Статьи Нагибаем Антивирус

Discussion in 'Статьи' started by Veil, 2 Oct 2017.

  1. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    [​IMG]

    Вышла месяц назад, так что довольно свежая, программа для ухода от некоторых антивирусов, путем цифровой подписи файла. Некоторые антивирусы обращают приоритетное внимание отдельным органам сертификации, не проверяя, действительно ли подпись действительна, и есть те, которые просто проверяют, что certTable заполняется некоторым значением.
    Поэтому была и выпущена это программа для подмены цифровой подписи на фальшивую.
    Ставится и пользоваться очень просто.
    Ставим:
    git clone https://github.com/secretsquirrel/SigThief

    Смотрим, что предлагает эта тулза.
    сd SigThief
    python sigthief.py --help

    [​IMG]


    Проверяем свой файл, если цифровая подпись?

    python sigthief.py -i /путь к файлу -с

    [​IMG]
    Видим,что подпись отсутствует.
    Качаем с фирменного сайта Майкрософта какую нибудь программу, я качнул программу Марка Руссиновича авторунз.
    И прикручиваем цифровую подпись старины Марка к нашему зловреду и сохраняем.

    $ python sigthief.py -i /путь к файлу старины Марка.exe -t / путь к нашему зловреду.exe -o /tmp/название нашего готового файла.exe


    [​IMG]

    Проверяем все ли на месте.

    [​IMG]

    Как видим все нормуль - подпись есть, некоторые антивирусы успокоились.
    Результат https://forum.antichat.ru/threads/skripty-cobalt-strike-3-chast-2.455547/#post-4133957

    Можно удалить свою цифровую подпись.

    python sigthief.py -i путь к файлу.exe -T

    А вообще в инструкции к программе имеются и другие функции.
    Читаем тут https://github.com/secretsquirrel/SigThief
     
    #1 Veil, 2 Oct 2017
    Last edited: 2 Oct 2017
    madik, De-visible, Jerri and 11 others like this.
  2. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    983
    Likes Received:
    1,162
    Reputations:
    61
    Гениально! Ёж ты как всегда лучше всех! Есть еще идея , сейчас в ЛС отпишу.
     
    Suicide likes this.
  3. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Во второй части , которую я хочу написать. Вы увидите как без особых знаний и только ручками, отключив мозги.
    Сделать из того же файла вот так:


    [​IMG]

    [​IMG]

    Новички узнают, что антивирь не спасает юзера даже от вас.
    Но запомните, все это в ознакомительных целях!
    Ознакомление с содержимым компьютера жертвы - не входит в цель этой и будущей статьи.
     
  4. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    351
    Likes Received:
    330
    Reputations:
    6
    Дык а ты реальную малварь подпиши, чё будет? Прокатит не?

    И авторан уже подписан реальной подписью Милкасофт. Ты удали подпись милкасофт и подпиши своей липовой и апосля, поделись резалтами эксперимента
     
    shell_c0de likes this.
  5. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Это реальная малварь - эксплоит Veil фраемворка.;)
    Или artkar ты считаешь, что эксплоит уже не малварь?

    А зачем? Не для того она туда ставилась. Ты видимо не читал статью.
    Подпись ставится для обхода НЕКОТОРЫХ антивирусов.
    И как показала проверка - некоторые не увидели.
     
    #5 Veil, 3 Oct 2017
    Last edited: 3 Oct 2017
  6. uzeerpc

    uzeerpc Active Member

    Joined:
    11 Jul 2017
    Messages:
    204
    Likes Received:
    247
    Reputations:
    4
    Прошу прощения, а какие? Ты про Доктора?
     
  7. ms13

    ms13 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    3,000
    Likes Received:
    15,692
    Reputations:
    116
    Ежи, я туплю или ты за Девтона забыл?
    Незачёт!
     
