Is kernel driver development worth it? I have never looked into it but from my little bit of reading the biggest issue is getting a driver installed. You could use exploited drivers but then lots of AVs keep up to date on these and will black list them. Are you able to install a non signed driver? Any tips?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Is kernal malware worth it?
- Автор темы ilcrba
- Дата начала
You can pretty much do everything a typical malware needs only in user mode and as a system service. The only one thing rootkit really may be needed is to hide some artifacts of your malware, like processes, mutexes and files. But your malware can be injected or started in a legit operating system process, for example, so hiding a process is not really needed.
- Автор темы
- Добавить закладку
- #3
Is there anything sketchy about system services being installed? And do you gain anything being a service that you wouldn't have from a normal process?
can be ingected -> ахахаха очень смешно, ну-ну это в 2022 то годе, когда такой инжект на вес золота продают) а запилив дышат через раз ибо если чихнуть сучайно то малавара улетит в облака по закону мерфе и усе тю-тю превадный инжектец!
ilcrba u can use driver for kill AV\EDR or hide anything on host or make some UEFI firmware great again(I mean bootloadrez)
Вопрос только в конкретном авере, ничего не мешает выбирать алгоритм, который работает на нем. В 2022 году многие аверы до сих пор не сподобились палить Shell_TrayWnd инжект, который в паблике с 2013 года. По поводу облака есть довольно примитивные и известные методики того, как не отдавать ценные алгоритмы, например, держать код зашифрованным на каком-то параметре операционной системы на таргете.
KasperWAF
Гость
Большинство нетривиальных методов инжекта работают до сих пор, в том числе под EDR. Основная проблема находится в палевных апишках типо CreateRemoteThread, SetThreadContext и т.д, нужно избавляться от них. Да и вообще, чтобы залезть в другой процесс, не обязательно инжектить в него код. Есть куча вариантов с тем же эксплорером, в нем полно функциональности позволяющей легитимно загрузить произвольные длл
Кстати как там поживает автор этого инжекта? Давно его не видно
P.S. С прошедшей днюхой тебя
Джизазс - а как же скан памяти? Когда системный процесс не совсем систем процесс(там отличий много будет от дефолтного состояниея процесса системы - от скана уклонятся тяжелее, а они будут просканированы, тк еще действия будут идти мутные с их стороны.
Мне больше приглянулась техника где - малаварина при первом запуске телеметрию собирает и юзает ее как ключь при шифровании самой себя. Тоесть она патчит сама себе и при другом конфиге телеметрии после не сможет дешнутся ее тело и она не стартанет.
Угон\подменна\патч длл - совсем другое по моему - на это вначале стоит обращать внимание в наши дни а инжекты - too evil - их куда тяжелее исполнять и это уже некст степ.
Везет вам сударь((( Мне бы таких тупых аверов в новом году да поболее((
Тупорылый авер - редакая дичь в сетях с доходом от 500кк+
а кроме этого там еще не особо тупорлый респонс приелтает регулярно, вот и потеешь как сапер
Если говорить в общем - проблема в похуканых фунциях ntdll.dll
Анхуки этих фунок как раз и есть те нетривиальные техники про которые вы говорить(или нет хз)
на эти самые анхку авер ебошит детекты сходу, ваще - потому как сами понимете короче.
хотя возможно где-то процесс будет прибит еще ранше, и дело до ntdll так и не дойдет
( https://github.com/Mr-Un1k0d3r/EDRs ).
Хз, есть теория, что он отбывает... в психушке. Но это только теория. Он иногда на cracklab.team появляется с неуловимо-джововым ником Sp1n, если хочешь с ним поговорить, то, наверное, надо туда писать.
Полноценный антидамп в помощь. А так, во-первых, скан памяти не происходит постоянно, иначе это было бы слишком накладно, а во-вторых, пока еще у меня не было прецедентов, что с памяти что-то отправлялось в облако. Вопрос опять же в конкретном авере.
Я об этом и говорю.
Везет тому, кто везет.
С этого момента можено попдробнее, что вы считаете полноченым а что нет?
