Малварь как искусство Утилиты для обхода антивирусов.Да прибудет с вами сила


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 160
Репутация
8 285
Привет всем, пишу с мобильника, так-что необессудьте

Вспомнилось что-то одна вещь, которая актуальна и сейчас, но в силу не желания многих людей развиваться и заполнение устаревшей и нектуальной инфы рунета, данная тема мало где обсуждается.

Начнем с того, что проблема детекта антивирусов, решается в разных кругах, не только в блеке, но и в среде вайтов, особенно пентестеров.

Зачем спросите вы, вайтам заморачиваться обходом антивирусов ?

Все очень просто, проблема многих пентестов в том, что «заряженные» исполняемые файлы, созданные с помощью например или других пентест-фреймворков, палятся практически всеми антивирусными вендорами.

И поэтому вместо того, чтобы продолжать проникновение, пентестеру приходится думать, как обмануть антивирус. Проделывая эту работу от кейса к кейсу, очень много времени теряешь впустую. Поэтому постепенно начали появляться инструменты, автоматизирующие эту задачу.

Предлагаю в этой теме обсудить такие программы, я начну с .

Т.к когда-то в "прошлой" наверное уже жизни, имел опыт работы с такой программой.)

В целом конечно каждый может загуглить, но сделаю небольшое описание (скопирую хе-хе).

Итак, что-же это за тулза:

Это инструмент для динамического внедрения шелл-кода.

Применяется для встраивания шелл-кода в нативные Windows-приложения (вроде поддерживаются только 32-битные, но точно незнаю сейчас). В качестве полезной нагрузки могут выступать собственные шелл-коды или же сгенерированные с помощью какого-либо фреймворка, например Metasploit.

Преимущество Shellter в том, что в своей работе он опирается только на структуру PE-файла и не применяет никаких «грязных» приемов, таких как добавление новых секций с RWE-правами, модификация прав доступа к существующим секциям и прочие вещи, которые сразу же вызывают подозрение у любого антивируса. Вместо этого Shellter использует уникальный динамический подход, основанный на потоке выполнения целевого (заражаемого) приложения.

На основе своей встроенной эвристики, движка отладчика, в динамике запускающего хост-файл и трейсящего указанное количество инструкций, Shellter находит подходящее место для безопасного размещения шелл-кода в PE-файле. Обязательные изменения в структуре PE-файла минимальны — удаляются флажки в DllCharacteristics (предотвращение релоцирования), очищаются данные о цифровой подписи.

В процессе работы Shellter трейсит только поток выполнения, происходящий в userland, то есть код внутри самого заражаемого приложения, а также «внешний» код, расположенный в системных библиотеках, в куче и так далее.

Это делается для того, чтобы не пропустить функции целевого приложения, использующиеся только в качестве колбэков для Windows API. В процессе трассировки Shellter не учитывает и не логирует инструкции, находящиеся за границами памяти целевого приложения, так как на них нельзя будет сослаться при инжектировании шелл-кода.

ПОДБОР ЦЕЛЕВОГО ПРИЛОЖЕНИЯ

Немного познакомившись с принципами работы Shellter, коснемся теперь важного вопроса, как выбрать правильную цель для внедрения своего шелл-кода.

Прежде всего, как уже было отмечено, приложение должно быть нативным и 32-разрядным. Еще одно условие — приложение не должно быть статически связано ни с какими сторонними библиотеками, кроме тех, что по умолчанию включены в Windows.

Так как главная задача данного инструмента — обход антивирусных решений, следует избегать также запакованных приложений, приложений, имеющих секции с RWE-правами или более одной секции кода: они изначально будут выглядеть подозрительно для антивируса.

ПАРА СЛОВ О ПЕЙЛОАДАХ

Теперь немного о полезных нагрузках. В Shellter уже встроено несколько наиболее распространенных пейлоадов, поэтому в большинстве случаев их больше не потребуется генерировать вручную через Metasploit. Этот список включает в себя:

• meterpreter_reverse_tcp;
• meterpreter_reverse_http;
• meterpreter_reverse_https;
• meterpreter_bind_tcp;
• shell_reverse_tcp;
• shell_bind_tcp;
• WinExec.

Все это адаптированные пейлоады из Metasploit, поэтому они очень хорошо известны всем антивирусам. В связи с чем настоятельно рекомендуется включить шифрование полезных нагрузок с помощью опции —encode.

