После всех замечаний и просьб, выкладываю выводы своих экспериментов со скринами. Сразу напишу, что получилось не так как хотел. Ход мыслей , что бы антивирю труднее было обнаружить. Надо: 1 Увеличить обьем, накидать мусора. 2 Поставить подпись 3 Упаковать зловреда. Подпись мы поставили старика Руссиновича, размер и так взлетел. Осталось только упаковать. Только в чем? И тут мелькнула мысль , а не обратиться ли мне к Биллу Гейцу? Не поможет ли он мне упаковать вирус с фирменным клеймом своего софта. И Билл помог. Это программа IExpress. Располагается она в c:\windows\system32/iexpress.exe, и поэтому ее можно вызывать без указания полного пути. У нее два основных назначения – создание относительно простых инсталляторов и самораспаковывающихся архивов (файлы с расширением exe). Еще и еще один плюс - у антивирусов нет аллергии на полученный исполняемый файл, так как стаб свой виндовский, то есть доморощенный. Прикинув все это к носу и потерев руки я занялся творчеством. Картинка не хочет прикреплятся смотрим тут http://lqdc.github.io/images/finfisher/ParallelWiltedAcouchi.gif Учитывая пожелания я долго и нудно искал эксплоит на Veil, который палится доктором Вебом. Поиски были тщетны, тогда на виртуалке поставил Авиру, которая единственная обнаружила все. Скрин как уже упакованный IExpress зловред прошел проверку. Пришлось скачать Макафи, который видел его с цифровой подписью, Но не видел после упаковки, ликуя от радости, запустил зловреда и... антивирь поймал его на лету при распаковке. Вот как-то так прошел мой опыт. Вывод. Стаб всё таки прикрывает вирус, но только до инсталляции. Но мне тут Kevin Shindel подкинул отличную идейку по скрытию зловреда, так что как только поюзаю, то обязательно напишу. Уныние это не про нас.
Наконец то вейл делом занялся, а не пощением всякой куйни. ПОчему малварьта не пакуешь? Если хочешь, можешь использовать тестовый вирус EICAR, он ничего не делает опасного, это лишь для теста АВ, все АВ на него алертуют. делается он так: в notepad - обычном блокноте пишешь таку строку X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* и сохраняешь с расширением .com или .ехе
У меня целый зоопарк зверьков есть. Которые убивают систему и безжалостно палятся антивирем еще со времен вазонеза. Дело не в том, есть еще пара методов сокрытия, но я пошел, как настоящий связист по наименьшему сопротивлению. Что же эксперимент есть эксперимент. Отрицательный ответ - тоже ответ. Соответственно, сделаны выводы, что сам стаб с вирусом не палится и буду продолжать с учетом коррекции курса. Сейчас попробую другой метод. Направление уже есть.
Баг по ходу никто и не будет трогать. Хотя позор на весь мир, ачат гремит своими хакерами, а такой позорный баг исправить не могут. А тему надо добить будет, что бы успокоиться. Хотя ход мыслей был правильный, стаб с подписью Билла Гейтца скрывает вирус. Не учел инсталяцию, но на ошибках учимся. Сейчас отъюзаю одну примочку и если все будет ОК запилю статейку. Там вроде бы должно получиться. Надо попросить Админов , что бы тему в одну перенесли. Сюи пожалуйста , если не трудно, перенеси тему и обьедени с первой.
я знаю как это все говно под названием антивирусы обойти, но это блин приват, слить не могу =( скажу так: посмотри в сторону системных служб и инструментария системы по установке драйверов тебе нужно заставить системе загрузить твою службу/драйвер с правами 0 кольца через инструментарий установки драйверов это конечно чуток сложно если ты не шаришь в программировании но зато сто пудово обойдет все антивирусы а код самого зловреда рекомендую загружать в зашифрованном виде с открытого ресурса типа Twitter, PasteBin, FB и т.д. сразу в подготовленный участок памяти и передавать на него управление с твоего драйвера/службы. P.S. еще неплохо реалтайм прям с памяти дешифровывать в процессе запуска зловредного кода, но это для продвинутых техник скрытия, когда нужно запускать всякое говно любого содержания, от пинча несжатого до установщика яндексбраузера например =) P.P.S. типо инициализируешь функцию дешифровки AES, задаешь ключ, потоковый буфер, на вывод насаживаешь вирталку х86 с таймингом выполнения и поочередно с неё все инструкции с дешифровоного кода выполняешь. Для антивируса это вообще неподъемность особенно если с правами ядра системы выполняется. Антивирус будет думать что инструкции для проца с другого измерения прилетают )))
Почему рекомендую именно в память загружать с открытого источника. Дело в том что антивирусы блочат домены с которых льют малварь автоматически. Если будешь лить со своего хоста - сразу блок при первом срабатывании на одном из клиентов. А сайты из белого списка не блочит, это обычно социальные службы на которых много контента разного содержания. Просто берешь бинарник, шифруешь его своим секретным ключом и кодируешь в BaseN любыми печатными символами и заливаешь в блоги, социалки или еще куда нить из белых списков =) А в память потому что антивирус туда уже не полезет просто так, если он сканит процесс то при старте либо в своей виртуалке стартует и наблюдает за ним пару сот миллисекунд либо прям в риалтайме следит непродолжительное время. Если процесс уже стартанул и проверился антивирем то его штормить в дальнейшем просто так не будет, только при подозрительной активности. Поэтому выделяешь память, качаешь зашифрованный зловред код в буферку, ждешь секунду, расшифровываешь в подготовленную память, передаешь управление, в такой последовательности. Это касается только юзермода, если от привилегий ядра то пофиг в принципе.
Портал для проверки мне кажется не полный. VirusTotal.com около 65 антивирей, правда он сливает инфу...
Согласен, но палиться на вирустотале , что-то не хоцца. Сейчас проверил на другом сайте цифровая подпись дала 15\39 и 5\39. Все таки цифровая подпись дает результаты. Но главное у Veil-Framework пока отсасывают основные антивири юзеров: Каспер, Вэб, аваст. Вот только авира никак не поддается.
