Статьи Нагибаем Антивирус часть 2.

Discussion in 'Статьи' started by Veil, 3 Oct 2017.

  1. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    После всех замечаний и просьб, выкладываю выводы своих экспериментов со скринами.
    Сразу напишу, что получилось не так как хотел.
    Ход мыслей , что бы антивирю труднее было обнаружить. Надо:
    1 Увеличить обьем, накидать мусора.
    2 Поставить подпись
    3 Упаковать зловреда.
    Подпись мы поставили старика Руссиновича, размер и так взлетел. Осталось только упаковать.
    Только в чем? И тут мелькнула мысль , а не обратиться ли мне к Биллу Гейцу? Не поможет ли он мне упаковать вирус с фирменным клеймом своего софта.
    И Билл помог.

    [​IMG]

    Это программа IExpress.
    Располагается она в c:\windows\system32/iexpress.exe, и поэтому ее можно вызывать без указания полного пути. У нее два основных назначения – создание относительно простых инсталляторов и самораспаковывающихся архивов (файлы с расширением exe).
    Еще и еще один плюс - у антивирусов нет аллергии на полученный исполняемый файл, так как стаб свой виндовский, то есть доморощенный.
    Прикинув все это к носу и потерев руки я занялся творчеством.

    [​IMG]

    Картинка не хочет прикреплятся смотрим тут http://lqdc.github.io/images/finfisher/ParallelWiltedAcouchi.gif

    Учитывая пожелания я долго и нудно искал эксплоит на Veil, который палится доктором Вебом.
    Поиски были тщетны, тогда на виртуалке поставил Авиру, которая единственная обнаружила все.
    Скрин как уже упакованный IExpress зловред прошел проверку.

    [​IMG]
    [​IMG]
    [​IMG]

    Пришлось скачать Макафи, который видел его с цифровой подписью,

    [​IMG]

    Но не видел после упаковки,

    [​IMG]

    ликуя от радости, запустил зловреда и...

    [​IMG]

    антивирь поймал его на лету при распаковке.
    Вот как-то так прошел мой опыт.
    Вывод. Стаб всё таки прикрывает вирус, но только до инсталляции.

    Но мне тут Kevin Shindel подкинул отличную идейку по скрытию зловреда, так что как только поюзаю, то обязательно напишу.;)
    Уныние это не про нас.
     
    #1 Veil, 3 Oct 2017
    Last edited by a moderator: 3 Dec 2017
  2. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Наконец то вейл делом занялся, а не пощением всякой куйни.

    ПОчему малварьта не пакуешь?

    Если хочешь, можешь использовать тестовый вирус EICAR, он ничего не делает опасного, это лишь для теста АВ, все АВ на него алертуют.

    делается он так:
    в notepad - обычном блокноте пишешь таку строку X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* и сохраняешь с расширением .com или .ехе
     
  3. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    У меня целый зоопарк зверьков есть. Которые убивают систему и безжалостно палятся антивирем еще со времен вазонеза.
    Дело не в том, есть еще пара методов сокрытия, но я пошел, как настоящий связист по наименьшему сопротивлению.
    Что же эксперимент есть эксперимент. Отрицательный ответ - тоже ответ. Соответственно, сделаны выводы, что сам стаб с вирусом не палится и буду продолжать с учетом коррекции курса. Сейчас попробую другой метод. Направление уже есть.
     
  4. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    Баг по ходу никто и не будет трогать. Хотя позор на весь мир, ачат гремит своими хакерами, а такой позорный баг исправить не могут.
    А тему надо добить будет, что бы успокоиться. Хотя ход мыслей был правильный, стаб с подписью Билла Гейтца скрывает вирус. Не учел инсталяцию, но на ошибках учимся.:)
    Сейчас отъюзаю одну примочку и если все будет ОК запилю статейку. Там вроде бы должно получиться.
    Надо попросить Админов , что бы тему в одну перенесли.
    Сюи пожалуйста , если не трудно, перенеси тему и обьедени с первой.
     
