About Teletype
Join
Hata
@hata_hack
May 2, 2020

Как сохранить FUD у криптора/вируса

Tермины & Определение

  • RunPe
  • Runpe - это часть кода которая инжектирует функциональную часть вируса в память выбранного процесса.
  • Injection
  • Процесс по размещения PayLoad в память выбранного процесса называется Инъекция т.е Injection
  • Наиболее часто инъецированные процессы:
  • svchost.exe
  • Regasm.exe
  • explorer.exe
  • Браузер по умолчанию ( chrome.exe, opera.exe, firefox.exe, iexplorer.exe )
  • itselt - т.е сам ( Имея в виду PayLoad инжектится в запущенный процесс )
  • vbc.exe
  • cvtres.exe
  • PayLoad
  • объясняя новичкам это означает, файл который вы выбрали для шифрования (т.е вирус)
  • Ecryption
  • Алгоритм который "Защищает" преобразовывает байты выбранного файла, делая их неузнаваемыми и полностью отличающими от оригинальных байтов файла.
  • Stub
  • Программа создаётся для того чтоб хранить зашифрованный файл (encrypted file) и при запуске инжектировать его в память
  • Это где
  • Private Stub
  • Тоже самое, что и выше кроме того что вы должны быть единственным человеком, использующий этот Stub
  • Kод в основном сильно отличается от "Публичных Стабов" что делает его труднее обнаруживаемой при сканирование
  • Дальше придерживается "FUD" - Fully undetectet

Как всё это работает?

  • Иллюстрация 1.1 демонстрирует что криптер делает с вашим сервером

СканТайм vs РанТайм?

  • Определение Скантайма
  • Файл при сканирование обнаруживаемый - означает: Если до того как его запустили Антивирус обнаруживает его или когда сканирование запущено файл был обнаружен и отмечена как Угроза
  • Обнаружения при сканирование (Scantime Detect) вызваны видимыми инструкциями файла или "PE info" - как сборка/иконка, Клонированный сертификат, тип ресурсов и размер файла.
  • В основном это означает что RAT/Server которую вы криптуете практический не отличается потому что файл был зашифрован Хреного плохо или для Антивирусов узнаваемым способом.
  • Безопасные место где вы можете проверять Стаб на ScanTime Detection
  • Oпределение Рантайма
  • Файл при запуске обнаруживаемый - означает: Если файл был запущен и вашь Антивирус обнаружил его и отметил его как угрозу и Заблокировал, Остановил, Удалил его.
  • Обнаружения при запуске (Runtime Detect) вызвано из за поведения. Восновом как ваш файл действует и выполняется может и вызвать обнаружение при запуске.
  • Rat/Server который вы закриптовали влияют на обнаружение при запуске
  • Если вы хотите избежать обнаружение при запуске (Runtime Detect) вы должны воздерживаться от перегруженных настроек. RootKit (руткит) вероятнее всего будут обнажении. Лучше всего использовать как можно меньше настроек/функций при создание вашего сервера и более из криптора. Почему? да потому что легко обнаружить поведение широко известного RAT-а, когда он некогда не был обновлён и изменён. Криптеры обновляются и модифицируются так что более надежнее использовать их настройки чтоб избежать Runtime Detect-а.
  • Способ предотвратить некоторые Runtime Detect-и это Анти сканирование памяти (Anti Memory Scan). Которая в основном будет отказать в доступе к пространству памяти где ваш сервер будет работать.
  • Безопасные место для сканирование Runtime Detection было Refud.Me но их Закрыли!

Обнаружение Scantime

  • Вызванное пользователем:

Базовые/общие обнаружение - частая причина: Размер, Иконка и информация файла выбранные пользователем.

Пример общих обнаружении:

Kazy (это может быть и вина "кодеров" в некоторых случаях)

Bary

Zusy

Gen:* - этот детект можно легко убрать:

Изменой иконки - (иконкой низкого разрешения / размера)

Изменой информации о файле - ( найти инфо доверенных программ)

Немного добавить размер - Pump File

Если всё это не сработает - Попробуйте удалить информацию о файле (Используя ResHacker)

  • Вызванное Криптером/програмистом(кодером):

Евристические обнаружения и некоторые общие обнаружения

Структура PE

Примеры обнаружения:

Injector.* ( т.е общего обнаружение NOD32 Detection )

Heur.*

MSIL.*

  • Runtime
  • Вызванное пользователем:
  • Выбирание всех возможных настроек в RAT.
  • Выбор общих процессов для инжекта
  • Здесь некоторые инструкции как исправить всё это:
  • Избегайте инжекта в процессы как svchost.exe т.е известные
  • Добавьте Задержку (30сек этим можно обходить Рантайм некоторых Антивирусов
  • Добавьте хорошую информацию и иконку
  • Вызванное Криптером/программистом(кодером):
  • Чрезмерное использование Runpe без модификации
  • Copy&Paste кода
  • Долгое время не проверял Runtime Detection

Как не "развращать" ваш Server?

  • Чего Следует избегать:
  • Двойное криптование - С какой статьи вы это делаете???
  • Кликанье на каждую отдельную функцию в RAT и в Crypter-е тоже
  • Важные Вещи, что нужно держать в уме:
  • ваш файл Native или .NET/Мanaged?

Native RATS програмированны без зависимостей (т.е C, C++, VB6, Delphi)

  • DarkComet
  • CyberGate
  • Prototype
  • NetWire
  • Babylon
  • NanoCore
  • LuminosityLink
  • Immenent Monitor 3
  • njRAT
  • PiRat
  • Quesar RAT

Является ли ваш файл .NET?

