гарант всегда +
ЗЫ - Crowd Strike \ Trend Micro - эти далеко не топ.
ЗЫ2 - Нужны в первую очередь - Sofos \ SentinelOne \ Cortex XDR

i can give a shot. you use checkzilla or you have pc with all av in it ready ?

 

[MekkeyBug]

you use checkzilla or you have pc with all av in it ready ?

И так, и так)

 

[MekkeyBug]

И, снова, здарова!!

На волне часто задаваемых мне вопросов от потенциальных заказчиков, на тему детектов различными анитивирусами, а так же в связи с обновлением AV-лаборатории, решил выложить результаты сканирования текущих стабов.
Результаты такого сканирования лучше отражают текущую ситуацию с детектами, нежели результаты от CheckZilla. Поскольку, отключенный интернет не позволяет задействовать ML/Cloud-сканеры, которые сейчас представляют наибольшую головную боль.

Подборка анитивирусов кому то может показаться не репрезентативной, но имеем что имеем.

Мои клиенты знают, что сегодня на выходе криптора они получают три DLL с различными префиксами в именах (RD, RS и RDS). Эти префиксы отражены в итоговой таблице. Результаты покаказаны для скантайма и рантайма (колонки S и R).

Криптовать будем CobaltStrike 4.2 x64 raw shellcode (payload.bin). Крипт работает вплоть до весии 4.6 включительно, но возьмем наиболее заезженный))

Результаты актуальны на 18.06.2022

Итак, базой у нас будет Windows 10 21H1 Сборка ОС 19043.1766 со всеми обновлениями.

Тестировать будем на следующих AV (версии указаны те и там где их есть возможность определить):

Windows defender
Версия клиента антивредоносной программы: 4.18.2203.5
Версия подсистемы: 1.1.19200.6
Версия антивирусной программы: 1.367.1747.0
Версия антишпионского ПО: 1.367.1747.0

Trend Micro Apex One Security
Virus scan engine: 21.600.1005
Smart Scan agent pattern: 17.633.00
Advanced Treath scan engine: 21.600.1006
Spyware/Grayware scan engine: 6.2.4015

SentinelOne v3.3.3.29

Symantec Endpoint Protection
Auto-Protect User Mode Interface: 16.0.1.74
Endpoint Detection and Response Framework: 4.6.0.13
Intrusion Protection Framework: 17.2.6.25
SONAR Framework: 12.3.0.48

ESET Endpoint Security v7.3.2051.0
Модуль обнаружения: 25455 (20220618)
Модуль быстрого реагирования: 20460 (20220618)
Модуль сканирования защиты от вирусов и шпионских программ: 1589.3 (20220607)
Модуль расширенной эвристики: 1216.2 (20220606)
Модуль поддержки Anti-Stealth: 1178 (20211007)
Модуль файервола: 1426.1 (20220114)
Модуль ESET SysInspector: 1281.1 (20210407)
Модуль защиты интернета: 1444.1 (20220524)
Модуль фильтрации веб-содержимого: 1085 (20220204)
Модуль обнаружения и очистки руткитов: 1032 (20220118)
Модуль защиты сети: 1691 (20220128)
Модуль сканирования сценариев: 1125 (20220602)
Модуль поддержки для глубокой поведенческой проверки: 1118 (20220202)
Модуль расширенного машинного обучения: 1119 (20220427)

Webroot SecurityAnywhere CE 22.2 v9.0.32.58

+-----------------------+-------------------------------+
|                       |    RD    |   RS    |   RDS    |
|         AV            +-------------------------------+
|                       | S  | R   | S | R   |  S | R   |
+-----------------------+-------------------------------+
|  WinDef               | v  | v   | v | v   |  v | v   |
+-----------------------+----+-----+---+-----+----+-----+
|  Trend                | v  | -   | v | -   |  v | v   |
+-----------------------+----+-----+---+-----+----+-----+
|  Sentinel             | v  | v   | v | -   |  v | v   |
+-----------------------+----+-----+---+-----+----+-----+
|  Symantec             | v  | -   | v | -   |  v | v   |
+-----------------------+----+-----+---+-----+----+-----+
|  Eset                 | v  | -   | v | -   |  - | -   |
+-----------------------+----+-----+---+-----+----+-----+
|  Webroot              | v  | v   | v | v   |  v | v   |
+-----------------------+----+-----+---+-----+----+-----+

Как можем видеть, самый злоебучий, на сегодняшний день - это ESET, с чем его и поздравляем)).

 

[MekkeyBug]

Обновление стабов и актуальный скан.

