Разработка малвари. Уроки

Малварь как искусство Фреймворк для тестирования антивирусов

  • 4 164
  • 12
1701614939222.png


Всем привет!

Изначально какой-то такой проект хотел выложить на конкурс проектов xss.is.

Но потом подумал, что все ожидают что-то, что можно использовать в комерсе, а тут просто исследование, но тем не менее может-быть интересно всем.)

Итак, основная цель любого вредоносного кода, это скрытие своих действий что-бы избежать детект.

Давайте подумаем что вирусописатель может сейчас сделать в ограниченной среде (Usermode), не будем брать в расчет эксплуатацию уязвимостей и возможность запуска например своих вредоносных драйверов, руткитов и т.д.

Мы в юзермоде и вырваться не можем от туда, в данной статье рассматривается такая среда.

Итак что мы можем сделать в своём зверьке ?


1)Скрытие от статического анализа:

Ну тут самое первое что можно сделать, скрыть все возможно подозрительные API винды, который использует зверёк.
Как варианты, это отключение CRT, хеширование функций и вызов их по хешу, хеширование...

[Книга] Введение в разработку вредоносных программ

  • 3 005
  • 4
1697051652223.png


Причина создания этой книги статей по разработки скрытия вредоносных программ от средств защиты.

Я достаточно долго вёл форум ru-sfera.pw (ru-sfera.org), но в 2021 году решил его удалить, в силу понятных мне причин.

Но в конце 2022 года решил возобновить работу форума, потом я понял что на форуме есть достаточно много информации по созданию и скрытию вредоносных программ.

Я задумался, что не плохо-бы создать разделы с актуальным материалом и случайно обнаружил что есть курс maldev.

Посмотрев этот курс: Малварь как искусство - Курс по MalDev [PDF]

Который стоит кстати около 300 баксов, понял что 80% описанного там есть на форуме.)

Да может что-то устарело и что-то тяжело найти, но в целом информация видимо актуальная.

И я решил позаимствовать от туда темы, где-то сделать обзорный перевод, что-то добавить от себя.

В итоге появился раздел...

ВАЖНО Введение в разработку вредоносных программ (Оглавление)

  • 4 353
  • 2
В этой теме список статей по разработки малвари.

Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.








[URL...

Вирусняк, который не работает

  • 346
  • 1
1724422360121.png


Я тут создал тему:На заметку - Разработка настоящего вируса в 2024 году

Где мне стало интересно собрать виря и глянуть как он работает.

Если вкратце, он должен-был заражать исполняемые файлики и при запуске зараженных файлов, должна-была качаться программа, при запуске которой, отображается овечка...)

Вот сссылка (Это от куда должна-была качаться наша овечка):

Код:
https://amethyst.systems/sheep.dat

Но вот незадача, вирус нихрена не работает, даже овечка не отображается... Dmeh-Smeh-Smeh!!!

UPD:
ЗАРАБОТАЛО...... Dmeh-Smeh-Smeh!!! Dmeh-Smeh-Smeh!!! Dmeh-Smeh-Smeh!!!

1724424725110.png


Просто заражает файлы в C:\Users\USER\AppData

КРУТЯК!!!!!

Сам зараженный файлик и реакция VT в посте 2 этой темы.)))
...

Уроки Обход Windows Defender (10 способов)

  • 509
  • 1
1724256404260.png


Перевод:

Введение

В этой статье я объясню 10 способов/техник обхода полностью обновлённой системы Windows с Windows Defender.

Отметим, что я не буду углубляться в многие концепции и в основном буду предполагать базовые знания. Кроме того, я не выбирал чрезмерно сложные техники, например, прямые системные вызовы или аппаратные точки останова, так как это излишне для антивирусов, и их лучше объяснять в отдельной статье, ориентированной на EDR.

1)Патчинг AMSI/ETW в памяти

Первый метод, который я хочу объяснить, является также и тем, который я лично использую чаще всего, так как он очень удобен и быстр в исполнении.

AMSI, или AntiMalware Scan Interface, — это независимый от производителя механизм безопасности Windows, который сканирует PowerShell, wscript, cscript, макросы Office и отправляет информацию...

