Ара, так что там? Соурцы пони https://github.com/nyx0/Pony
ждем )
ждем )
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Conti 3.7 (Слив от 2023-03-05 )
- Автор темы CoreTMP
- Дата начала
-
- Теги
- conti leak ransomeware
хз. по моему всегда проще писать с нуля. с нуля все легко и просто настоящие проблемы начинаются уже потом. и если какой то код
нужно переделывать то по хорошему его нужно вообще выкинуть и написать новое
А любые левые никто не морфит - то есть это по умолчанию всегда подготовленый бинарь делается, либо сразу пишешь соблюдая некотороые правила -
иначе там вся логика и переломается, либо от морфа не будет току потому что детект в рантайме
ну я такие вещи не рассматриваю, но спасибо, всеравно нужен драйвер чтоб поубивать эти EDR - для того чем я занимаюсь, потому я или процессы EDR остановлю на время либо же прочитаю данные из kernel мода опять же через дравер
А нормальный морф не должен сбивать детекты в рантайме?
должен - но если у тебя в сорце расписан дамп какаих то сикретов на винапи - то ты можешь сколько угодно добавлять
мусорного и мертвого кода и строки чем угодно шифровать - один х#й у тебя будет детект по этим вызовам апи
хешифровать апи под такими как софос и сентинел тоже тухлый номер
Да там детект идет не по импорту, а на основе перехватов- мониторятся вызовы апишек и их последовательности и параметры, единственное хорошее решение - это размазываение реальных вызовов апишек между фейковыми вызовами, что бы стереть подозрительные последовательности вызовов
проблема в том что драйвер нужно подписать, либо нужна уязвимость для выхода в RIng0, если ты работаешь по корпам софтом который здесь не приветствуюется, то проще сносить EDR через сейфбут
А что толку от чтения?
Тем что мне некуда не впились элитные бинарные морферы морфящие сорсы? Далеко не самое уебанское поведение тут.
Ты бы за своими нервами последил лучше, а то через ретузы обсывать всех подряд - мало чести.
Именно это собствено я имел ввиду. Хотя мб как то не особо ясно выразился.
далеко не всегда проще. Драйвер написать и подписать 30к примерно - но работает всегда - железобетон.
Brejnev всмысле что толку? какой толк от того что я прочитаю зашифрованые бд с сикретами хрома?
или что - смысл в том чтоб отпраить их на сервак свой и там дешнуть и получить все клиртекстом, другого смысла нет.
Одноразовый железобетон, после одной атаки придется покупать новую подпись. 30к в той сфере о которой мы говорим конечно копейки, но даже они на дороге не валяются.
Ты доебывался, хоть и без мата, но доебывался и язвил, или хочешь сказать что ты пушистый одуванчик и я просто так на тебя наехал ? Не смеши меня и народ.
Это уже мое дело кого и как обсыкать, если человек заслужил этого - он будет обоссан, не мной так кем-то другим, но это не тебя касается, а тех двух ебл#нов.
А между прочим изначально у нас с тобой была нормальная беседа, пока ты не присоединися к тем двум долбо#бам наверху в стиле "ну никто морфер не видел значит его нет" - логика железная, мозги твои я тоже не видел, значит их нет ?
Так его хвостатый, не дай погаснуть этой ватре на улицах города.
Слуашай а оно ведь похоже психически больно, я конечно не врач но то что оно несет и как, люди в здравом уме себя так не ведут. Пусть себе криптует свои бинари, ну его нах, спорить\ругатся с псих больным такое себе дело.
Торопишься с выводами. Если ты не видел не одноразовый железобетон не значит что его нет.
Нужно уже специальный термин вводить, что-то типа: болезнь "элитной элиты с их элитными приватами", но странно, что все "больные" в данном случае так похожи друг на друга.
Их кое что объеденяет, но ты про это Цыц =)
Ара слился ?)))
ну где морфинг пони, я жду! Пацаны ждут))
ну где морфинг пони, я жду! Пацаны ждут))
Так ручной крипт же, а строк там много =) А еще оно пошло попить, что бы если уж обоссаться то так что бы не стыдно потом было.
Как только подпись попадает в базы - она отзывается, и твой драйвер больше не может быт загружен в ядро. Как быстро подпись попадет а базы - вопрос скорости реагирования на проведенную атаку. Возможно успеешь накрыть даже 1-3 таргета при участии одного и того же драйвера и подписи, но все равно это не бесконечно. Даже если всячески скрываться, чистить следы, затирать на диске файл драйвера после отработки (или даже если есть буткит хранить его в виртуальной файловой системе на скрытых секторах) - через какое-то время он все равно попадет в руки реверсеров или ребятам из blue-team, а там и конец подписи.
Наверное ты меня не так понял, одноразовый - не в буквальном смысле, я имею ввиду что это ненадолго. Временно. А вот если у тебя есть приват LPE, который может жить в системах годами без фиксов - то это уже понадежней. Но и комбинировать это все никто не отменял)
это не так работает. что значит подпись? серт с уязвимого драйвер не слетает, а его детектят просто в статике при дропе на диск - и то после кучи инцедентов, хотя бывает если контора серьездная пострадала то могут и за раз пометить.
рано или позно он попадет. но это не недели а месяцы. 1-2 мес. если повезет то и больше
дело не в том что подписи конец, у уязвимого дравера не кто серт не отзовет, он так и будет грузится на хосте где нет ав. там просто хэш контрольной суммы будет у ав в блэке и его он сотрет при дропе на диск
все верно. но нам этого вполне хватает. почитай как пример про RTcore64.sys дырка от 2019 года, я его с января по август прошлого года юзал, хз по мне вполне норм
Когда серт отзывают, выходит новое обновление безопасности винды, и твой драйвер больше никуда не грузится на обновленных тачках, вот так это работает. Никогда не видел на вкладке свойств безопасности PE файла надпись "Сертификат был отозван поставщиком" ? Драйвер подписанный таким сертом больше не грузится в ядро, эта подпись становится бесполезной, все равно что ее нет.
Я тебе говорю не про чужой уязвимый драйвер, через который ты пробираешься в ядро, а про твой драйвер который ты написал, откомпилировал, отправил в MS, его проверили и подписали.
Чужой уязвимый драйвер это и есть уязвимость, которая может находиться в системе годами, особенно если он системный. Но это не твой собственный подписанный драйвер. Это просто уязвимость которую ты используешь.
А в чем раздница я не пойму? Что чужой что свой - если ты дропаешь драйвер и он киляет ав - это одно и тоже.
Поиск уязвимого драйвера и написание кода который эксплуатирует вулну - займет примерно те же 30к - примеров код тьма и сэмплов тоже.
Раздница только в том - как создается первое или второе.