FUD крипт вируса - как сделать

[werbeden]

На форуме часто слышу мол крипт это легче-легкого. Возможно это и так, поэтому я хочу научиться это делать.
Я сейчас не говорю про рантайн, хотябы скантайм чтобы прошел незаметно.
Хотя по рантайму был бы также очень рад услышть в какой манере нужно писать код чтобы обойти АВ.

Подскажите пожалуйста где начать и что изучать. Возможно литературу.

Также у меня есть ссорцы, на данный момент это около 7 на клинскане и дефендер палит скантайм. Как можно улучшить ситуацию?

 

[Quake3]

На форуме часто слышу мол крипт это легче-легкого. Возможно это и так

Это не так. Что легче легкого пишут либо нубы либо тролли.

Я сейчас не говорю про рантайн, хотябы скантайм чтобы прошел незаметно.

Вопрос - на каком языке вы умеете программировать? Если ни на каком, то для начала надо что-то изучить.

 

[werbeden]

Это не так. Что легче легкого пишут либо нубы либо тролли.


Вопрос - на каком языке вы умеете программировать? Если ни на каком, то для начала надо что-то изучить.

С#
Что изучать в таком случае? Даже если берем скантайм

 

[Th30C0der]

is developing crypt easy ? it depends scantime or runtime .

runtime is hard cause u try to hide your malware in running and AV is trying to catch u !

but in scantime u did not run the code u just like download it from website and put it on desktop so this yes is easy .

how to do fud scantime crypt ! first u need to be a programer
second u need to encrypt your payload any encryption algorithem will do the stuf , like aes , rc4 !! Now u bypassed the scantime remmber Runtime is much harder cause u runing on system with AV

 

[werbeden]

is developing crypt easy ? it depends scantime or runtime .

runtime is hard cause u try to hide your malware in running and AV is trying to catch u !

but in scantime u did not run the code u just like download it from website and put it on desktop so this yes is easy .

how to do fud scantime crypt ! first u need to be a programer
second u need to encrypt your payload any encryption algorithem will do the stuf , like aes , rc4 !! Now u bypassed the scantime remmber Runtime is much harder cause u runing on system with AV

thanks a lot though i was wondering about more precise explanation on where to get those aes and other algorithms, i mean how to use them.
sound like a clear rave i know, sorry

but can you please elaborate about scantime? how can i start with, where to find info? may you even describe me this in pm
thanks!

 

[werbeden]

Upd: Скантайм!

Ребят прошу по скантайму хотябы, пожалуйста не отвечайте вопросом на вопрос. Я уверен на форуме много спецов и хотя бы скантайм я бы хотел изучить

 

[werbeden]

Upd: Скантайм!
Ребят прошу по скантайму хотябы, пожалуйста не отвечайте вопросом на вопрос. Я уверен на форуме много спецов и хотя бы скантайм я бы хотел изучит

Спасибо

 

[Th30C0der]

thanks a lot though i was wondering about more precise explanation on where to get those aes and other algorithms, i mean how to use them.
sound like a clear rave i know, sorry

but can you please elaborate about scantime? how can i start with, where to find info? may you even describe me this in pm
thanks!

Best place Github.com there a lot of researchers and malware developers who post there projects most techniques used there is out of date but it will give u a background , about the encryption algorithem search in google for library support aes for your language you develope in .
examples :

Build software better, together

GitHub is where people build software. More than 83 million people use GitHub to discover, fork, and contribute to over 200 million projects.

github.com

https://github.com/th3hack3rwiz/Scantime-Crypter if u develope in c/c++
https://github.com/0x00CryptFile/FUD-CRYPTER for c#

 

[D0gger]

Надо написать стаб, мини прога которая будет доставать закриптованый файл (к примеру из ресурсов), расшифровывать и запускать его.

 

[Silvio_Manuel]

1) Для начала можно шифровать все переменные, если зашифровать под уникальный параметр среды выполения, то песочницы как правило на скантайме не поймут что там зашифровано.
2) Обфусцировать все переменные, классы, функции
3) Создать/использовать класс который может запускать код/скрипт из текста. Далее шифровать код на который тригерит антивирус и запускать его через этот класс. От рантайма это не спасёт конечно, но от скантайма спасёт.