  • Рекомендированно использовать для инекции "itself" использование других настроек может испортить вашь файл.
  • Является ли ваш Файл Native?
  • Рекомендованно не использовать для инекции "itself". Выберите что-то другое.

Почему Мой Файл уже не FUD?

  • Очень важные факторы в том как быстро детектится:
  • Распространение вируса
  • Где файл был загружен
  • Насколько велике и популярна и сколько клиентов в вашем Криптосервисе
  • Какой малварь был закриптован
  • Антивирусы обновляются минимум раз в день!

Это и есть работа криптора, они могут стать обнаруживаемы. Но Refud чистить его возможно, это делается менее чем за час!

Как не испортить вашему криптору FUD Time?

  • Чего следует избежать:

Сканирование на сайты: которые сливают ваши файлы антивирусным компаниям

  • Запрещённые сайты для сканирования(здесь не все):

VirusTotal

Anubis

Jotti

Загрузка ваших файлов на сайты Uploading Host Files

  • Запрещённые сайты для загрузок ваших файлов(здесь не все):

DropBox

MediaFire

GoogleDrive

  • Дела которые необходимо делать:
  • Каждый антивирус будет делится семплами с ваших ПК убедитесь, что вы отключили любую такую услугу на ваших AVs.

Как не надоедать владельцу криптера?

  • Чего следует избегать:

Спамерство

Постить резултаты детекта на оф.сайте в комментариях ОСОБЕННО тогда когда эти детекты ваша вина.

  • Дела которые необхадимо делать:

Если вы отправляете саппорту сообщение, что ваш файл не работает укажите все настройки которые вы использовали.

  • будь терпеливым
  • Соблюдай правила
  • Не будь идиотом
  • Читайте все инструкции/видео уроки для настройки криптера а после этого общайтесь с саппортом для решение ваших проблем

Crypter Характеристики и описание:

  • Startup инсталация:

Модуль стаба который добавляет вашь криптований файл в список програм запускамих Windows (startup/msconfig)

Многие различные типы: Использование регистра(regedit), Задачи, Копирование файла в Startup фолдет, другие...

  • Startup Persistence:

Модуль который проверяет удалён ли вашь файл из списка Startup

  • Anti Memory Scan:

Модуль который запрещает доступ к всему что попытается прочитать инжектированый пейлоад (инжектирований вирус загружений в какой либо процесс)

Чрезвычайно полезно для обхода RunTime Detect

  • Elevate Process/Privileges:

Попытки получить права администратора для вашего файла.

  • Critical Process:

Изменяет некоторые атрибуты работы вашего файла, который будет вызывать BSOD (Синий экран смерти).

  • Mutex:

Очень полезная функция, чтобы убедиться, что ваш файл не работает более чем один раз в то же время.

  • Melt File:

Удаляет / Удаляет файл после того, как он успешно запустился.

  • File Pumper:

Добавляет определенное количество байтов (со значением 0) в конце файла, увеличивая его размер, но не нарушает каких-либо процедур во время выполнения.

  • Compress:

Уменьшает выходной размер.

  • Icon or Assembly Cloner:

Копирование данных Ассамблеи или значок выбранного файла. (чтобы обойти некоторые общие обнаружения)

  • Encryption Algorithm:

Функция используется для преобразования байтов RAT/ Server в нечто совершенно другое.

  • Delay Execution:

Используется для "Stop" - приостановить свой файл, во время работы. В течение определенного периода времени.

Добавление 30+ секунд будет в некоторых случаях обходить RunTime Detection, верить этому или нет вам решать!.

  • Binder:

Добавлять другой файл в стаб, после запуски стаба вашь RAT/Server запустится но с этим и файл который вы забиндовали.

  • Downloader:

Ну это очевидно, загружает и запускает файл с заданного URL-адреса.

  • USG – Unique Stub Generator:

Будьте уверены что чекая эту функцию вы используйте разные стабы и они будут отличатся от предыдущего крипта.

В реале это функция прост изменяет имена переменных и какие-то методы.

  • Fake Message Box:

Фейковое сообщение при запуске

  • Hide File:

файл будет Hidden поэтому жертва не может увидеть вирус в папке.

  • Antis:

Остановите свой файл от запуска, если некоторые программы работают в фоновом режиме:

  • Популярные Anti:

Anti Virtual Machine (VMWare, VirtualBox and VirtualPC)

Anti Sandboxie

Anti Wireshark

Anti Fiddler

Anti Debugger

Anti Anubis

  • Botkill:

Ищет любые существующих файлов или процессов, которые могут быть вредоносные программы и убивает / удаляет их из системы.

  • Spreaders:
  • Копирует файл в тех местах, где он может заразить других пользователей.
  • Спреадерс не работают так что не ебите себе мозгы
  • Common spreaders:
  • USB
  • Rar/Zip
  • Chat/IM (Skype, Facebook, Omegle, Twitter) -Spamming
  • Junk Code:
  • Добавляет безспалезний мусорний код для баипасса Scantime Detection
  • Remove Version Info:
  • Удаляет инфу о файле
  • Require Admin:
  • Запрашивает окно UAC с просьбой, чтобы запустить файл как Admin.
  • Certifcate Clone/Forger:
  • Добавляет сертификат к файлу
Hata
May 2, 2020, 11:23
0 reactions
0 views