Ты видео хоть посмотрел нее в каких пизду лабораторных, больше года назад всю сетку закидали этим тыц и тыц создаешь polyglot msi/hta/jar серт действительный
Тут видел долбаёбав и по 10к бакинских приват покупают который давно в паблике
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Обход Chrome Alert и Windows Defender при скачивании .exe
- Автор темы IPMASHEEN
- Дата начала
А может ты смешал все в кучу ? Разговор был конкретно про исполняемые PE файлы, в частности EXE и DLL, ты же приплел сюда msi\hta\jar, даже название темы намекает как бы, что разговор идет конкретно о .exe
И в примерах моих были указаны конкретно заголовки PE файлов и речь шла только о них, так как остальная шляпа профита не даст, тот же подписанный msi извлечет на диск не подписанный exe\dll и он уже въ@бется в кукурузу, с jar\hta разговор другой, но это уже пофикшено
И так еще для справки, серт (сами приватные ключи), ты не воруешь, потому что они находятся у пописавшего локально, ты воруешь просто БАЙТЫ РЕЗУЛЬТАТА ПОДПИСАНИЯ ФАЙЛА, грубо - саму подпись, НО подпись очень жестко привязана к файлу, если в нем изменить хоть 1 бит, подпись станет невалидной для данного файла, что уж говорить о том, что бы просто вырезать байты подписи с одного файла и прилепить к другому, подучи матчасть и криптографию, и может быть тогда ты поймешь, что ценность цифровой подписи заключается ТОЛЬКО в том, что она является валидной для того файла на котором она стоит, это гарантирует целостность файла, и то что он никак не был изменен после подписания, и никакого смысла забирать сырые байты подписи нет, да на ней будет написано, что серт валидный с такого-то по такое-то время\дата\год, да будет указан путь сертификации, и корни будут валидны, но сцуко сама подпись ДЛЯ файла на котором она стоит будет невалидной
Дело в том, что xrahitel пытался доказать, то что, все таки возможно добавления в стороннего кода в секцию, и при этом сертификат будет определятся как действительный(это прям таки уязвимость CVE-2013 у которой до сих пор стоит статус notfix) Секция находится в самом внизу структуры PE и это без подбора коллизий и без тыренья ключа, что касаемо sigthief да там просто перезаписываются дохлые байты, поверхностно, но ранее в 2019, когда база chrome и smartscreen не проверяли серты по oscp, это действительно работало для обхода алертов. Способ автора например тоже самое, что самоподписанный сертификат
- Не используйте SigThief сейчас это доп детекты, генерируйте самоподписанный сертификат, но с дохлым digicert timestamp так не будет и детектов, и будет вам обход chrome.
- Sha-512 генерируйте (EV), это будет тоже самое, что изьятая подпись за нарушение
Последнее редактирование:
- Автор темы
- Добавить закладку
- #25
Вот обычный sfx архив на вт без цифровой подписи
А вот sfx с подписью от putty
И это без надстроек. Можно еще сменить иконку и поменять часть конфигов и добиться фуд.
С самоподписанным сертом простроченным результат такой же будет?
по сути да, наличие подписи с timestamp, снижает детекты в статике, только с SigThief при стандартных условиях, можно поймать несколько отдельных генериков на саму подпись (у меня такое было) + обновленный деф с клаудом, быстро обнаруживает стандртный перенос подписи SigThief, поэтому я склоняюсь ближе к самоподписанным сертам (эффект один и тот же, особенно если имя издателя и описание подписи скопировано, была одна подобная утилита которая генерила нормальные серты с oscp и timestamp которых вовсе не было в базе, название уже не помню). И вообще игрался с этим 2 года назад
- Автор темы
- Добавить закладку
- #27
Вспомни. Я готовлю статью о переносе всего этого дела в Web и работе по Api.
- Автор темы
- Добавить закладку
- #28
Не вспомнил?
Не про это речь тыц)
GitHub - secretsquirrel/SigThief: Stealing Signatures and Making One Invalid Signature at a Time
Stealing Signatures and Making One Invalid Signature at a Time - secretsquirrel/SigThief
github.com
нет, но интерфейс схожий
Как относится smartscreen и defender к файлам подписаным методом ТС?
GitHub - jfmaes/LazySign: Create fake certs for binaries using windows binaries and the power of bat files
Create fake certs for binaries using windows binaries and the power of bat files - jfmaes/LazySign
github.com
а кто делает эти сертификаты?
откуда они берутся?
Может эта утилита в исходниках WINDOWS есть?
откуда они берутся?
Может эта утилита в исходниках WINDOWS есть?
офф подпись нвидиа давно в инете плавает. нахера этот темпштамп )))))))))))
Скрытый контент для пользователей: .
не катит ваша тема, может что-то поменялось
- Автор темы
- Добавить закладку
- #38
серт от какого файла ставишь? с какого домена отдаешь файл? попробуй на анонфилес залить просто. даст скачать?
ставил от хрома, проксифиера, домен трастовый, сайт какого-то униваера
спасибатуда же в коллекцию, теперь на PSGitHub - jfmaes/LazySign: Create fake certs for binaries using windows binaries and the power of bat files
Create fake certs for binaries using windows binaries and the power of bat files - jfmaes/LazySigngithub.com