На заметку Разработка настоящего вируса в 2024 году

  • 524
  • 2
1724234494893.png


Перевод:

--[ Содержание
  1. Введение
  2. Планирование вируса
  3. Проектирование вируса
  4. Создание вируса
  5. Решение проблем при разработке 5.1. Исходный дизайн неудачен 5.2. Антивирус ловит вирус
  6. Заключение
  7. Приветствия
  8. Ссылки
  9. Артефакты
--[ 1. Введение

Нет ничего более захватывающего, чем успешная полезная нагрузка.

Легко забыть, занимаясь нашими тёмными искусствами — от написания вирусов до эксплуатации — что во всём, что мы делаем, мы создаём программное обеспечение.
И оно становится сложным. Конечно, для shell-кода это всего лишь однострочная команда с NASM для создания бинарного блоба.
Это совсем несложно. Но ведь shell-код куда-то встраивается, верно? Язык Cи не позволит вам просто объединить бинарные блобы в ваш код. (По крайней мере, до выхода стандарта C23.)

И не всегда так просто, как кажется, просто...

Малварь как искусство LayeredSyscall - Обход EDR при помощи аппаратных точек останова

  • 566
  • 0
Это исследование и инструмент предназначены для того, чтобы по-новому взглянуть на использование косвенных системных вызовов или других методов, таких как обфускация, которые требуют легитимного стека для работы без обнаружения.

Конструирование стека в программе может быть сложным и привести к повреждению, если не делать это осторожно. Этот инструмент позволяет операционной системе генерировать необходимый стек вызовов без особых проблем, при этом потенциально можно использовать любой API Windows. Однако это не означает, что метод обхода будет работать для каждого EDR, так как требуется более тщательное тестирование с различными EDR и методами обнаружения.

Ссылка на инструмент



Далее описание самого исследования.

Если спросить любого исследователя в области наступательной безопасности, как можно обойти системы обнаружения и реагирования на инциденты (EDR), можно получить...

Информация Архитектура Microsoft Defender Antivirus

  • 814
  • 1
Перевод:

Microsoft Defender — это решение для обеспечения безопасности конечных точек, предустановленное на каждом компьютере с Windows начиная с Windows 7.
Это довольно сложное программное обеспечение, охватывающее как EDR, так и EPP сценарии использования.

В этом контексте Microsoft предлагает два различных продукта:

Microsoft Defender для конечных точек — это облачное решение для безопасности конечных точек, которое сочетает возможности детектов с преимуществами обработки в облаке.
С другой стороны, Microsoft Defender Antivirus (MDA) — это современное EPP (Платформа защиты конечных точек)., включенное по умолчанию на любой новой установке Windows.
MDA является объектом данного анализа.

1720524644016.png

Рисунок 1.

Продукт MDA состоит из модулей, работающих как в режиме ядра, так и в пользовательском режиме...

Малварь как искусство MutationGate - Новый подход работы с сисколами

  • 938
  • 0
1716538434687.png


Перевод:

Мотивация​

Учитывая, что встроенные хуки являются основным методом обнаружения, используемым продуктами EDR, обход их является для меня интересной темой.

Что касается обхода встроенных хуков, установленных EDR, уже существует довольно много доступных подходов. Хотя некоторые из ранних подходов очень легко обнаруживаются, существуют и несколько зрелых подходов.
Тем не менее, я считаю, что было бы очень интересно найти новый подход к обходу хуков, надеюсь, это принесет некоторые улучшения или преимущества.

Встроенный хук​

Продукты EDR (Endpoint Detection and Response) часто размещают встроенные хуки на NTAPI, которые обычно используются в вредоносном ПО, таких как NtAllocateVirtualMemory, NtUnmapViewOfSection, NtWriteVirtualMemory и других. Это связано с тем, что NTAPI является мостом...

Малварь как искусство MemoryModule - Загрузка DLL из ОЗУ

  • 676
  • 2
1715586834252.png


Всем привет!

Когда-то давно писал свой загрузчик DLL, но сейчас на гитхабе наткнулся на более взрослый загрузчик:

Для чего это может-быть нужно:

Стандартные функции Windows API для загрузки внешних библиотек в программу (LoadLibrary, LoadLibraryEx) работают только с файлами на файловой системе. Поэтому невозможно загрузить DLL прямо из памяти.

Но иногда нужно загрузить dll из памяти, вот зачем:

1. Например есть у вас какая-то модульная архитектура, к примеру какой-то ботнет с различным функционалом, вот поставляться-же сам ботнет может просто загрузчиком, а в зависимости от задания на управляющим сервере, качать нужную зашифрованную DLL и запускать её в памяти.

2. Таким образом можно делать криптования длл.

Вот как пользоваться кодом выше, вот...

На заметку Mangle - Тулза для обхода антивирусов

  • 2 180
  • 0
1708702621492.png


Mangle - это инструмент, который манипулирует аспектами скомпилированных исполняемых файлов (.exe или DLL). Mangle может удалять известные строки, свидетельствующие о компрометации (IoC), и заменять их случайными символами, изменять файл, увеличивая его размер, чтобы избежать обнаружения EDR, а также может клонировать сертификаты кодирования подписи из подлинных файлов.

Таким образом, Mangle помогает обходить антивирусные сканеры на диске и в памяти.

Код:
./mangle -h

       _____                        .__
      /     \ _____    ____    ____ |  |   ____
     /  \ /  \\__  \  /    \  / ___\|  | _/ __ \
    /    Y    \/ __ \|   |  \/ /_/  >  |_\  ___/
    \____|__  (____  /___|  /\___  /|____/\___  >
        \/     \/     \//_____/         \/
                    (@Tyl0us)

Использование ./Mangle:
  -C string
        Путь к файлу, содержащему сертификат, который вы хотите клонировать
  -I string
        Путь к...

Малварь как искусство Опять обходим антивирусы и EDR

  • 1 232
  • 0
1707738979550.png


В качестве продолжения этих статей:



Оригинал:

Для нашей ежегодной внутренней хакерской конференции, которую мы назвали SenseCon в 2023 году, я решил изучить взаимодействие между драйвером Windows и его процессом в пользовательском режиме.

Вот некоторые подробности об этом путешествии:

Атакующие могут использовать примитив эксплойта чтения/записи ядра Windows, чтобы избежать взаимодействия между EDR_Driver.sys и его EDR_process.exe. В результате некоторые механизмы обнаружения EDR будут отключены, что сделает его...

Малварь как искусство Уклоняемся от поведенческого детекта антивируса и EDR

  • 1 204
  • 0
1707574181719.png


Всем привет!

В этой статье была рассмотрена как архитектурно может работать EDR:Малварь как искусство - Архитектура антивирусов и EDR - систем
Рекомендую прочитать вначале статью выше.

В продолжение давайте поисследуем как можно обойти детект связанный с поведением на конкретном устройстве:

Вообще тут существуют два варианта обхода:

1)Использовать антихуки в своём приложении, этот метод относительно простой и описан уже здесь:Уроки - Разработка вирусов-32.Открываем врата ада
Или вот ещё проект:Малварь как искусство - Фреймворк для тестирования антивирусов

Но данный метод не позволяет 100% обойти защиту, т.к. многие AV используют коллбэки и...

Малварь как искусство Архитектура антивирусов и EDR - систем

  • 1 626
  • 6
1706874098041.png


Перевод статьи:

Кратко: Я хотел лучше понять EDR (Endpoint Detection and Response), поэтому создал (dummy EDR) и расскажу об этом здесь.

EDR (Endpoint Detection and Response)
- это вид продукта безопасности, который направлен на обнаружение аномальной активности на компьютере или сервере.
Ища ресурсы по работе EDR, я понял, что даже если существует много литературы о EDR, нет многих статей, объясняющих архитектуру EDR и как оркестрируются различные компоненты EDR. Эта статья призвана развенчать мифы о том, как работают EDR, создавая настраиваемый вариант, внедряющий несколько техник, используемых в реальных EDR.

Глава 1. История вирусов


Сначала мы рассмотрим историю...

Уроки Обход AMSI при помощи хардварных точек останова

  • 1 405
  • 0
1698588606962.png


AMSI (Antimalware Scan Interface) — это интерфейс, предоставляемый Microsoft, который позволяет приложениям и службам отправлять данные на сканирование антивирусными решениями, установленными на системе. С AMSI разработчики могут лучше интегрироваться с антивирусными решениями и обеспечивать более высокий уровень безопасности для своих пользователей.

Обход AMSI с использованием хардверных брейкпоинтов:

Хардверные точки останова — это механизм, который позволяет отладчикам "останавливать" выполнение программы при обращении к определенной области памяти. Это может быть полезно при исследовании, как программа или система взаимодействует с конкретными данными.

В этой статье давайте попробуем перехватить функцию AmsiScanBuffer и изменить в обработчике исключения входные данные в эту функцию, тем самым в антивирусные системы будут попадать не вредоносный код для сканирования, а мусор.)...

На заметку Про детект в памяти. Ничего не поделаешь и это неизбежно)

  • 1 121
  • 3
Всем привет!

Хотел ещё добавить:

Вот в этой теме:Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла

Был поднят вопрос детекта памяти, да можно использовать такие штуки:Уроки - Разработка вирусов-32.Открываем врата ада

Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.

Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.

Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:

На вход подаётся бинарный код, на выходе по...

Уроки Разработка вирусов-35.Обход EDRs.Последняя тема цикла

  • 912
  • 1
1696774647348.png


Эта статья будет последняя в этом цикле.

Да ещё много чего не рассказано, но что-то со временем у меня беда, поэтому спешил по быстрее выложить статьи.

Далее ещё планирую оформить это в pdf книги.

Надеюсь эти статьи кому-то покажутся интересным и сразу извиняюсь за их качества, хотя вероятно направления какое-то они могут дать. Dmeh-Smeh-Smeh!!! :sueta:(bug)bug!!!

Введение

Endpoint Detection and Response (EDR) — это решение безопасности, которое обнаруживает и реагирует на угрозы вроде вымогательского ПО и вредоносного программного обеспечения. Его работа основана на постоянном мониторинге конечных точек в поисках подозрительной активности путем сбора данных о таких событиях, как системные журналы, сетевой трафик, межпроцессное взаимодействие (IPC), вызовы RPC, попытки аутентификации и активность пользователя.

Установив EDR на конечные точки, вы будете собирать данные, которые затем будут анализироваться и коррелироваться для...

Уроки Разработка вирусов-34.Обход Windows defender

  • 1 772
  • 6
1696762195469.png


Введение

До сих пор было продемонстрировано множество методов и техник создания и выполнения загрузчика payload, который может обходить различные программы защиты от вредоносного кода. Эта статья будет работать над созданием полнофункционального загрузчика payload с нуля, чтобы укрепить знания, полученные в предыдущих разделах.

Создайте пустой проект Visual Studio и следуйте за этим разделом.

Характеристики загрузчика payload

Реализованный загрузчик payload будет иметь следующие характеристики:

- Поддержка удаленного внедрения кода
- Инжекция с использованием прямых системных вызовов через Hell's Gate
- Хеширование API
- Функции против анализа
- Шифрование payload RC4
- Попытка взлома ключа шифрования (Брут ключа шифрования)
- Отсутствие импорта библиотек CRT

Настройка Hell's Gate

Этот загрузчик использует внедрение payload с использованием прямых системных вызовов, полученных с помощью Hell's...

Уроки Разработка вирусов-33.Уменьшение вероятности детекта зверька

  • 1 021
  • 0
В общем в рамках этого цикла думаю осталось две статьи, эта статья закончит теорию.

А две другие будут практика, где мы попробуем использовать полученные знания для обхода Windows defender.

Далее если у меня будет силы и время, попробую оформить эти статьи в pdf книге.

Итак теперь по теме...

Уменьшение бинарной энтропии

Введение


Энтропия относится к степени случайности в предоставленном наборе данных. Существует различные типы мер энтропии, такие как энтропия Гиббса, энтропия Больцмана и энтропия Реньи. Однако в контексте кибербезопасности термин "энтропия" обычно относится к Энтропии Шеннона, которая выдает значение от 0 до 8. С увеличением уровня случайности в наборе данных увеличивается и значение энтропии.

Бинарные файлы вредоносных программ обычно имеют более высокое значение энтропии по сравнению с обычными файлами. Высокая энтропия, как правило, является индикатором сжатых, зашифрованных или упакованных данных, которые часто используются вредоносными...

Уроки Разработка вирусов-32.Открываем врата ада

  • 1 516
  • 2
1696695222815.png


В этих темах:


Мы обсуждали прямые системные вызовы для обхода хуков и детекта по поведению.

Мы там использовали вспомогательный инструмент Hell's Gate, предлагаю в этой статье модифицировать этот инструмент, что-бы избежать детект на сам инструмент.)

Обновления сделают реализацию более настраиваемой и, следовательно, более скрытной и уменьшат вероятность обнаружения на основе сигнатур. Кроме того, обновленный код изменит способ получения SSN системного вызова, используя

Если вам нужно восстановить информацию о первоначальной реализации Hell's Gate, посетите репозиторий...

Найти пользователя

Поиск по форуму

Последние сообщения

Верх Низ