    #4 Veil, 4 Oct 2017
    Last edited: 4 Oct 2017
    Triton_Mgn, Kevin Shindel and uzeerpc like this.
  5. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    498
    Reputations:
    37
    я знаю как это все говно под названием антивирусы обойти, но это блин приват, слить не могу =(
    скажу так: посмотри в сторону системных служб и инструментария системы по установке драйверов

    тебе нужно заставить системе загрузить твою службу/драйвер с правами 0 кольца через инструментарий установки драйверов
    это конечно чуток сложно если ты не шаришь в программировании
    но зато сто пудово обойдет все антивирусы ;)

    а код самого зловреда рекомендую загружать в зашифрованном виде с открытого ресурса типа Twitter, PasteBin, FB и т.д. сразу в подготовленный участок памяти и передавать на него управление с твоего драйвера/службы.

    P.S. еще неплохо реалтайм прям с памяти дешифровывать в процессе запуска зловредного кода, но это для продвинутых техник скрытия, когда нужно запускать всякое говно любого содержания, от пинча несжатого до установщика яндексбраузера например =)

    P.P.S. типо инициализируешь функцию дешифровки AES, задаешь ключ, потоковый буфер, на вывод насаживаешь вирталку х86 с таймингом выполнения и поочередно с неё все инструкции с дешифровоного кода выполняешь. Для антивируса это вообще неподъемность особенно если с правами ядра системы выполняется. Антивирус будет думать что инструкции для проца с другого измерения прилетают )))
     
    #5 \/IRUS, 4 Oct 2017
    Last edited: 4 Oct 2017
    palec2006, trolex and Veil like this.
  6. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    Отличное направление. Надо будет на досуге вникнуть. Однозначно +.
     
  7. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    498
    Reputations:
    37
    Почему рекомендую именно в память загружать с открытого источника.
    Дело в том что антивирусы блочат домены с которых льют малварь автоматически. Если будешь лить со своего хоста - сразу блок при первом срабатывании на одном из клиентов. А сайты из белого списка не блочит, это обычно социальные службы на которых много контента разного содержания. Просто берешь бинарник, шифруешь его своим секретным ключом и кодируешь в BaseN любыми печатными символами и заливаешь в блоги, социалки или еще куда нить из белых списков =)
    А в память потому что антивирус туда уже не полезет просто так, если он сканит процесс то при старте либо в своей виртуалке стартует и наблюдает за ним пару сот миллисекунд либо прям в риалтайме следит непродолжительное время. Если процесс уже стартанул и проверился антивирем то его штормить в дальнейшем просто так не будет, только при подозрительной активности. Поэтому выделяешь память, качаешь зашифрованный зловред код в буферку, ждешь секунду, расшифровываешь в подготовленную память, передаешь управление, в такой последовательности. Это касается только юзермода, если от привилегий ядра то пофиг в принципе.
     
    #7 \/IRUS, 4 Oct 2017
    Last edited: 4 Oct 2017
  8. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Портал для проверки мне кажется не полный. VirusTotal.com около 65 антивирей, правда он сливает инфу...
     
  9. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Ну чё? Как у вас тут дела? Нагнули уже антивирус?
     
  10. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    Гнем полным ходом, но нужно время.
     
  11. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    Согласен, но палиться на вирустотале , что-то не хоцца.
    Сейчас проверил на другом сайте цифровая подпись дала 15\39 и 5\39.
    Все таки цифровая подпись дает результаты. Но главное у Veil-Framework пока отсасывают основные антивири юзеров: Каспер, Вэб, аваст.
    Вот только авира никак не поддается.
     
    #11 Veil, 4 Oct 2017
    Last edited: 4 Oct 2017
  12. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    Ну ты загнул, уровень ядра и дров руткиты. Кароч это оч сложно всё.
     
  13. Alangile

    Alangile Banned

    Joined:
    28 Sep 2017
    Messages:
    105
    Likes Received:
    3
    Reputations:
    0
    Этот Маккофе в свое время мне столько мусора наделал. Бесполезная программа.
     
  14. hitrec322

    hitrec322 Banned

    Joined:
    12 Sep 2017
    Messages:
    19
    Likes Received:
    3
    Reputations:
    0
    конечно, маккофе useless программа))
     
  15. Alangile

    Alangile Banned

    Joined:
    28 Sep 2017
    Messages:
    105
    Likes Received:
    3
    Reputations:
    0
    Поддался вам антивирус в неравной борьбе?
     
  16. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    А куда он денется? Как два байта об асфальт.