Детект от дефендера

[WhiteDragon]

Детект вешается на эти метаданные и запуск бинаря через EntryPoint.Invoke.

Это тоже будет детект)

И вообще друзья, если вы даже почистите руками за день и будете радоваться попивая пивко под вечер (думая m5 брать или e63s), когда будете лить, то через пол часа увидите, что пизда приплыли - детект хрома, дефа и прочего еще че там есть.
Возьмитесь за голову, напишите обфускатор под шарп (желательно с парсингом сорцов), изучите тему, почитайте статьи на тему и t.d.
Сейчас все стало сложнее, это вам не 2012 год где пол часа стилак готов, темидой накрыт, с ютуба запустил и по стате отстук 95%.

 

[KasperWAF]

амси на шарп не распространяется. Это dll, который загружается в exe скриптовых языков и парсит его элементы передавая к зареганному провайдеру аверу констаты (т.е. строки, апи вызовы).
Тут еще забыли обойти etw (оно чекает загрузил ли ты в память приложуху, ну как тут в случае с assembly load).
Лучшее решение это поморфить асембли лоад (читай про рефлексию) и обойти etw


Скорее эффективное решение - это хороший антиэмуль и в основном это не мат выражения, его изи хавает оптимизация (в случае C++ и прочего). Я бы посоветовал брутить по хешу в рантайме как где-то тут описано и был сэмпл. Сами com вызовы так же могут эмулироваться.

Скорее эффективное решение - это хороший антиэмуль и в основном это не мат выражения, его изи хавает оптимизация (в случае C++ и прочего). Я бы посоветовал брутить по хешу в рантайме как где-то тут описано и был сэмпл. Сами com вызовы так же могут эмулироваться.

Не понимаю, к чему ты это пишешь, выше было описано примерно то же (И брут тут далеко не обязателен)
К слову об оптимизаторе, он вырезает только неиспользуемый код, если код будет используемым - он останется в приложении

амси на шарп не распространяется. Это dll, который загружается в exe скриптовых языков и парсит его элементы передавая к зареганному провайдеру аверу констаты (т.е. строки, апи вызовы).
Тут еще забыли обойти etw (оно чекает загрузил ли ты в память приложуху, ну как тут в случае с assembly load).
Лучшее решение это поморфить асембли лоад (читай про рефлексию) и обойти etw

Ага, .NET 4.8 передает тебе привет. ЕТВ это виндовые логи, которые к амси не имеют никакого отношения и ничего они не чекают. При загрузке образа в лог пишутся данные, в большинстве случаев это не нужно и лучше обойтись без хотпатча (Как собственно и без обхода амси, лучше хорошо заморфить скрипт, ничего не меняя в памяти)

 

[WhiteDragon]

Не понимаю, к чему ты это пишешь, выше было описано примерно то же (И брут тут далеко не обязателен)
К слову об оптимизаторе, он вырезает только неиспользуемый код, если код будет используемым - он останется в приложении

Имелось ввиду при компиляции кода оптимизация может много че оптимизировать (те же мат выражения).Я не говорил, что етв имеют отношения к амси. Скорее это чекает то, что загружено ли в память приложение. А это чревато тоже детектом, человек выше убрал эти строки и все пропало. Делаем выводы.

(Как собственно и без обхода амси, лучше хорошо заморфить скрипт, ничего не меняя в памяти)

Ну конечно не будет детекта, ибо куда вешать если амси не сможет нормально передать данные аверу. Отличие в том, чтоб обойти амси и запустить скрипт (в случае пш) от поморфить скрипт разделяет лишь пропасть времени за какое время аверы среверсят твой ноу-хау скрипт.

 

[DoomSlayer2002]

Мои 5 копеек к этому всему, на с# дефендером почему то код палится чаще чем на других языках. Даже при написании на простейшего кода который чекает открыт ли диспетчер задач с# моментально палится, с++ и python нет.

Потому что на шарпе все копипастят код друг у друга не разбираясь, тут масса на форуме примеров - стиллеры за час сделанные на шарпе, еще и придумывают легенды про антиэмули через

Console.WriteLine

или

Debug.WriteLine

 

[DildoFagins]

амси на шарп не распространяется

AMSI на шарп распространяется с версии 4.8, все, что проходит через nLoadImage (а это в том числе и Assembly.Load) отправляется на сканирование через AMSI.

ЕТВ это виндовые логи, которые к амси не имеют никакого отношения и ничего они не чекают.

Через ETW дотнет регистрирует все загруженные в процесс сборки (Assembly), все что было загружено через Assembly.Load будет видно наружу через ETW, если его не отрубить. Плюс аверы могут мониторить разные события в ETW, как этакая проактивка для бедных, и постфактум выдавать детекты.

 

[WhiteDragon]

AMSI на шарп распространяется с версии 4.8, все, что проходит через nLoadImage (а это в том числе и Assembly.Load) отправляется на сканирование через AMSI.

Пардон, выше алан отписал, особо внимания не обратил что с 4.8 версии.

Через ETW дотнет регистрирует все загруженные в процесс сборки (Assembly), все что было загружено через Assembly.Load будет видно наружу через ETW, если его не отрубить. Плюс аверы могут мониторить разные события в ETW, как этакая проактивка для бедных, и постфактум выдавать детекты.

у меня лично на пш после обхода etw и загрузки в память был уже какой-то фуд, а иначе детектил сразу.

 

[Haunt]

эмулятор не сможет скипнуть этот код в связи с тем, что нарушится работоспособность твоего софта.

Есть еще техника под нейтив, когда ты в своем софте читаешь байты реверс коннектом с сервера в буфер, выделенный на стеке - переполняя его и затирая адрес возврата на свою ROP цепочку. Если знать базу и оффсеты в dll, можно чейны построить на инструкциях из импортируемых системных либ. А вот твой чейн уже грузит образ другого PE, например. Архитектурно - эмулятор не сможет последовать по адресам instr; ret; в этих либах. + при запуске твоего ПО нет интерфейсов, которые следует эмулировать
Вроде вот этой дотнетовской Assembly.Load(), где явно в Load() ожидается контент, критичный для анализа. Статика практически голая, нет даже кода, который грузит PE образ в этой самой статике. Чем тебе не альтернатива криптору и не обход эмулятора)

 

[D0gger]

всем огромное спасибо, решил проблему!

 

[team_RX]

всем огромное спасибо, решил проблему!

Ты хоть напиши как, а то как то не по людски))

 

[D0gger]

Ты хоть напиши как, а то как то не по людски))

грубо говоря сделал анти эмуляцию, как описывалось в примерах выше

 

[Th30C0der]

There a trick i was and still using it with my crypter , first get a lpe exploit then exploit it and make then lunch elevated PowerShell and add the temp path to the windows defender execlutions list then drop you'r file there .

One thing more if you're stub .net then use PowerShell without PowerShell and patch amsi on runtime then convert your stub to Powershell script and then run it ... finally it's gg you got your FUD encrypt. if u need help more PM can help u

 

[merdock]

грубо говоря сделал анти эмуляцию, как описывалось в примерах выше

У меня была такая проблема в крипторе, заменил мусорные винапи и пробелма исчезла, а реагировал именно в облаке и писал Ватакат, суть такая я проганял через мусор где сборка шеллкода была и там же мусорные винапи были с начало, без антиэмуляций, и когда все собрано было перед дешифровкой шеллкода и его запуском проходилась антиэмуляция и антидебаг, так вот Ватакат исчез после смены Винапи функций которые выполнялись в мусоре. Но хотелось бы чтобы всетаки более подробно написал что сделал чтобы исчез Ватакат.

 

[D0gger]

У меня была такая проблема в крипторе, заменил мусорные винапи и пробелма исчезла, а реагировал именно в облаке и писал Ватакат, суть такая я проганял через мусор где сборка шеллкода была и там же мусорные винапи были с начало, без антиэмуляций, и когда все собрано было перед дешифровкой шеллкода и его запуском проходилась антиэмуляция и антидебаг, так вот Ватакат исчез после смены Винапи функций которые выполнялись в мусоре. Но хотелось бы чтобы всетаки более подробно написал что сделал чтобы исчез Ватакат.

Раздуй файл до 300мб, вакатак уйдет, есть ещё вариант с задержкой.

 

[merdock]

Раздуй файл до 300мб, вакатак уйдет, есть ещё вариант с задержкой.

ну на раздувание это понятно, про задержку поподробней через какие апи функции, sleep сойдет или GetTickCount?

 

[D0gger]

ну на раздувание это понятно, про задержку поподробней через какие апи функции, sleep сойдет или GetTickCount?

Эти функции он скипает. Я делал через мусор, скан диска и тд.

 

[merdock]

Эти функции он скипает. Я делал через мусор, скан диска и тд.

спасибо за идею

 

[Th30C0der]

you need to debug your code try comment all code and compile now check detection , and then try uncomment a peace of code step by step and every few lines you uncomment compile and check the detection or you can just switch your visual studio to debug mode and start debuging line by line the line fire the defender is the line you want to change , if u have copy paste any code remove it or change the syntax and var names functions names

 

[secflag]

Слушай, скорее всего, это детект на сам компилятор, а точнее его функции.
Ты наверняка Visual Studio используешь? Попробуй заменить на G++, с ним полегче будет.