Да это шутка. В общем, если ты не в курсе, был (возможно еще есть, но не факт) такой эпичный персонаж - Indy, у него были неплохие идеи, но как следствие своих личностных качеств, он никогда не мог свои идеи доносить до общественности. В частности, он, наряду с еще несколькими людьми с virustech'а в году этак 2013'ом, стоял за изобретением инжекта через Shell_TrayWnd, который с успехом использовался потом в PowerLoader'е. У него была идея о том, за счет разных трюков в юзермоде можно препятствовать сканированию памяти и дампу, он называл это "полноценный антидамп". Я по фану сделал свою версию с немного другим подходом, не то чтобы она прям практичная и дохера применимая, но как poc, который можно доработать или переработать: https://xss.pro/threads/64259/ - суть в том, что за счет выброса и обработки VEH исключений, можно расшифровывать и исполнять нативный код по одной инструкции. То есть в один промежуток времени в открытом виде в памяти находится только одна инструкция. Реализация Indy основана была на частичной эмуляции, насколько я помню, то есть он в исполняемый буффер расшифровывал по одной инструкции, сохраняя и загружая контекст потока. Это немного сложнее, так как требуется руками обрабатывать все условные и безусловные переходы, и, например, мне не особо понятно, что в таком случае делать с SEH/VEH исключениями, поэтому я сделал реализацию попроще, хоть и, наверное, медленнее оригинальной.
про тебя, про белоруского электрика, про unknown-a и квэйка-который-написан-на-Цэ)))) буду внукам рассказывать в перерывах между байками про алиена и цербера).
спс что ткнул носом) пойду перечитаю
а ту трушно-по-белоруске(оригинальную тобишь) - его гдето можно посмотреть?
я подозреваю что кол-во ваших прецедентов не особо и велико. я про прецеденты с самыми дорогим EDR - или редкими как деф для конечной точки. эт раз. а два не только ав\edr шлют сэмплы - splank\elastic\rapid7 могут дампать все мутные процессы и шлют гады на материнский корабль. Для сисмона тоже есть драйвер - оно тоже дампает и глядит кишки.
KasperWAF
Гость
Ну скан памяти ещё нужно затриггерить. Авер не будет сканить память просто так, это выдумка. Кстати говоря, мой софт имеет собственный морфер, мемдетекты уходят в ноль.
Да ничего там не тяжелее исполнять, зайди на модэксп, там куча прикольных методов инжекта, которые не палятся.
Нет смысла ничего анхучить, для таких вещей используются сисколлы.
Там какие-то были семплы, но я не в курсе, где их искать (может быть в дампе старого кряклаба), и там, наверняка, реализация только под x86, у спецов стойкая неприязнь к x64.
Ну, справедливости ради, у Касперского, например, есть так называемая "проверка важных областей", она в среднем раз в пару-тройку дней проходит на базовых настройках, если мне память не изменяет, и включает в себя скан памяти. Хотя сканируется память не всех системных процессов. Но в общем случае - да, скан памяти сейчас не является такой уж развитой технологией.
Что значит просто так? Я вижу в каждой третей сети скан памяти раз в час или раз 3-4 часа. Это все крупные сети с лесом от 1-2к пк. Он настроен там вручную админом или безопасником сок-а. Второе - мутные телодвижение исходящие из системных процессов и стригерят вышеупомиянутый скан - мы же не любоваться видами - код туда инжектим.
За каспера сказать не могу - тк не работаю там где им пользуются совсем, но уверен что у кортекса настройки куда жеще из коробки и у сентинеля тоже.
Это где такое? ( https://modexp.wordpress.com <<< оно? )
KasperWAF
Гость
Без понятия, что происходит в твоих сетях, но я с уверенностью могу сказать, что там не происходит скан памяти ВСЕХ процессов по интервалу. Это слишком ресурсозатратная операция, к тому же не нужная. Затригерить скан памяти нужно суметь ещё, набрать определённое количество баллов, "мутные телодвижения" понятие растяжимое, и если ты говоришь за корпоративные сети, то нужно учесть, что большинство софта затачивается конкретно под них и юзает тихие техники, которые уменьшают вероятность запала впринципе.
Да
Кстати, а причем скан памяти к инжекту? Ты его можешь затриггерить и из под своего процесса.
- Автор темы
- Добавить закладку
- #17
I have wrote some stuff specifically to bypass Kaspersky, Defender, ESET and a couple other AVs. The biggest issue has been with Kaspersky and ESET. ESET from my research works more off of a "blacklist" sort of acceptance. So for example if you build something in GO and then compile using Garble it will black list it automatically. This is public knowledge that has been around for ages. As far as Kaspersky the biggest issue has been the memory scanner. It is ran in the background and scans processes. I am not sure which processes it scans as I haven't really tested that out. My current project just does a RunPE method instead of any sort of injection. So for example I can put a known malware in my own process like Mimikatz and it will live until the memory scanner picks it up. My next project is going to be something similar to what I believe Indy was working with. It involves single stepping every execution of the program. I just need to do some testing to determine how slow it will be and what sort of edge cases I am going to run into.