Обфускация VB

k1ddddos · 25.07.2023

Всем привет! Подскажите пожалуйста как обфусцировать файл ворд с вредоносным макросом? Макрос написан на Visual Basic в ворде. Есть утилиты какие то? Мне просто нужно обойти виндовс дефендер

Alexey18 · 27.07.2023

если ты про макросы, но в ласт обновлениях врятле выйдет. Я тестировался на виртуалке. Могу сказать одно: детектило обычный MsgBox.

k1ddddos · 27.07.2023

Alexey18 сказал(а):

если ты про макросы, но в ласт обновлениях врятле выйдет. Я тестировался на виртуалке. Могу сказать одно: детектило обычный MsgBox.

емае, а обфускация тоже не поможет?

k1ddddos · 27.07.2023

Alexey18 сказал(а):

если ты про макросы, но в ласт обновлениях врятле выйдет. Я тестировался на виртуалке. Могу сказать одно: детектило обычный MsgBox.

Тогда буду делать exe

Quake3 · 27.07.2023

Alexey18 сказал(а):

Могу сказать одно: детектило обычный MsgBox.

Что, неужели все макросы детектятся?
Ну тогда подпись можно попробовать.

k1ddddos · 27.07.2023

Quake3 сказал(а):

Что, неужели все макросы детектятся?
Ну тогда подпись можно попробовать.

Да сам код детектится, а так для антивирусов это обычный файл щас ЭЦП + обфускацию буду пробовать

k1ddddos · 27.07.2023

Quake3 сказал(а):

Что, неужели все макросы детектятся?
Ну тогда подпись можно попробовать.

Можно пробросить через hex редактор и выяснить на что он ругается

ckat_soft · 27.07.2023

k1ddddos сказал(а):

Можно пробросить через hex редактор и выяснить на что он ругается

мелко мягкие могут просто макрос без подписи сделать потенциально опасным, им то пофиг по факту че потом делать простым смертным

Alexey18 · 27.07.2023

Создайте подпись свою и после через signtool подпишите эксешник. Как щас не знаю, но генки не вызывало год назад.

k1ddddos · 28.07.2023

Alexey18 сказал(а):

Создайте подпись свою и после через signtool подпишите эксешник. Как щас не знаю, но генки не вызывало год назад.

Подписал вызывает виндовс дефендер снова

Burnbrighter · 28.07.2023

Данный способ действенный? Макросы ведь отключены по умолчанию и в либре и в Майкрософт офис.

coree · 28.07.2023

Если я не ошибаюсь, с недавнего времени мелкомягкие очень щепетильно к макросам относятся. Можно попробовать конечно какими нибудь OV/EV сертами подписать (я чекал в паблике, точно видел один не загашенный серт). Да и вообще, я думаю что современный дефендер отловит даже обфусцированный VB-макрос

DildoFagins · 28.07.2023

https://github.com/Accenture/Codecepticon/tree/main - недавно смотрел презентацию с какой-то конфы ибэшной об этой штуке. Никаких рокет-саенсов там нет, все довольно тупенько, но, наверное, может чем-то помочь, или хотя бы влиться в тему обфускации скриптов.

diletant · 12.08.2023

меньше ascii текста и ищи свой метод инжекта. извини, но createobject("wscript.shell").run "cmd /c " уже не подойдёт))
щас хорошо ml срабатывает.
самый дельный совет в этом деле: купи книжку по винапи и почитай, как работает. А потом иди смотреть малварьбазар, чтобы спиздить логику обфускации))

k1ddddos · 13.08.2023

diletant сказал(а):

меньше ascii текста и ищи свой метод инжекта. извини, но createobject("wscript.shell").run "cmd /c " уже не подойдёт))
щас хорошо ml срабатывает.
самый дельный совет в этом деле: купи книжку по винапи и почитай, как работает. А потом иди смотреть малварьбазар, чтобы спиздить логику обфускации))

спасибо

Обфускация VB

k1ddddos

(L3) cache

Alexey18

(L3) cache

k1ddddos

(L3) cache

k1ddddos

(L3) cache

Quake3

TPU unit

k1ddddos

(L3) cache

k1ddddos

(L3) cache

ckat_soft

(L3) cache

Alexey18

(L3) cache

k1ddddos

(L3) cache

Burnbrighter

HDD-drive

coree

(L2) cache

DildoFagins

TPU unit

diletant

(L2) cache

k1ddddos

(L3) cache