Вообще, более подробно можно почитать в доке, гугле, ну или вот тут на сайте: (описание взял от сюда).

Приведу тестовый пример:

Начнем с установки. Все, что требуется пользователям Windows, — скачать и распаковать архив.

Как уже упоминалось, Shellter можно использовать и в Linux/Mac. Можно скачать упомянутый архив и запустить инструмент через Wine/CrossOver.

Хотя пользователи некоторых дистрибутивов Linux могут установить Shellter и с помощью менеджера пакетов. Например, в Kali установка не отличается от установки прочего софта:

apt-get update
apt-get install shelter

Начнем с самого простого — попытаемся внедрить в калькулятор WinExec пейлоад, который будет запускать… блокнот.

Для этого скопируем калькулятор в папку с Shellter (чисто ради удобства работы) и запустим последний. Нам сразу же будет предложено выбрать режим работы: автоматический (Auto) или ручной (Manual). Чтобы познакомиться со всеми опциями, выберем ручной (m) и укажем в качестве таргета calc.exe.

После чего Shellter создаст резервную копию оригинального файла (calc.exe.bak) и начнет собирать информацию о нем и проводить необходимые изменения.

Прежде всего он проверит, не упакован ли исполняемый файл (почему следует избегать внедрения шелл-кода в упакованные файлы, мы говорили выше). Потом немного поработает над самим файлом, а конкретно над его DllCharacteristics и цифровой подписью. Затем спросит, стоит ли собирать Dinamic Thread Context Info. В дальнейшем мы будем использовать эту информацию в качестве ключа для дешифровки пейлоада, чтобы не хранить его в явном виде (помнишь Dinamic Thread Context Keys?).

Поэтому отвечаем утвердительно. Количество инструкций задаем произвольно. Для примера установим равным 15 000. Чтобы не наколоться и не внедрить шелл-код в место, где живет самомодифицирующийся код, включаем проверку на его наличие
во время трассировки.

Чтобы сэкономить время, останавливать трассировку при его обнаружении не будем, о чем и сообщим инструменту на следующем шаге. Real-Time Tracing покажет процесс прохождения программы в реальном времени, но никакой важной информации для нас это не несет, так что включать не будем.

Далее Shellter применит свои средства по борьбе с антиотладочными приемами и начнет выполнять трассировку калькулятора. По истечении которой задаст важный вопрос: стоит ли включать Stealth Mode? В принципе, даже если мы не планируем внедрять в файл несколько пейлоадов, данная опция не помешает, так что включим.

После этого нам предложат выбрать между встроенными и кастомными пейлоадами (о них поговорим далее). Выбираем встроенные и в предоставленном списке останавливаем свой выбор на кандидате номер семь — WinExec. В качестве аргумента указываем ему notepad.exe.

5daf03696c24f3b9eac5f35707b009b2.png

И вот тут-то нас спросят, стоит ли зашифровывать пейлоад с помощью DTCK (Dinamic Thread Context Keys). Давай попробуем, плюс на следующем шаге согласимся еще и на обфускацию декодера.

Shellter поищет в таблице импорта подходящие API для этой задачи, в нашем случае найдет только LoadLibrary/GetProcAddress связку (идет под номером 5).

Затем обфусцируем IAT Handler и добавляем полиморфный код (встроенный, размер устанавливаем в 200 байт). После этого можно будет посмотреть и выбрать конкретную точку для внедрения шелл-кода. В данном случае доступен диапазон от 0 до 560 (для внедрения была выбрана первая). Это последний вопрос на выбор, далее Shellter проинжектит шелл-код и пересчитает контрольную сумму файла.

В общем, весь процесс чем-то напоминает установку программы: Next, Next, Next, и все готово. Остается только запустить полученный файл.

Как и было задумано, помимо калькулятора, появилось еще и окно блокнота.)))

Это чисто обзорная статья, тулза очень мощьная, кто заинтересовался, вот полная версия обзора:

Также много инфы в гугле, особенно по скрытию полезной нагрузки Metasploit.)))
 
Автор темы Похожие темы Форум Ответы Дата
X-Shar Технологии создания невидимой малвари 6
X-Shar Технологии создания невидимой малвари 12
X-Shar Технологии создания невидимой малвари 1
X-Shar Технологии создания невидимой малвари 3
X-Shar Технологии создания невидимой малвари 2
virt Технологии создания невидимой малвари 2
virt Технологии создания невидимой малвари 3
Верх Низ