About Teletype
Join
Simba_Service
@simba_service
December 5, 2024

Варианты распространения

Варианты распространения
===========================
Landing: Exe, Msi, Msix, Msc. Подходит под любые трафа.
Дорогой: Без архива нужна подпись EV за 350$ (одноразовая).
Средний : Крипт dll side придется отдавать в zip архиве с dll внутри.
Дешевый: Раздавать в 2 архивах RAR.
В этих случаях мы обходим Smart Screen.

Ставится клоака adspest на главную страницу и выдачу файла. Очень сильно помогает от ботов и покраснения домена. Бывает домены живут 1-2 года при сео траффике.

Желательно раздавать через лодер и в нем уже будет указаны линки на твои вирусы. Так будет дольше держаться крипт и меньше ругаться хром и дефендер при скачке.
===========================
Exploit
Url/lnk/xll/doc/ 1 click, Все они обходят Smart Screen и запускаются с 1 разрешением.
Url качается через браузер и в месседжерах чистым файлом. Ведет на твой сервер где стоит твой SMB где лежат файлы твоей полезной нагрузки. Хорошо подходит для распространения везде. Иконку можно ставить любую.
Gmail bypass
WD bypass
SmartScreen Bypass.
===========================
Lnk тоже самое что и Url только раздавать его нужно только в Zip потому что если качать к файлу добавляется приставка .download. Вообщем обычный ярлык , с любой иконкой как по мне хуйня, не знаю почему все юзают.
===========================
xll/docфайл exel/word запускается малврь одной кнопкой включения макросов. Идеально подходит под спам и методы связанные с СИ.
===========================
Методы СИ.
Html - дроппер Ps1 пример инвойса для корпов
Инвойс: https://invoice-doc.zip/index.html
Капча: https://google.capcha.org/ver_2/
Документ: https://prnt.sc/PWwXYp0LZ9jR

можно слать как ссылку , так и сам html атачем.
Принцип действия жертсва сама вставляет код дроппера в run и запускает, а он уже в свою очередь подружает и запускает лодел , а лодер дальше нагрузку.
Так же всю эту тему можно засунуть в PDF или любой док но добавится команда CNRL+C
===========================
Html webdav походит для рассылки и лендов
https://vimeo.com/1031937586
Аналогично url отображает любой файл который лежит у тебя на SMB webdav в проводнике жертвы , так что можно маскировать как угодно и lnk и url и чо хочешь.
===========================
WP auto inject
Так же если лень заниматься все этой хуйней с трафферами я поговорил с хакерами и взял у них софт который в авто режиме создает шел на админках wp и инжектится во все плагины и повышает свои права.
Иделаьно подойдет для капчи или подмены файлов на твои, а так же для url приманки типо error-readmi.url

December 5, 2024, 22:36
0 views
0 reactions