Статьи Нагибаем Антивирус часть 2.

Обсуждение в разделе «Статьи», начал(-а) Veil, 3.10.2017.

  1. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 410
    Репутация:
    48
    После всех замечаний и просьб, выкладываю выводы своих экспериментов со скринами.
    Сразу напишу, что получилось не так как хотел.
    Ход мыслей , что бы антивирю труднее было обнаружить. Надо:
    1 Увеличить обьем, накидать мусора.
    2 Поставить подпись
    3 Упаковать зловреда.
    Подпись мы поставили старика Руссиновича, размер и так взлетел. Осталось только упаковать.
    Только в чем? И тут мелькнула мысль , а не обратиться ли мне к Биллу Гейцу? Не поможет ли он мне упаковать вирус с фирменным клеймом своего софта.
    И Билл помог.

    [​IMG]

    Это программа IExpress.
    Располагается она в c:\windows\system32/iexpress.exe, и поэтому ее можно вызывать без указания полного пути. У нее два основных назначения – создание относительно простых инсталляторов и самораспаковывающихся архивов (файлы с расширением exe).
    Еще и еще один плюс - у антивирусов нет аллергии на полученный исполняемый файл, так как стаб свой виндовский, то есть доморощенный.
    Прикинув все это к носу и потерев руки я занялся творчеством.

    [​IMG]

    Картинка не хочет прикреплятся смотрим тут http://lqdc.github.io/images/finfisher/ParallelWiltedAcouchi.gif

    Учитывая пожелания я долго и нудно искал эксплоит на Veil, который палится доктором Вебом.
    Поиски были тщетны, тогда на виртуалке поставил Авиру, которая единственная обнаружила все.
    Скрин как уже упакованный IExpress зловред прошел проверку.

    [​IMG]
    [​IMG]
    [​IMG]

    Пришлось скачать Макафи, который видел его с цифровой подписью,

    [​IMG]

    Но не видел после упаковки,

    [​IMG]

    ликуя от радости, запустил зловреда и...

    [​IMG]

    антивирь поймал его на лету при распаковке.
    Вот как-то так прошел мой опыт.
    Вывод. Стаб всё таки прикрывает вирус, но только до инсталляции.

    Но мне тут Kevin Shindel подкинул отличную идейку по скрытию зловреда, так что как только поюзаю, то обязательно напишу.;)
    Уныние это не про нас.
     
    #1 Veil, 3.10.2017
    В последний раз редактировалось модератором: 3.12.2017
  2. artkar

    artkar Active Member

    Регистрация:
    14.11.2016
    Сообщения:
    299
    Одобрения:
    254
    Репутация:
    2
    Наконец то вейл делом занялся, а не пощением всякой куйни.

    ПОчему малварьта не пакуешь?

    Если хочешь, можешь использовать тестовый вирус EICAR, он ничего не делает опасного, это лишь для теста АВ, все АВ на него алертуют.

    делается он так:
    в notepad - обычном блокноте пишешь таку строку X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* и сохраняешь с расширением .com или .ехе
     
  3. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 410
    Репутация:
    48
    У меня целый зоопарк зверьков есть. Которые убивают систему и безжалостно палятся антивирем еще со времен вазонеза.
    Дело не в том, есть еще пара методов сокрытия, но я пошел, как настоящий связист по наименьшему сопротивлению.
    Что же эксперимент есть эксперимент. Отрицательный ответ - тоже ответ. Соответственно, сделаны выводы, что сам стаб с вирусом не палится и буду продолжать с учетом коррекции курса. Сейчас попробую другой метод. Направление уже есть.
     
  4. uzeerpc

    uzeerpc Active Member

    Регистрация:
    11.07.2017
    Сообщения:
    149
    Одобрения:
    165
    Репутация:
    1
    Админы и Veil, может засунуть в одну тему? А то я твои подделки в избранное (отслеживаемые) кидаю, шоб там список не рос :rolleyes:
    Veil, скрины поправь, пока всё еще:mad: не починили баг
     
  5. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 410
    Репутация:
    48
    Баг по ходу никто и не будет трогать. Хотя позор на весь мир, ачат гремит своими хакерами, а такой позорный баг исправить не могут.
    А тему надо добить будет, что бы успокоиться. Хотя ход мыслей был правильный, стаб с подписью Билла Гейтца скрывает вирус. Не учел инсталяцию, но на ошибках учимся.:)
    Сейчас отъюзаю одну примочку и если все будет ОК запилю статейку. Там вроде бы должно получиться.
    Надо попросить Админов , что бы тему в одну перенесли.
    Сюи пожалуйста , если не трудно, перенеси тему и обьедени с первой.
     
    #5 Veil, 4.10.2017
    В последний раз редактировалось: 4.10.2017
    Это одобряют Triton_Mgn, Kevin Shindel и uzeerpc.
  6. \/IRUS

    \/IRUS Elder - Старейшина

    Регистрация:
    3.08.2012
    Сообщения:
    374
    Одобрения:
    446
    Репутация:
    37
    я знаю как это все говно под названием антивирусы обойти, но это блин приват, слить не могу =(
    скажу так: посмотри в сторону системных служб и инструментария системы по установке драйверов

    тебе нужно заставить системе загрузить твою службу/драйвер с правами 0 кольца через инструментарий установки драйверов
    это конечно чуток сложно если ты не шаришь в программировании
    но зато сто пудово обойдет все антивирусы ;)

    а код самого зловреда рекомендую загружать в зашифрованном виде с открытого ресурса типа Twitter, PasteBin, FB и т.д. сразу в подготовленный участок памяти и передавать на него управление с твоего драйвера/службы.

