• XSS.stack #1 – первый литературный журнал от юзеров форума

Техническое обсуждение стиллера LummaC2

Отслеживать
Apocalypse

Apocalypse

CPU register
Пользователь
Регистрация
28.06.2011
Сообщения
1 303
Реакции
1 434
Интересно, второй день продаж, а отстук уже упал. А "король-то" голый!

только ручные вызовы syscall'ов

Это ровным счётом ничего не меняет, т.к в систему попадает неизвестный новый файл и ловит банальный смартскрин или ещё какой-нибудь алерт от облака дефендера. А уж когда его задрочат после пару недель "ажиотажа", там поминай как звали.

Весь код на 100% уникален

Сильно сомневаюсь. Ты буквально месяц назад спрашивал про сиськолы и прочие низкоуровневые прикалдесы. Вряд ли бы ты осилил 100% уникальность. Без негатива.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Apocalypse сказал(а):
Интересно, второй день продаж, а отстук уже упал. А "король-то" голый!
Так я за первый день продаж "тестов" продал сколько что оно и не мудрено что отстук упал, пролито думаю порядочно логов, а билд кстати от 15 числа, на который я лично пролил 15к инсталлов. При чем тут притча "голый король" я вообще не понял)
Apocalypse сказал(а):
Сильно сомневаюсь. Ты буквально месяц назад спрашивал про сиськолы и прочие низкоуровневые прикалдесы. Вряд ли бы ты осилил 100% уникальность.
Ну, не месяц, а два уже прошло, время летит, за два месяца я думаю я сделал достаточно большой шаг вперед, научился читать и решать вопросы на которых нет ответа в гугле. Если внимательно те вопросы еще раз почитаешь(слева направо, а не по диагонали), сможешь сам лично скорее всего увидеть как я шел к ответу, без копирки, что еще раз говорит про уникальность. Да и по-моему кода который способен через хивенс гейт вызывать сисколлы и на ARM между прочим в том числе ты вряд-ли где то найдешь

Между прочим, один из модераторов делает обзор на продукт, и я думаю он нам скажет про уникальность в ближайшее время ;)
 
Сисколлы в публичной малвари, до чего мы дошли. Надеюсь лавочку EDR не прикроют.
А так, искренне желаю автору удачи и все же советую уходить в приват, как появиться возможность. Иначе не долго зверь будет жить.
 
VermillionCr0ss сказал(а):
Надеюсь лавочку EDR не прикроют.
Лавочки открывают и закрывают, это бесконечный круговорот без конца
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Quake3 сказал(а):
Из интересного - софт проверяет разрядность ОС, и, зависимо от результата некоторые функции вызывает через сискол. Всего есть три варианта - если 32 бит ОС и софт, то идет обычный sysenter. Если же ОС 64 бит, то либо call TEB->WOW32Reserved (шлюз), либо heaven's gate. Реализация HG не копипаст, ну по крайней мере я такого шеллкода не видел в паблике. В каждом браузере также перебираются расширения для крипты.
Для чего это было сделано? Сисколы ведь никакой роли не играют в обходах ав, ав же хукают не winapi, а nativeapi. И HG зачем??
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Exfazo сказал(а):
Для чего это было сделано? Сисколы ведь никакой роли не играют в обходах ав, ав же хукают не winapi, а nativeapi. И HG зачем??
NativeAPI это ntdll, если я правильно понимаю. Они хукаются, ты прав. Сисколлы выполняют функции в обход хуков, то есть это не тупо вызов функции Nt*
 
Exfazo сказал(а):
Сисколы ведь никакой роли не играют в обходах ав, ав же хукают не winapi, а nativeapi. И HG зачем??
Разберись в теме сначала, сисколы делают вызов напрямую в ядро, в обход и WinAPI и NtApi, и соответственно в обход всех хуков.
Поэтому как раз таки именно это и нужно для обхода эвристики ав и поведенческого анализа.
А хевик нужен для того что бы на системе WOW64 вызвать сискол точно так же в обход всех хуков.
 
в обход всех хуков.
АВ хукают сисколлы в SSDT или еще ниже в ядре. Так что использование сисколлов ничего не дает. Меня всегда мучил вопрос - зачем? Зачем Native API (кроме не имеющих аналогов в User API), зачем сисколлы, что это дает? Кроме потенциальной платформозависимости.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
AMD64 сказал(а):
АВ хукают сисколлы в SSDT или еще ниже в ядре
Уже давно в ядре работает PatchGuard, который уронит систему в BSOD, если пропатчить SSDT. Поэтому аверам куда удобнее ставить хуки в юзермоде, это не отменяет какие-то ядерные компоненты авера или вообще на уровне гипервизора, но в общем случае сисколлы довольно эффективны против юзермод хуков.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Я не большой фанат хентая, но все же:

Lumma Stealer Analysis

Hi, for this weekends analysis I decided to analyze the infamous Lumma Stealer malware. This analysis was quite fun and a little challenging and times but I think I did a half decent job of getting…
cyber-forensics.blog
 
DildoFagins сказал(а):
Я не большой фанат хентая, но все же:

Lumma Stealer Analysis

Hi, for this weekends analysis I decided to analyze the infamous Lumma Stealer malware. This analysis was quite fun and a little challenging and times but I think I did a half decent job of getting…
cyber-forensics.blog
Как же я рофлю с этих "анализов", в которых 95% статьи - разбор криптора, который вероятнее всего не имеет конкретного отношения к самому стилеру.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх