[0day] AV-Kill

[Rashidtx]

Продажа всего проекта в одни руки
В комплекте: исходники импланта с мерами защиты от попадания к аверам, подписанный драйвер
Функционал: убиваются процессы, предпринимается попытка(из ядра) удалить файлы ав с диска
Протестировано: Kaspersky, Bitdefender Total, Sophos, Avast Pro, Malwarebytes
Windows 7 - 11 32/64
Требуемые привилегии: Local Admin
Работает через PsExec, для массовой нейтрализации защитных решений в локальной сети
Возможны дополнительные тесты, при условии предоставления оффлайн установщика
Все настройки в header файле
На выходе: FUD executable
Живучесть способа зависит только от вас, билды в боевых условиях не применялись
Цена: $60k, торг уместен
Первый контакт ПМ
только гарант

 

[Topstrelok]

Без претензий, но за что 60К$? Это случайно не драйвер с ав Zemana или

)

GitHub - ZeroMemoryEx/Blackout: kill anti-malware protected processes ( BYOVD )

kill anti-malware protected processes ( BYOVD ) . Contribute to ZeroMemoryEx/Blackout development by creating an account on GitHub.

github.com

GitHub - ZeroMemoryEx/Terminator: Reproducing Spyboy technique to terminate all EDR/XDR/AVs processes

Reproducing Spyboy technique to terminate all EDR/XDR/AVs processes - ZeroMemoryEx/Terminator

github.com

 

[koeir]

Как только ваш цифровой сертификат драйвера ядра будет отозван, он не будет стоить ни гроша, так что имейте это в виду, прежде чем покупать что-то подобное.

 

[Rashidtx]

Без претензий, но за что 60К$? Это случайно не драйвер с ав Zemana или Скрытое содержимое)

GitHub - ZeroMemoryEx/Blackout: kill anti-malware protected processes ( BYOVD )

kill anti-malware protected processes ( BYOVD ) . Contribute to ZeroMemoryEx/Blackout development by creating an account on GitHub.

github.com

GitHub - ZeroMemoryEx/Terminator: Reproducing Spyboy technique to terminate all EDR/XDR/AVs processes

Reproducing Spyboy technique to terminate all EDR/XDR/AVs processes - ZeroMemoryEx/Terminator

github.com

То, что вы указали выше, не имеет никакого отношения к товару.
Про ценообразование, посмотрите сколько стоят билды в соседних тредах.
Имеются >4 уязвимых драйверов(в том числе для поддержки разных битностей), которые были найдены мной
покупатель получает исходники и гарантии, что после покупки права на использование останутся только у него.
Ни один из этих драйверов, ни имплант, ни (предположительно) методы не были засвечены ни разу.

Как только ваш цифровой сертификат драйвера ядра будет отозван, он не будет стоить ни гроша, так что имейте это в виду, прежде чем покупать что-то подобное.

Про "как только", это относится к любому 0day,
По теме: сертификат рано или поздно отзовут, но на сколько скоро это случится зависит в первую очередь от пентестера. Так же отзыв сертификата != неработоспособность метода, функционал из уязвимого драйвера переносим в собственный.

 

[secidiot]

Как только ваш цифровой сертификат драйвера ядра будет отозван, он не будет стоить ни гроша, так что имейте это в виду, прежде чем покупать что-то подобное.

Не отзовут, вот тебе полупаблик уязвимый драйвер (пару раз попадал в поле зрения ресечеров) и без единого детекта с 2020 года, как пользовались им так и пользуемся.
Elastic, crowd strike чисто, хотя они лепят детект на все лолдрайверы по хешу (хеш нельзя изменить а то слетит подпись)

 

[Rashidtx]

Понижение цены до $45k, торг по-прежнему уместен.
только гарант

 

[Rashidtx]

Выдаю видеодемонстрацию в личных сообщениях, по запросу.

 

[varwar]

вот тебе полупаблик уязвимый драйвер (пару раз попадал в поле зрения ресечеров) и без единого детекта с 2020 года, как пользовались им так и пользуемся.

Не DELLовский dbutil_2_3.sys случайно?