    P.S. еще неплохо реалтайм прям с памяти дешифровывать в процессе запуска зловредного кода, но это для продвинутых техник скрытия, когда нужно запускать всякое говно любого содержания, от пинча несжатого до установщика яндексбраузера например =)

    P.P.S. типо инициализируешь функцию дешифровки AES, задаешь ключ, потоковый буфер, на вывод насаживаешь вирталку х86 с таймингом выполнения и поочередно с неё все инструкции с дешифровоного кода выполняешь. Для антивируса это вообще неподъемность особенно если с правами ядра системы выполняется. Антивирус будет думать что инструкции для проца с другого измерения прилетают )))
     
    #6 \/IRUS, 4.10.2017
    В последний раз редактировалось: 4.10.2017
    Это одобряют palec2006, trolex и Veil.
  7. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 410
    Репутация:
    48
    Отличное направление. Надо будет на досуге вникнуть. Однозначно +.
     
  8. \/IRUS

    \/IRUS Elder - Старейшина

    Регистрация:
    3.08.2012
    Сообщения:
    374
    Одобрения:
    446
    Репутация:
    37
    Почему рекомендую именно в память загружать с открытого источника.
    Дело в том что антивирусы блочат домены с которых льют малварь автоматически. Если будешь лить со своего хоста - сразу блок при первом срабатывании на одном из клиентов. А сайты из белого списка не блочит, это обычно социальные службы на которых много контента разного содержания. Просто берешь бинарник, шифруешь его своим секретным ключом и кодируешь в BaseN любыми печатными символами и заливаешь в блоги, социалки или еще куда нить из белых списков =)
    А в память потому что антивирус туда уже не полезет просто так, если он сканит процесс то при старте либо в своей виртуалке стартует и наблюдает за ним пару сот миллисекунд либо прям в риалтайме следит непродолжительное время. Если процесс уже стартанул и проверился антивирем то его штормить в дальнейшем просто так не будет, только при подозрительной активности. Поэтому выделяешь память, качаешь зашифрованный зловред код в буферку, ждешь секунду, расшифровываешь в подготовленную память, передаешь управление, в такой последовательности. Это касается только юзермода, если от привилегий ядра то пофиг в принципе.
     
    #8 \/IRUS, 4.10.2017
    В последний раз редактировалось: 4.10.2017
  9. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    883
    Одобрения:
    1 004
    Репутация:
    49
    Портал для проверки мне кажется не полный. VirusTotal.com около 65 антивирей, правда он сливает инфу...
     
  10. artkar

    artkar Active Member

    Регистрация:
    14.11.2016
    Сообщения:
    299
    Одобрения:
    254
    Репутация:
    2
    Ну чё? Как у вас тут дела? Нагнули уже антивирус?
     
  11. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 410
    Репутация:
    48
    Гнем полным ходом, но нужно время.
     
  12. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 410
    Репутация:
    48
    Согласен, но палиться на вирустотале , что-то не хоцца.
    Сейчас проверил на другом сайте цифровая подпись дала 15\39 и 5\39.
    Все таки цифровая подпись дает результаты. Но главное у Veil-Framework пока отсасывают основные антивири юзеров: Каспер, Вэб, аваст.
    Вот только авира никак не поддается.
     
    #12 Veil, 4.10.2017
    В последний раз редактировалось: 4.10.2017
  13. BabaDook

    BabaDook Level 8

    Регистрация:
    9.05.2015
    Сообщения:
    710
    Одобрения:
    809
    Репутация:
    51
    Ну ты загнул, уровень ядра и дров руткиты. Кароч это оч сложно всё.
     
  14. Alangile

    Alangile New Member

    Регистрация:
    28.09.2017
    Сообщения:
    108
    Одобрения:
    2
    Репутация:
    0
    Этот Маккофе в свое время мне столько мусора наделал. Бесполезная программа.
     
  15. hitrec322

    hitrec322 New Member

    Регистрация:
    12.09.2017
    Сообщения:
    13
    Одобрения:
    1
    Репутация:
    0
    конечно, маккофе useless программа))
     
  16. Alangile

    Alangile New Member

    Регистрация:
    28.09.2017
    Сообщения:
    108
    Одобрения:
    2
    Репутация:
    0
    Поддался вам антивирус в неравной борьбе?
     
  17. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 410
    Репутация:
    48
    А куда он денется? Как два байта об асфальт.
     
Загрузка...
Similar Threads - Нагибаем Антивирус
  1. Veil
    Ответы:
    19
    Просмотры:
    3 622
  2. Veil
    Ответы:
    15
    Просмотры:
    3 495
  3. DooD
    Ответы:
    3
    Просмотры:
    8 307
  4. ReanimatoR
    Ответы:
    27
    Просмотры:
    15 284