В розыгрыше участвовали:

Windows 10 21H2 Сборка ОС 19044.1806

Windows defender
Версия клиента антивредоносной программы: 4.18.2205.7
Версия подсистемы: 1.1.19300.2
Версия антивирусной программы: 1.369.896.0
Версия антишпионского ПО: 1.369.896.0

Trend Micro Apex One Security
Virus scan engine: 21.600.1005
Smart Scan agent pattern: 17.669.00
Advanced Treath scan engine: 21.600.1006
Spyware/Grayware scan engine: 6.2.4015


SentinelOne v3.3.3.29


Symantec Endpoint Protection 14.3.7388.4000
Auto-Protect User Mode Interface: 16.0.1.74
Endpoint Detection and Response Framework: 4.6.0.17
Intrusion Protection Framework: 17.2.6.25
SONAR Framework: 12.3.0.48


ESET Endpoint Security v7.3.2051.0
Модуль обнаружения: 25548 (20220706)
Модуль быстрого реагирования: 20555 (202200706)
Модуль сканирования защиты от вирусов и шпионских программ: 1590.1 (20220706)
Модуль расширенной эвристики: 1216.2 (20220606)
Модуль поддержки Anti-Stealth: 1178 (20211007)
Модуль файервола: 1426.1 (20220114)
Модуль ESET SysInspector: 1283 (20210407)
Модуль защиты интернета: 1444.1 (20220524)
Модуль фильтрации веб-содержимого: 1085 (20220204)
Модуль обнаружения и очистки руткитов: 1032 (20220118)
Модуль защиты сети: 1691 (20220128)
Модуль сканирования сценариев: 1128 (20220602)
Модуль поддержки для глубокой поведенческой проверки: 1118 (20220202)
Модуль расширенного машинного обучения: 1119 (20220427)


Webroot SecurityAnywhere CE 22.2 v9.0.32.58


McAfee VirusScan Enterprise + AntiSpyware Enterprise
Version number: 8.8.0 (8.8.0.2232)
Build date: 5/20/2020
DAT Created on: 7/1/2022


Bitdefender total security 26.0.18.75

Крипт х64 raw пэйлоада v4.2, листнер HTTPS

+-----------------------+--------------------+
|                       |    RD    |   RS    |
|         AV            +--------------------+
|                       | S  | R   | S | R   |
+-----------------------+--------------------+
|  WinDef               | v  | v   | v | v   |
+-----------------------+----+-----+---+-----+
|  Trend                | v  | -   | v | v   |
+-----------------------+----+-----+---+-----+
|  Sentinel             | v  | v   | v | v   |
+-----------------------+----+-----+---+-----+
|  Symantec             | v  | v   | v | v   |
+-----------------------+----+-----+---+-----+
|  Eset NOD32           | v  | -   | v | 1*  |
+-----------------------+----+-----+---+-----+
|  Webroot              | v  | v   | v | v   |
+-----------------------+----+-----+---+-----+
|  McAfee               | v  | 2*  | v | 2*  | 
+-----------------------+----+-----+---+-----+
|  Bitdefender          | v  | v   | v | v   |
+-----------------------+----+-----+---+-----+

1* - при выключенном Botnet protection
2* - при выключеном Prevent HTTP communication

Оба два блочат трафик, но процессы живые. Если использовать какие то ухищрения, то возможно отстучит и с включенными опциями, но у меня был просто https бикон.

Стабы, буквально "с пылу, с жару", так что welcome)

Первый контакт в ПМ, далее TOX

 

[MekkeyBug]

Обновление!!

Checkzilla

checkzilla.io

Первый контакт в ПМ, далее TOX

 

[MekkeyBug]

Новый стаб

Checkzilla

checkzilla.io

Если верить чекзилле, то 100% FUD

Первый контакт в ПМ, далее TOX

 

[arsarsov]

Интересно вот что, под криптом бинарного шеллкода подразумевается шифрование его, затем выделение памяти в твоей DLL, дешифрация и запуск шелла или же присутствует морфинг raw бинаря на уровне ассемблерных команд ?

 

[MekkeyBug]

Не, морфинга raw нету. Основная цель - спрятать от авера и запуститься. Поэтому шифрование шелкода, морф стаба, спрятаные вызовы апи и вот это вот все.

 

[Tom Riddle]

бро привет нужен крипт зайти не могу в переписку

 

[MekkeyBug]

Большое обновление.

Теперь нет статического стаба, как такового. Все собирается "с нуля" для каждого пейлоада.

Бинарные пейлоады, так же, теперь, могут быть разнообразными, не только CS, и быть обоих архитектур. На каждую нагрузку собирается DLL и EXE.

Единственное ограничение, которое я знаю на сегодняшний день, это - не работает с CS > 4.5.

Полученные артифакты имеют функцию self-delete (для х64), задержку запуска, примерно 20 секунд и защиту от запуска на территории СНГ.

Так, что, те кто хотел покриптовать BruteRatel и все такое прочее, стучитесь.

Актуальный скан (CS 4.2 stageless) https://checkzilla.io/scan/751354dc-5485-4d7f-b84e-98fd97126562

Первый контакт в ПМ, далее TOX

 

[MekkeyBug]

Спустя, почти, год, возвращаюсь к услуге крипт маяков кобальта. Условия прежние - маяк в виде RAW (x86/x64). На выходе exe или dll, на выбор. Все версии CS, вплоть до 4.9 включительно. Цена $100. Чистка по мере загрязнения.

Скан dll на чекзилле: https://checkzilla.io/scan/98c4b98c-8897-4f14-b054-f3dd18343dbd

Первый контакт в ПМ, далее TOX.
Если мы уже работали вместе, то можете указать свой прежний ник в токсе, работа с вами будет в приоритете.