[FAQ] Как сохранить FUD у криптора | вируса
https://t.me/darkside_team
Всё, что вам нужно знать. Мы разъясняем здесь: функции, параметры настроек, базовые знания, обнаружения, как не портить свой стаб и в итоге как не надоедать владельцу криптера!.
Tермины & Определение
- RunPe
- Runpe - это часть кода которая инжектирует функциональную часть вируса в память выбранного процесса.
- Injection
- Процесс по размещения PayLoad в память выбранного процесса называется Инъекция т.е Injection
- Наиболее часто инъецированные процессы:
- svchost.exe
- Regasm.exe
- explorer.exe
- Браузер по умолчанию ( chrome.exe, opera.exe, firefox.exe, iexplorer.exe )
- itselt - т.е сам ( Имея в виду PayLoad инжектится в запущенный процесс )
- vbc.exe
- cvtres.exe
- PayLoad
- объясняя новичкам это означает, файл который вы выбрали для шифрования (т.е вирус)
- Ecryption
- Алгоритм который "Защищает" преобразовывает байты выбранного файла, делая их неузнаваемыми и полностью отличающими от оригинальных байтов файла.
- Stub
- Программа создаётся для того чтоб хранить зашифрованный файл (encrypted file) и при запуске инжектировать его в память
- Это где
- Private Stub
- Тоже самое, что и выше кроме того что вы должны быть единственным человеком, использующий этот Stub
- Kод в основном сильно отличается от "Публичных Стабов" что делает его труднее обнаруживаемой при сканирование
- Дальше придерживается "FUD" - Fully undetectet
Как всё это работает?
- Иллюстрация 1.1 демонстрирует что криптер делает с вашим сервером
Иллюстрация 1.1:
СканТайм vs РанТайм?
- Определение Скантайма
- Файл при сканирование обнаруживаемый - означает: Если до того как его запустили Антивирус обнаруживает его или когда сканирование запущено файл был обнаружен и отмечена как Угроза
- Обнаружения при сканирование (Scantime Detect) вызваны видимыми инструкциями файла или "PE info" - как сборка/иконка, Клонированный сертификат, тип ресурсов и размер файла.
- В основном это означает что RAT/Server которую вы криптуете практический не отличается потому что файл был зашифрован Хреного плохо или для Антивирусов узнаваемым способом.
- Безопасные место где вы можете проверять Стаб на ScanTime Detection это:
MajyxScanner Scan4You AvDetect
- Oпределение Рантайма
- Файл при запуске обнаруживаемый - означает: Если файл был запущен и вашь Антивирус обнаружил его и отметил его как угрозу и Заблокировал, Остановил, Удалил его.
- Обнаружения при запуске (Runtime Detect) вызвано из за поведения. Восновом как ваш файл действует и выполняется может и вызвать обнаружение при запуске.
- Rat/Server который вы закриптовали влияют на обнаружение при запуске
- Если вы хотите избежать обнаружение при запуске (Runtime Detect) вы должны воздерживаться от перегруженных настроек. RootKit (руткит) вероятнее всего будут обнажении. Лучше всего использовать как можно меньше настроек/функций при создание вашего сервера и более из криптора. Почему? да потому что легко обнаружить поведение широко известного RAT-а, когда он некогда не был обновлён и изменён. Криптеры обновляются и модифицируются так что более надежнее использовать их настройки чтоб избежать Runtime Detect-а.
- Способ предотвратить некоторые Runtime Detect-и это Анти сканирование памяти (Anti Memory Scan). Которая в основном будет отказать в доступе к пространству памяти где ваш сервер будет работать.
- Безопасные место для сканирование Runtime Detection было Refud.Me но их Закрыли!
- Обнаружение
- Scantime
- Вызванное пользователем:
Базовые/общие обнаружение - частая причина: Размер, Иконка и информация файла выбранные пользователем. Пример общих обнаружении: Kazy (это может быть и вина "кодеров" в некоторых случаях) Bary Zusy Gen:* - этот детект можно легко убрать: Изменой иконки - (иконкой низкого разрешения / размера) Изменой информации о файле - ( найти инфо доверенных программ) Немного добавить размер - Pump File Если всё это не сработает - Попробуйте удалить информацию о файле (Используя ResHacker)
- Вызванное Криптером/програмистом(кодером):
Евристические обнаружения и некоторые общие обнаружения Структура PE Примеры обнаружения: Injector.* ( т.е общего обнаружение NOD32 Detection ) Heur.* MSIL.*
- Runtime
- Вызванное пользователем:
- Выбирание всех возможных настроек в RAT.
- Выбор общих процессов для инжекта
- Здесь некоторые инструкции как исправить всё это:
- Избегайте инжекта в процессы как svchost.exe т.е известные
- Добавьте Задержку (30сек+) этим можно обходить Рантайм некоторых Антивирусов
- Добавьте хорошую информацию и иконку
- Вызванное Криптером/программистом(кодером):
- Чрезмерное использование Runpe без модификации
- Copy&Paste кода
- Долгое время не проверял Runtime Detection
Как не "развращать" ваш Server?
- Чего Следует избегать:
- Двойное криптование - С какой стати вы это делаете???
- Кликанье на каждую отдельную функцию в RAT и в Crypter-е тоже
- Важные Вещи, что нужно держать в уме:
- ваш файл Native или .NET/Мanaged?