 

[Quake3]

С#
Что изучать в таком случае? Даже если берем скантайм

Смотри, что такое крипт? Вот так если очень по простому. Это создание какого-нибудь "белого" легитимного приложения. Т.е. пофиг какого, любой хелловорлд, максимально похожий на стандартные проги (естественно без гуев, хотя потренироваться можешь с ними). Прога, которая внутри себя соберет (взяв строки из ресурсов, секции .data , еще хз откуда) пейлоад (т.е. нашу малварь), и выполнит ее в памяти. Вот вся суть крипта. Напиши прогу, которая не будет палится аверами, потом возьми малварку, переведи в base64+xor+еше что-то, спрячь в ресурсах или как строки, собери и выполни.

 

[camawe]

На форуме часто слышу мол крипт это легче-легкого. Возможно это и так, поэтому я хочу научиться это делать.
Я сейчас не говорю про рантайн, хотябы скантайм чтобы прошел незаметно.
Хотя по рантайму был бы также очень рад услышть в какой манере нужно писать код чтобы обойти АВ.

Подскажите пожалуйста где начать и что изучать. Возможно литературу.

Также у меня есть ссорцы, на данный момент это около 7 на клинскане и дефендер палит скантайм. Как можно улучшить ситуацию?

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/39006/

http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/42999/

 

[n0kkster]

Смотри, детект в статике (т.н. скантайм) зависит от множества факторов. Первое - это, конечно, сигнатурный анализ, то есть, условно говоря, авер берет твой файл и ищет какие-либо последовательности байт, которые в его огромной базе каким-то образом могут быть ассоциированы с малварями. Совпавшие последовательности и называются сигнатурами. Ими может являться что угодно, строки, какие-то функции, который характерны разным семействам малварей. Второй вариант получения детектов на свой софт - это импортируемые функции. В шарпе, насколько знаю, импортятся не функции, а одна библиотера mscoree.dll, из которой подгружаются нужные функции (поправьте если не прав, не спец по шарпам). Поэтому приведу аналогию с софтами, написанными на C/C++. У каждого из них есть таблица импорта, где указываются функции, которые импортирует программа из разных библиотек (ntdll, kernel32, и т.д.). Наличие некоторых функций в этой таблице (например ShellExecute) может свидетельствовать о вредоносном настрое программы. Если у тебя есть исходники софта, почистить его не составляет особого труда (говорю в основном за натив, с чисткой малварей на других ЯП опыта не имею), алгоритм заключается в поиске сигнатур (если интересно, могу скинуть пару скриптов, которые помогут автоматизировать данный процесс) и избавлении от них. В случае детекта по импортируемым функциям можно отказаться от использования этих функций, или же использовать динамический импорт. Собственно, это все можно реализовать, если у тебя есть сорсы твоего малваря. Если же таковые на руках не имеются, то хорошим вариантом будет обернуть вредоносный софт в стаб. Стаб - это такая обертка для исполняемого файла, которая содержит в себе шифрованный код вируса (шифруют его, очевидно, для того, чтобы авер не реагировал на сигнатуры, имеющиеся в исходном файле). Стаб расшифровывает код малвари, в идеале проверяет не находится ли он на ВМ/песочнице и запускает малварь. На момент запуска малвари тоже стоит обратить внимание. Если ты в своем стабе запишешь расшифрованную малварь на диск, на которой уже были детекты, то любой авер удалит ее сразу же, такой стаб просто не будет иметь никакого смысла. Поэтому любой адекватный стаб умеет запускать вирус в памяти, без дропа на диск, будь это устаревшая техника RunPE (создание дочернего процесса и загрузка кода вируса в него) или более приятная LoadPE (копирование кода вируса по частям в свой собственный процесс без создания нового). В целом, если захочешь написать стаб, у тебя обязательно должно быть: шифрование исходного вируса, запуск в паямти, по желанию какие-либо проверки для безопасности малвари. Также не будет лишним держать в таблице импорта функции, характерные для какого-либо белого софта, даже если они не будут использоваться в твоем стабе, это просто добавит легитимности файлу. Ну и, конечно, фейковый сертификат, если не задроченный, иногда снимает 1-2 детекта.
Собственно по обходам статики основные методы описал, в динамике все будет куда сложнее. Как-то так.