Powershell сравнительно покиляли всякие там AMSI, Script Logging, ETW и тд, конечно, их (AMSI, ETW и тд) можно повсякому нагибать, но сам код по нагибу будет в любом случае проверен, то есть уже стало куда сложнее, чем было в золотые времена Powershell Empire, сейчас это (Powershell) все надо хорошо уметь готовить, чтобы это было эффективно.
Я его так и не осилил, потому ничего сказать не могу. Просто видел лоадер реально с 1 детектом на динчеке - на нативе такого не добьется даже Инди Клерк. Но то было давно.
Но даже тогда не было малвари на ПШ, в основном все грузили дллки через РЕ лоадер, или ошибаюсь?
Не, там много функционала было именно на Powershell'е во всяких там Empire, Powersploit и тд. Там же весь дотнет доступен по сути, включая pinvoke (вызовы winapi), там все можно запилить на нем по сути.
Я его тож не люблю, чисто из за странного синтаксиса.
ой, не говори
я про дешифровку на сервере и говорил
делал ~ год назад, но с подгрузом длл для чтения бд браузеров с админкой (сама дллка хранилась внутри скрипта и грузилась рефлексий), потом забил
есть, достаточно, но не в комерции
для этого юзается обфускация, обф на пш одна из самых интересных тем, на самом деле
В условиях всяких облачных антивирусов семплы все равно не особо многоразовые, улетает семпл в облако, через пару дней будет палиться. Для стиллера или шкафчика это норм, но для того, что должно подольше посидеть, не годиться, пару перезагрузок и давай до свидания.
Так а зачем там две версии длл? Вполне достаточно одной, 64 битной , той разрядности что и софт. ведь у профиля лисы нет разрядности, там просто данные. Или о чем речь?
у нсс3.длл две разрядности вроде, точно не знаю, т.к с расшифровкой через либы не работал
семпл не может быть вечным, да, это не только с пш так работает, если софт с персистом, значит функция обновы текущего билда точно должна быть предусмотрена
Рансомварь - это, наверное, единственный тип малвари, для которого шарп не подходит. Если надо пояснить, почему, то я подробнее расскажу. Но я думаю, что черняваякоманда просто скопипастит бабука, это на него похоже.
А это уже будет форк форка тининюка.
в тини - хвнц, хрдп это немого другое, вероятность того что код окажется копипастом 101%
скорее будет переделка\форк HiddenTear на шарпе, сомневаюсь что он сможет писать на чём то кроме шарпа
Я уже и забыл про их существование. Несмотря на то, что Матросов на каждой конфе показывает одну и ту же презентацию про буткиты и даже какую-то книжку выпустил, но толком никаких новостей про буткиты уже давно почти нет.
а можно ссылочку на презентации? а то гугл муть какую то выдает.
Они все более менее одинаковые, искать по ключевым словам matrosov и bootkit на тытрубе, вот, например:
разрядности две, потому что две версии фраерфокс, а ЕХЕ файл, как известно, должен загружать DLL такой же разрядности.
или вообще paradise ransomware который тоже на шарпе)
Программирование плохо пошло, пробует себя в маркетинге и смм, молодец пацанчик - не сдается.