Native RATS програмированны без зависимостей (т.е C, C++, VB6, Delphi) DarkComet CyberGate Prototype NetWire Babylon NanoCore LuminosityLink Immenent Monitor 3 njRAT PiRat Quesar RAT
- Является ли ваш файл .NET?
- Рекомендированно использовать для инекции "itself" использование других настроек может испортить вашь файл.
- Является ли ваш Файл Native?
- Рекомендованно не использовать для инекции "itself". Выберите что-то другое.
Почему Мой Файл уже не FUD?
- Очень важные факторы в том как быстро она детектится:
Распространение вируса Где файл был загружен Насколько велике и популярна и сколько клиентов в вашем Криптосервисе Какой малварь был закриптован Антивирусы обновляются минимум раз в день!
Это и есть работа криптора, они могут стать обнаруживаемы. Но Refud чистить его возможно, это делается менее чем за час!
Как не испортить вашему криптору FUD Time?
- Чего следует избежать:
Сканирование на сайты: которые сливают ваши файлы антивирусным компаниям
- Запрещённые сайты для сканирования(здесь не все):
VirusTotal Anubis Jotti
Загрузка ваших файлов на сайты Uploading Host Files
- Запрещённые сайты для загрузок ваших файлов(здесь не все):
DropBox MediaFire GoogleDrive
Не отправляйте ваши файлы через Скайп! (Иллюстрация 1.2)
Иллюстрация 1.2:
- Дела которые необходимо делать:
- Каждый антивирус будет делится семплами с ваших ПК убедитесь, что вы отключили любую такую услугу на ваших AVs.
Как не надоедать владельцу криптера?
- Чего следует избегать:
Спамерство
Постить резултаты детекта на оф.сайте в комментариях ОСОБЕННО тогда когда эти детекты ваша вина.
- Дела которые необхадимо делать:
Если вы отправляете саппорту сообщение, что ваш файл не работает укажите все настройки которые вы использовали.
будь терпеливым Соблюдай правила Не будь идиотом Читайте все инструкции/видео уроки для настройки криптера а после этого общайтесь с саппортом для решение ваших проблем
Crypter Характеристики и описание:
- Startup инсталация:
Модуль стаба который добавляет вашь криптований файл в список програм запускамих Windows (startup/msconfig)
Многие различные типы: Использование регистра(regedit), Задачи, Копирование файла в Startup фолдет, другие...
- Startup Persistence:
Модуль который проверяет удалён ли вашь файл из списка Startup
- Anti Memory Scan:
Модуль который запрещает доступ к всему что попытается прочитать инжектированый пейлоад (инжектирований вирус загружений в какой либо процесс)
Чрезвычайно полезно для обхода RunTime Detect
- Elevate Process/Privileges:
Попытки получить права администратора для вашего файла.
- Critical Process:
Изменяет некоторые атрибуты работы вашего файла, который будет вызывать BSOD (Синий экран смерти).
- Mutex:
Очень полезная функция, чтобы убедиться, что ваш файл не работает более чем один раз в то же время.
- Melt File:
Удаляет / Удаляет файл после того, как он успешно запустился.
- File Pumper:
Добавляет определенное количество байтов (со значением 0) в конце файла, увеличивая его размер, но не нарушает каких-либо процедур во время выполнения.
- Compress:
Уменьшает выходной размер.
- Icon or Assembly Cloner:
Копирование данных Ассамблеи или значок выбранного файла. (чтобы обойти некоторые общие обнаружения)
- Encryption Algorithm:
Функция используется для преобразования байтов RAT/ Server в нечто совершенно другое.
- Delay Execution:
Используется для "Stop" - приостановить свой файл, во время работы. В течение определенного периода времени.
Добавление 30+ секунд будет в некоторых случаях обходить RunTime Detection, верить этому или нет вам решать!.
- Binder:
Добавлять другой файл в стаб, после запуски стаба вашь RAT/Server запустится но с этим и файл который вы забиндовали.
- Downloader:
Ну это очевидно, загружает и запускает файл с заданного URL-адреса.
- USG – Unique Stub Generator:
Будьте уверены что чекая эту функцию вы используйте разные стабы и они будут отличатся от предыдущего крипта.
В реале это функция прост изменяет имена переменных и какие-то методы.
- Fake Message Box:
Фейковое сообщение при запуске
- Hide File:
файл будет Hidden поэтому жертва не может увидеть вирус в папке.
- Antis:
Остановите свой файл от запуска, если некоторые программы работают в фоновом режиме:
- Популярные Anti:
Anti Virtual Machine (VMWare, VirtualBox and VirtualPC) Anti Sandboxie Anti Wireshark Anti Fiddler Anti Debugger Anti Anubis
- Botkill:
Ищет любые существующих файлов или процессов, которые могут быть вредоносные программы и убивает / удаляет их из системы.
- Spreaders:
- Копирует файл в тех местах, где он может заразить других пользователей.
- Спреадерс не работают так что не ебите себе мозгы
- Common spreaders:
- USB
- Rar/Zip
- Chat/IM (Skype, Facebook, Omegle, Twitter) -Spamming
- Junk Code:
- Добавляет безспалезний мусорний код для баипасса Scantime Detection
- Remove Version Info:
- Удаляет инфу о файле
- Require Admin:
- Запрашивает окно UAC с просьбой, чтобы запустить файл как Admin.
- Certifcate Clone/Forger:
- Добавляет сертификат к файлу