)
Приветствие читателе форума, и просто гостей, которым мы рады :3
В этой статье я опишу способ использования инструмент под названием SigThief. Он разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет пересоздана инструментом, не действительная(фальшивая), это и есть секрет скрытия файла от АВ.
Что такое, подпись PE, читай тут:
Ссылка скрыта от гостей
Приступим: качаем с гита, заходим в папку, и проверяем «все ли на месте»:
git clone https://github.com/secretsquirrel/SigThief
cd SigThief
ls -l
Можно почитать, README, запускаем скрипт, и смотрим хелп:
python sigthief.py —help
1. Проверяем Есть ли водпись в .ехе файле(немножко пришлось повозиться чтоб найти файл с сигнатурой, с Фш выташила
python sigthief.py -i ‘/opt/SigThief/Ruiner.exe’ — нету подписей
python sigthief.py -i ‘/media/root/UUI/11/Приложения/AGF3DPrinterDriver.exe’ — есть подпись
Примечание: Можно все файлы копировать в папку и запускать напрямую(. /pruebas/+файл), и не вводить путь к файлу. Или перетаскивать файлы в консоль, как это делала я
2. Сохранения подписи:
3. Использовать разорванную подпись:
4. Удалять подпись:
Действительно интересные результаты, может помочь вам найти AVs, которые ценят подписи больше чем функциона кода
5. Создания файла с чужой подписью:
python sigthief.py -i ‘/opt/SigThief/url_pe.exe’ -t ‘/opt/SigThief/Ruiner.exe’ -o /tmp/url_pe_virus.exe
Очень важно! Сохранять только в /tmp/
Использовала бекдор от TheFatRat, сначала до апгрейда и после (
Спасибо за внимание, услышемся.
В настоящее время многие вредоносные программы и Payload используют методы шифрования и методы пакетирования с применением Packers, чтобы
антивирусное программное обеспечение, поскольку антивирусу трудно обнаружить зашифрованные и
вредоносные программы и Payload.
В данной статье мы узнаем о создании Шифрованного Payload с помощью VENOM — Metasploit Shellcode generator/compiler/listener tool (генератор/компилятор/прослушивающий инструмент).
Функция python будет выполнять shellcode в ram «и использовать компиляторы, такие как: gcc (gnu cross compiler) или mingw32 или pyinstaller для создания исполняемого файла, а также запускать драйвер, чтобы контролировать удаленное соединение (сеанс обратной shell или сессия meterpreter)
Принимая во внимание, что этот инструмент не является инструментом по умолчанию, нам необходимо загрузить и установить его на вашу Kali Linux.
Пожалуйста, используйте ссылку для загрузки VENOM с Sourceforge вебсайта
После того, как инструмент загружен, извлеките ZIP и запустите инструмент. Здесь показано, что я сохранил пакет на своем рабочем столе.
После запуска инструмента он попросит нажать Enter, чтобы продолжить дальнейшие настройки.
Следующий процесс покажет вам информацию об опции создания, целевой машине, формате payload и различных возможных выходах. Существует 20 различных типов shellcode построения опций, которые перечислены ниже. Мы используем shellcode № 10 для демонстрации.
Итак, мы в данной ситуации выбрали Venom shellcode № 10 и нажимаем OK.
В данном разделе нам нужно установить локальный хост IP адреса. Поэтому введите локальный IP адрес вашей машины, который необходимо прослушивать payload и нажмите ok для получения следующей информации о настройке.
Так как мы должны установить наш LHOST, он попросит вас ввести вас LPORT. Укажите номер вашего Desire LPORT, затем нажмите OK.
Venom содержит некоторые msf payloads по умолчанию. В данном случае мы используем “windows/meterpreter/reverse_tcp”
Вы можете предоставить название вашего payload, который вы собираетесь генерировать. Когда название вы уже выбрали, нажмите OK.
После успешной генерации зашифрованного Payload, он будет сохранен в Папке выхода пакета Venom.
Я провел процесс сканирования для обнаружения поставщика антивирусного программного обеспечения после успешного создания нашего шифрованного Payload. Поэтому можно констатировать, что мы успешно преодолели антивирусное обнаружение.