  8. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,069
    Likes Received:
    1,565
    Reputations:
    40
    Молодец. Хоть кто-то что-то пишет. Согласен с марой, гейфтона забыл, не зачёт . Гейфтон-пидр.
    Будет очень круто, если кто-то найдёт метод как сделать невидимым для АВ эксплоит майкрасофта док
     
    ms13 likes this.
  9. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Вечером домой приду и тисну еще одну статью со всеми скринами, какие антивири клюют на цифровую подпись и как и сколько.:)
    Статья будет про последний скрин, как получить такой результат имея один и тот же зловред.
    Просто некоторые люди, типа artkar, из за невнимательности или отсутствия знаний, путают кислое с длинным, цифровую подпись со стабом. Если бы он был чуть повнимательнее, то на свойстве файла на последнем скрине он бы заметил чем вирус упакован.
    Я как раз таким людям и разжую. Что как говорят в Одессе: Это есть две большие разницы костолом и костоправ.
    Новички и школьники, ждите вечернего выпуска статьи, про то как заставить большую часть антивирусов лососнуть тунца.
     
    madik and crlf like this.
  10. uzeerpc

    uzeerpc Active Member

    Joined:
    11 Jul 2017
    Messages:
    204
    Likes Received:
    247
    Reputations:
    4
    Я из этих, но не из тех, так что ждемс! ;)
    Кстати, ты тут про подписи, а уважаемый Ratiborus недавно на Борде доказал, что сжатие файла и даже его переименование влияет на детект :D
     
    #10 uzeerpc, 3 Oct 2017
    Last edited: 3 Oct 2017
  11. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    351
    Likes Received:
    330
    Reputations:
    6
    А тобишь ты какой то там вейл подделываешь, я то понял что про аторан трешь.

    Тобишь получается так: этот античат.ехе тестировался Доктром В. как малварь, а апаосля ты ему закинул подпись авторана и он перестал детектироваться?

    что должно быть странно учитывая протокол проверки подписи

    Ну если честно то эксплоит это не малварь, эксплоиты это хлеб ипсов там всяких, это скорее hacker tools
     
  12. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    351
    Likes Received:
    330
    Reputations:
    6
    ну на самом деле упаковщик это не проблема для антивируса, тем более от МС, АВ распаковывает все известные упаковщики и неизвестные тоже перед анализом.

    Я не понял замечания, поясни
     
  13. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Поясняю, что был сделан эксплоит на Veil. Он показывал 15\39, затем прикрутил ему цифровую подпись стал показывать 9\39, затем упаковал его и стало 1\39.
    После всей этой кутерьмы, эксплоит был рабочий - выдал сессию. Правда запустился он с показом на долю секунды командной строки.
    Врать не буду Veil с самого начала не палился моим доктор Вебом. Сегодня проведу эксперимент с палёным эксплоитом, проведу весь процесс и скину скрины.
     
    madik and shell_c0de like this.
  14. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    351
    Likes Received:
    330
    Reputations:
    6
    даввай эксперементируй с удовольствием почитаю. Тока учти многие сиволапые АВ чтобы не казаться клиетну совсем бесполезными также выкатывают детект всяким невинным прожкам, типо там кряки всякие, но правда они их относят там к категории как то там "нечестное ПО" и ко всему прочему добру к которому можно хоть как то доебатса
     
  15. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,055
    Likes Received:
    615
    Reputations:
    690
    то есть UAC и если с браузера то Smartscreen пропустят как я понял?
     
    _________________________
  16. GSLLL

    GSLLL New Member

    Joined:
    9 Dec 2015
    Messages:
    40
    Likes Received:
    2
    Reputations:
    0
    Подписать то получается (в свойствах добавляется вкладка "Цифров. подписи"), только вот в сведениях выдает, что подпись эта не действительна (делал по-мануалу). Почему?
    Снимок_2017_12_28_18_58_57_521.png
     
  17. cmvvo

    cmvvo New Member

    Joined:
    27 Jan 2018
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Касперского можно как то обхитрить?
     
  18. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,049
    Likes Received:
    3,420
    Reputations:
    72
    Конечно можно, новый Veil рулит.
     
  19. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    351
    Likes Received:
    330
    Reputations:
    6
    Veil не вводи в заблуждение.
     
  20. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    351
    Likes Received:
    330
    Reputations:
    6
    Потому что это называется не подписать, а приделать чужую подпись, которая для данного ПО недействительна и равносильна отсутствию.
    Под словом подписать, подразумевается, полностью воссоздать реальную подпись, а это криптографически невозможно.
    То что Veil там делал и часть АВ отваливалось, не совсем корректно
    Veil сам пишет
    , почему это происходит нужно разбираться, возможно у массовых сервисов нет выхода в инторнет и они не могут скачать публичные ключи и просто игнорят проверку, возможно тот сервис левый, по скрину не вирустотал, хотя и вирустотал работает в урезанной версии и реальные вирмейкеры проверяют реальным АВ у себя на компе.
     
Loading...