 

[Marti71]

Не отзовут, вот тебе полупаблик уязвимый драйвер (пару раз попадал в поле зрения ресечеров) и без единого детекта с 2020 года, как пользовались им так и пользуемся.
Elastic, crowd strike чисто, хотя они лепят детект на все лолдрайверы по хешу (хеш нельзя изменить а то слетит подпись)
Посмотреть вложение 66949

а что за драйвер если не секрет? давно ищу решение под софос

 

[Rashidtx]

Не DELLовский dbutil_2_3.sys случайно?

Нет
UPD: вопрос был адресован, не мне

 

[secidiot]

Не DELLовский dbutil_2_3.sys случайно?

Нет, вот этот:

А на DBUtil_2_3.Sys детект у Elastic`a: Windows.VulnDriver.DBUtil
(0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5)

Не отзовут, вот тебе полупаблик уязвимый драйвер (пару раз попадал в поле зрения ресечеров) и без единого детекта с 2020 года, как пользовались им так и пользуемся.

UPD: Могут отозвать только если им будут пользоваться поголовно школьники, как это было с драйвером аваста aswArPot.sys

а что за драйвер если не секрет? давно ищу решение под софос

Та под Софос легко найти решение, у всех проблемы в основном с эластиком и кровд страйк, они просто лепят статик детект на все лолдрайверы (яузвимые драйверы). А так есть команды которые пишут свои драйверы, там уже все в сборе и попытается удалить файл с диска, завершитиь процесс, защитить процесс и прочее, даже на гитхабе видел где то код под уязвимый драйвер, придумывают истории что б получить подпись под драйвер от майкрософта, как делали аффилиаты БлэкКэт (тот что на раст написан шкафчик) и по деньгам до 5к$ где то вышло. Но он не долго прожил и за того что пошел по рукам, работали б в своем узком круге, грамотно чистили б логи то жил бы он как минимум год а не месяц) Есть знакомые которые сделали свой драйвер и работает он с конца 2021, код надо защищать и мыслить не стандартно, все можно обойти просто надо подрубить смекалку)

 

[Rashidtx]

В связи с вопросами в ПМ, драйверов нет в паблике, я гарантирую, что их нет на git, lolbins и где-либо еще.
Цена $45k, торг по-прежнему уместен.
только гарант

 

[Rashidtx]

В связи с вопросами в ПМ, драйверов нет в паблике, я гарантирую, что их нет на git, lolbins и где-либо еще.
Цена $45k, торг по-прежнему уместен.
только гарант

Понятно, если есть возможность в PM подсветить драйвер хотя бы для sophos и прочих, но даже после сноса они мешают работае-хз почему. Спасибо!

Попрошу вас более не засорять мой коммерческий тред, просьбами о предоставлении подсказок.

 

[Rashidtx]

Провел тесты на Sentinel One, все отрабатывает.
Видеодемонстрация нейтрализации Sentinel One, Bitdefender Total в ПМ по запросу
Цена $45k, торг по-прежнему уместен.
только гарант

 

[r1z]

project sold, i hope the driver's are worthy and seller will not resold them without my permission.

 

[Rashidtx]

Покупатель выше, настолько заинтересован в товаре, что не готов дождаться окончания сделки в гаранте.
На всякий случай повторюсь, что уязвимые драйверы проданные одному покупателю, более не перепродаются мной, а также не используются никем кроме него самого.

 

[r1z]

The buyer above is so interested in the product that he is not ready to wait for the transaction to be completed by the guarantor.

Money paid to escrow already.

 

[ice80]

Могут отозвать только если им будут пользоваться поголовно школьники

отзовут сходу, как только этим драйвером ебнут корпу в 100-300кк+, в юсе, приедет мусор-форензик и будет чательно искать эти дрова
тк с него спросят кого хуя не нашел и он найдет 100%
и через пару суток самое больше пизда серту

Провел тесты на Sentinel One, все отрабатывает.

 

[Rashidtx]

отзовут сходу, как только этим драйвером ебнут корпу в 100-300кк+, в юсе, приедет мусор-форензик и будет чательно искать эти дрова
тк с него спросят кого хуя не нашел и он найдет 100%
и через пару суток самое больше пизда серту

Принят ряд мер, чтобы противодействовать форензике.

 

[Stupor]

Хм, а чего так дорого? Есть же виндовые встроенные дрова, которых серт у ж точно не отзовут...
Да и если сделать микс из некоторых нужных дров винды + юзермод... ну не за 60к