Здравствуйте, я новичок в этой теме, и меня интересует, как все работает с криптором. Я просмотрел множество форумов, но там представлено устаревшая информация из бесплатного сегмента, а я не могу найти документацию о том, что именно может делать криптор, принцип его работы и как осуществляется чистка стаба. Мои знания в этой области пока не слишком хороши, и мне трудно понять всю сложность этого вопроса на основе поверхностной информации, которую я нашел в Гугле. Буду признателен, если вы поможете мне разобраться в этой теме.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как должен работать нормальный криптор? Какой у него должен быть функционал?
- Автор темы Twizzy
- Дата начала
А ты сейчас где? Ты сейчас просто на форуме, который спокойно себе индексируется, тебе тут пошаговый туториал по созданию вымогателя не дадут.
Документация по криптору?????
Вопрос по поводу функционала: Тут всё зависит от твоих ожиданий. Я думаю ты, как человек разумный должен понимать, что тебе нужно. Нужны деньги - нужно писать вымогатель и добавлять его в криптор итд
Как должен работать нормальный криптор: Что за вопрос? Нормальный криптор должен запускаться и криптовать. Это его функционал
first, learn some basic programming and learn OS specific APIs and start with small projects and become something big one day!
this thread is a pretty good resource to learn about cryptors imo
Гарантировать, что он обходит антивирус?
Это должна быть основная функция.
Это должна быть основная функция.
Выходной билд с криптера должен обходить антивирус, это его ключевая задача. Из нее вытекают как раз таки такие техники, как:
Анти-эмуляция - обход эмуляции в антивирусе. (если кратко, есть два вариант: задержка расшифровки с помощью связанного с основным кодом трешкода или ловля эмулятора на его дырах с помощью реверса антивируса(такое реализовано в p256)).
Анти-песочница - дабы детект тебе не навесили после первого же слива в облако антивируса.
Достойная обфускация и уникализация стаба.
Запуск полезной нагрузки в памяти, не детектимое антивирусами(из самого популярного - Manual Mapping).
Удачи)
Анти-эмуляция - обход эмуляции в антивирусе. (если кратко, есть два вариант: задержка расшифровки с помощью связанного с основным кодом трешкода или ловля эмулятора на его дырах с помощью реверса антивируса(такое реализовано в p256)).
Анти-песочница - дабы детект тебе не навесили после первого же слива в облако антивируса.
Достойная обфускация и уникализация стаба.
Запуск полезной нагрузки в памяти, не детектимое антивирусами(из самого популярного - Manual Mapping).
Удачи)
Целевая атака на корпоративную среду с EDR/XDR и soc коамндой и массовый пролив на обычных пользователях c WD требуют разных подходов.
C2 имплант и стилер тоже предполагают разные подходы.
Цель крипта это обход scantime и runtime детектов.
Перед запуском программы AV/EDR сканирует код программы на наличие известных сигнатур.
Любая популярная малварь имеет множество сигнатур.
Для их сокрытия крипторы хранят малварь в зашифрованном виде и расшифровывают в рантайме, после чего запускают.
Тут уже встает вопрос каким алгоритмом шифровать? Высоко-энтропийные алгоритмы вызывают подозрение, а низко-энтропийные алгоритмы раздувают файл.
Сам криптор(внешняя матрешка) со временем обрастает известными сигнатурами.
Чистка его от известных сигнатур и называется чисткой стаба.
Код можно мутировать, можно вручную находить конкретные сигнатуры, которые детектит AV/EDR.
Самая глупая ошибка это не шифровать строки.
Рантайм детекты это поведенческий анализ и сканирование памяти на наличие известных сигнатур.
Для обхода рантайм сканеров можно мутировать саму малварь(внутренню матрешку). Так мало кто делает.
В оптимизационных целях сканирование памяти иницииируется не прост так, а после подозрительного поведения.
Поведенческий анализ реализуется за счет Kernel коллбеков, ETW_TI и ntdll хуков.
Например упомянутый выше Manual Mapping в базовом варианте это весьма редкая для легитимных программ последовательность действий.
Аллокация исполнимой памяти. Запись туда малвари и создание потока.
После такой последовательности обязательно последует сканирование выделенной памяти.
Решения: обходить ntdll хуки. Использовать менее популярные методы исполнения для обхода ETW_TI. В Версиях Windows до 22h2 его можно было вырубить.
Спуф стека вызовов(особенно перед вызовом sleep).
Существует множество техник инжекта малвари в собственный или в удаленный процесс.
Еще одна проблема - песочницы. Они постоянно развиваются и нужно использовать продвинутые методы sandbox evasion.
Некоторые крипторы используют антидебаг для замедления ручного анализа. Есть смысл только если он обходит все поплуярные антидебаг плагины.
C2 имплант и стилер тоже предполагают разные подходы.
Цель крипта это обход scantime и runtime детектов.
Перед запуском программы AV/EDR сканирует код программы на наличие известных сигнатур.
Любая популярная малварь имеет множество сигнатур.
Для их сокрытия крипторы хранят малварь в зашифрованном виде и расшифровывают в рантайме, после чего запускают.
Тут уже встает вопрос каким алгоритмом шифровать? Высоко-энтропийные алгоритмы вызывают подозрение, а низко-энтропийные алгоритмы раздувают файл.
Сам криптор(внешняя матрешка) со временем обрастает известными сигнатурами.
Чистка его от известных сигнатур и называется чисткой стаба.
Код можно мутировать, можно вручную находить конкретные сигнатуры, которые детектит AV/EDR.
Самая глупая ошибка это не шифровать строки.
Рантайм детекты это поведенческий анализ и сканирование памяти на наличие известных сигнатур.
Для обхода рантайм сканеров можно мутировать саму малварь(внутренню матрешку). Так мало кто делает.
В оптимизационных целях сканирование памяти иницииируется не прост так, а после подозрительного поведения.
Поведенческий анализ реализуется за счет Kernel коллбеков, ETW_TI и ntdll хуков.
Например упомянутый выше Manual Mapping в базовом варианте это весьма редкая для легитимных программ последовательность действий.
Аллокация исполнимой памяти. Запись туда малвари и создание потока.
После такой последовательности обязательно последует сканирование выделенной памяти.
Решения: обходить ntdll хуки. Использовать менее популярные методы исполнения для обхода ETW_TI. В Версиях Windows до 22h2 его можно было вырубить.
Спуф стека вызовов(особенно перед вызовом sleep).
Существует множество техник инжекта малвари в собственный или в удаленный процесс.
Еще одна проблема - песочницы. Они постоянно развиваются и нужно использовать продвинутые методы sandbox evasion.
Некоторые крипторы используют антидебаг для замедления ручного анализа. Есть смысл только если он обходит все поплуярные антидебаг плагины.
del
Последнее редактирование:
Они именно этим и занимаются. Реверсят, пишут детекты и отчеты.Щас бы аверам ручным анализом крипты снимать