А теперь мы обойдем жертву с помощью Metasploit с нашим зашифрованным payload.
Нам нужно запустить сервер Apache для доставки нашего вредоносного Payload в машину жертвы. После того, как вы выбрали сервер, нажмите «ОК», чтобы продолжить.
На этом этапе нам необходимо сконцентрироваться на пост эксплуатационном модуле. Здесь мы можем выбрать любую из последующих эксплуатаций.
Мне нужно получить доступ только к системной информации, поэтому я выбрал sysinfo.rc для последующей эксплуатации целевой машины.
Так как он является дополнительным, вы можете даже вручную выполнить этот модуль, после чего вы можете обойти жертву с помощью Metasploit.
Наконец, я создал сеанс Meterpreter, используя наш зашифрованный payload для моей целевой машины с операционной системой Windows 7.
Прежде чем начинать сеанс обработки, убедитесь, что ваш payload успешно введен в вашу целевую машину.
Я выполнил свой payload на целевой компьютер с использованием вредоносного URL (
), который был сгенерирован нашим payload созданным VENOM.
Перед воспроизведением с помощью Metasploit проверьте, чтобы настройки LPORT и LHOST были правильно настроены для прослушивания сеанса.
Итак, наконец, я успешно обошел своих жертв и взял на себя весь доступ к целевой машине Windows 7.
Если у вас есть какие-либо сомнения или предложения, пожалуйста, сообщите об этом в комментариях. Успешного взлома.
Доброго дня хацкеры, сегодня поговорим о методах защиты файла от попадания на Virus Total и в руки к другим антивирусов.
Для начала давайте развеем миф о том, что лоадер спасает от слива на вт. Поверьте люди которые работают в команде вт и других антивирусов не так глупы , если им в руки попадет лоадер они полюбому его запустят ,увидят что он подкачивает какие-то файлы и тоже их проанализируют.
По сути мы можем разделить нашу защиту от слива на два этапа : 1) до установки малваре на пк жертвы ; 2) после установки малваре на пк жертвы ;
Приступим к первому варианту. Здесь я увидел 2 метода :
1) Первый и наиболее по моему мнению юзабельний это разделить ваш вирус на два файла например, на dll и exe . Это не должно быть только проверка на наличие длл’кы, в ней должно быть скрытая часть вируса. Например, в dllесть зашифрованные байты самого вируса, а exe их расшифровывает и запускает. Жертва не сможет слить на вт два файла сразу, а один без другого работать не будет. Шанс что ав соберут два файла вместе и запустят их действительно мизерный.
Ниже пример реализаци на c#,для шифрования будем использовать метод sha256 :
Сам exe файлик:
Да да да знаю можно было сделать лучше, копировать два файла в какую-то папку и использовать loadpe тогда все вообще будет круто,но я только показываю вам идею, даю вам пространство для размышлений по ее улучшению 🙂
2) Как мы знаем вт сканирует файлы до 256 мб . То есть нам нужно увеличить размер нашего вируса одним из способов. Например через Hex Editor.
Открываем нашу программу в Hex Editor
Идем в сам низ, где заканчиваются байты
Сохраняем . Как мы видим размер увеличился — программа работает!
Здесь заканчивается первый этап. Он больше подходит для людей вручную распространяют файлы.
Теперь поговорим о методах защиты после установки малваре на пк жертвы :
1) Элементарно использовать атрибуты hidden и system (именно и и , а не или или)
2) Можно просто заблокировать сайт вт и других антивирусов следующем кодом
Минус в том, что могут понадобиться админ права.
3) Если файл будет существовать только в оперативной и не будет иметь физической основы на диске его не будет возможно слить на вт. Единственный минус файл будет работать только до перезагрузки пк.
Dark $ide — Твоя Тёмная Сторона
приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic
Открываем visual-studio, создаем новый проект.
и добавляем простой модуль)
и вставляем содержимое:
далее, берем нашу злую приложеньку которая палится всеми «добрыми» антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)
почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.
далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке
фсйо наша приложенька стала доброй и пушистой, почти)
а вот и хард-кор
Good Luck! (гуд-лацк по Русски)

