• XSS.stack #1 – первый литературный журнал от юзеров форума

Уникализация и живучесть крипта (обход АВ)

Отслеживать

secflag

RAID-массив
Пользователь
Регистрация
29.01.2020
Сообщения
51
Реакции
10
Всех приветствую.

Уже как полтора года занимаюсь целенаправленным обходом аверов, и часто сталкиваюсь с одной проблемой.
Есть два крипта:
1. Не имеет CRT-зависимостей, LoadPE обработка, динамический импорт по Hash, обход дефендера, хранение payload в коде, генерация WinAPI из разных библиотек.
2. CRT проект, в котором используется RunPE, payload (XOR in .data), отсутствие обфускации исходного кода, дефендер не орет.

Отличает их одно.
Первый крипт (почему-то) живет довольно мало, через сутки появляются первые детекты ESET и Avast.
Второй крипт живет минимум сутки, весит в районе 1МБ.

Что не так? Буду признателен в помощи.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ответ кроется в вопросе. Потому что
CRT
Некоторые крипторы ща даже иат не генерят фейковую, засовывают в цртшный стаб лоадпе, мажут пейлоад по секциям, трешгенят и готово
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Помимо того, что отказываться от CRT сейчас нет смысла: я бы обратил внимание на алгоритмы генерации мусорного кода. Сейчас, если мы говорим не о совсем всратых антивирусах, имеет смысл генерировать мусорный код максимально похожий на легитимный. В смысле, не просто рандомной математики напихать, а там корректный вызов API внутри opaque predicate, если где-то ранее открывал хендл, то где то в конце должен быть CloseHandle, и/или поработать со строками, которые статистически похожи на корректные строки английского языка (можно сгенерировать из большого списка слов, или можно использовать naive bayes в качестве генеративной модели) и так далее.
 
coder сказал(а):
Ответ кроется в вопросе. Потому что

Некоторые крипторы ща даже иат не генерят фейковую, засовывают в цртшный стаб лоадпе, мажут пейлоад по секциям, трешгенят и готово
А как же отстук? Насколько я слышал, CRT-зависимости ухудшают его.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
pointer сказал(а):
А как же отстук? Насколько я слышал, CRT-зависимости ухудшают его.
CRT никак не влияет на отстук
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
etw + amsi.
+ в зависимости от того какой файл у тебя под криптом и имена ****ий.​
Какое амси? Тут обсуждается натив, ты о чем?
 
coder сказал(а):
Какое амси? Тут обсуждается натив, ты о чем?
Уже как полтора года занимаюсь целенаправленным обходом аверов, и часто сталкиваюсь с одной проблемой.
И почему ты думаешь что это не причем? Посмотри какие юзают вызовы с ntdll и др, amsi как вариант для дефа и ещё чего то.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
И почему ты думаешь что это не причем?
AMSI тут не причем, как минимум потому, что тебе следует разобраться к чему именно AMSI причем, прежде чем возмущаться. Максимум к чему тут можно привязать AMSI - это загрузка дотнет сборок под дотнетом 4.8, хотя разговор вроде про LoadPE идет.
 
DildoFagins сказал(а):
AMSI тут не причем, как минимум потому, что тебе следует разобраться к чему именно AMSI причем, прежде чем возмущаться. Максимум к чему тут можно привязать AMSI - это загрузка дотнет сборок под дотнетом 4.8, хотя разговор вроде про LoadPE идет.
хз он написал что ещё есть runpe если я правильно понял.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Какое ранпе? Амси это механизм для дотнета последних версий и всякой дотнетовской херни типа пш, он ВООБЩЕ не применим к нативу.

Посмотри какие юзают вызовы с ntdll и др, amsi как вариант для дефа и ещё чего то
Где именно посмотреть? Ты вроде бы криптор, но даже не понимаешь что такое амси и как работает загрузка в память нативных файлов
 
coder сказал(а):
Какое ранпе? Амси это механизм для дотнета последних версий и всякой дотнетовской херни типа пш, он ВООБЩЕ не применим к нативу.


Где именно посмотреть? Ты вроде бы криптор, но даже не понимаешь что такое амси и как работает загрузка в память нативных файлов
Cortex EDR и другие. Если смотреть на их детекты то они смотрят вызовы через dll винды. Если ты такой настойчивый попробуй её обойти, amsi оно снесёт а etw патчи - нет и малварь запуститься.
 
DildoFagins сказал(а):
AMSI тут не причем, как минимум потому, что тебе следует разобраться к чему именно AMSI причем, прежде чем возмущаться. Максимум к чему тут можно привязать AMSI - это загрузка дотнет сборок под дотнетом 4.8, хотя разговор вроде про LoadPE идет.
я кста угарал думал я не прав. Прочитай про amsi пжлста и пойми что там явно не dotnet, особенно посмотри ScanBuffer и Init. Так же в ntdll посмотри InitializeResource и другие. Помоему ты ошибся или я. Если хочешь доказать свою правоту про dot net открой amsi.dll в ida.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DildoFagins тебе не кажется, что BlackGuard вернулся?)))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
я кста угарал думал я не прав. Прочитай про amsi пжлста и пойми что там явно не dotnet, особенно посмотри ScanBuffer и Init. Так же в ntdll посмотри InitializeResource и другие. Помоему ты ошибся или я. Если хочешь доказать свою правоту про dot net открой amsi.dll в ida.
Что мне конкретно посмотреть? Какой InitializeResource? Причем это к амси? Если я запущу нативный бинарник под кортексом, в него не загрузится amsi.dll, не?
 
coder сказал(а):
DildoFagins тебе не кажется, что BlackGuard вернулся?)))
Врядли, тот бы тебя уже раза 4 нах*й послал ))))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
я кста угарал думал я не прав. Прочитай про amsi пжлста и пойми что там явно не dotnet, особенно посмотри ScanBuffer и Init. Так же в ntdll посмотри InitializeResource и другие. Помоему ты ошибся или я. Если хочешь доказать свою правоту про dot net открой amsi.dll в ida.
Я даже не знаю, что ответить на эту глупость. AMSI стандартизованный интерфейс для отправки динамически загружаемых скриптов на проверку антивирусам. И все на этом. Он касается только JScript/VBScript и потенциально других реализаций IActiveScript, PowerShell и дотнет сборок, загружаемых фреймворком 4.8. Ты явно не понимаешь, что и как там работает, куда мне смотреть?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
coder сказал(а):
DildoFagins тебе не кажется, что BlackGuard вернулся?)))
Блекгуард давно уже вернулся, и сидел тут уже под пятым или шестым мультом. Но он последнее время спокойнее себя вел, я бы, может, его последнего мульта и не спалил бы, если бы он сам себя не спалил.
 
DildoFagins сказал(а):
Я даже не знаю, что ответить на эту глупость. AMSI стандартизованный интерфейс для отправки динамически загружаемых скриптов на проверку антивирусам. И все на этом. Он касается только JScript/VBScript и потенциально других реализаций IActiveScript, PowerShell и дотнет сборок, загружаемых фреймворком 4.8. Ты явно не понимаешь, что и как там работает, куда мне смотреть?
Ты покажи мне ткни что там онли эти типы файлов.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх