Runion
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an alternative browser.
You should upgrade or use an alternative browser.
[MALWARE] Задай вопрос - получи ответ
- Thread starter rtkm
- Start date
chromium сказал(а):
Какой принцип работы стилера?
Поиск файлов на ПК,паролей,кошельков и т.д.Если надо расшифровка инфы и отправка на сервер.
chromium сказал(а):
Откуда он берет пароли? Как узнать, где та или иная программа хранит пароли и извлечь их?
Самый простой способ: нагуглить.
Ещё вариант: перебор наиболее вероятных папок вручную
SysTracer
process explorer (*кликабельно*) + "ctrl+L", можно увидеть открытые файлы, но если программа открывает и закрывает файл с паролями только когда требуется прочесть/записать в него что-либо (что весьма вероятно), то может и не получится "поймать" файл.
Самый надёжный, но не самый быстрый вариант: отреверсить (к примеру, с помощью IDA+x64Dbg/Immunity Debugger) программу и выяснить - где она хранит пароли.
Последнее редактирование: 02.11.2018
Интересует такой вопрос. Некоторые селлеры инсталлов льют файл со своих лоадеров. Скорость запуска где то 1000 за 3 минуты. Я пробовал написать свой лоадер, но АВ его удаляют через пару дней. Можете подсказать, как сделать/достать/купить неубиваемый лоадер? И возможно ли это?
Неубиваемого нет и быть не может, разе что свой код не куда не заливать и не как не использовать и то не поможет ( могу обьяснить подробней если надо)
Единственное что ты можешь сделать это писать и постоянно совершенствовать, плюс каждый залив (операция) как минимум свой билд а в реале лучше: новые стринги в коде, импорты, ресурсы и другой серт.
По сути борьба с АВ это игра в кошки мышки, если софт будет использован в массовых проливах то игра еще сложнее, то есть надо поддерживать код постоянно чистым и свежим, переписывая и совершенствуя.
Единственное что ты можешь сделать это писать и постоянно совершенствовать, плюс каждый залив (операция) как минимум свой билд а в реале лучше: новые стринги в коде, импорты, ресурсы и другой серт.
По сути борьба с АВ это игра в кошки мышки, если софт будет использован в массовых проливах то игра еще сложнее, то есть надо поддерживать код постоянно чистым и свежим, переписывая и совершенствуя.
Пожалуйста, обратите внимание, что пользователь заблокировануруру сказал(а):
Интересует такой вопрос. Некоторые селлеры инсталлов льют файл со своих лоадеров. Скорость запуска где то 1000 за 3 минуты. Я пробовал написать свой лоадер, но АВ его удаляют через пару дней. Можете подсказать, как сделать/достать/купить неубиваемый лоадер? И возможно ли это?
крипторы решат твою проблему) И то надо стаб обновлять по мере детектов
rabies сказал(а):
крипторы решат твою проблему) И то надо стаб обновлять по мере детектов
А как обновлять стаб? Т.е. загружать новый ехе? Но это же Dropper Trojan. Участок кода, ответственный за обновление стаба будет детектиться в рантайме. К тому же нужна пропись в реестр для автозапуска. На этом этапе ехе улетит в аверлабу на анализ. Или нет?
rabies сказал(а):
крипторы решат твою проблему) И то надо стаб обновлять по мере детектов
Крипторы проблему не решают, точнее решают но не на долго, в любом случае если хочется быть впереди АВ тебе нужен свой софт с исходниками на руках, своими исходниками или как минимум чужие с переписанными ключевыми функциями и методами.
sii сказал(а):
Лодырь не инсталится в систему задача лоадера просто выкачать и запустить софт, обычно еще и опознать систему и по этим данным выбрать что именно загружать и запускать. А вот записывается в автозапуск уже софт им запущенный бот/рат/итд тип
лодырь пишется в авторан или таски еще как. например ботнет - лодырь с плюшками.
уруру сказал(а):
лодырь пишется в авторан или таски еще как. например ботнет - лодырь с плюшками.
Бот бывают с функцией лодыря но это не делает его лодырем, боты бывают и с функциями стила но стилом от этого не становятся.
Blitz сказал(а):
лоадеры бывают:
резидентными - пишутся в автозагрузку и выполняют задания пока живы.
нерезидентными - в автозагрузку не пишутся, выполняют задание и завершают свою работу, либо висят в памяти и выполняют задания, до перезагрузки.
Задача лодыря загрузить что понятно из названия, а выполняющий резидентно задания берущий их из админки это уже бот или троян.
Это все игра слов и не суть важно.
Да, малварь это постоянная гонка вооружений, причем гонка весьма тупая (в 99% случаев). С одной стороны сидит толпа народа, которая делает софт максимально похожим на легитимный (добавляет комбинации апи в импорт, разбавляет файл мусором и т.д.), с другой толпа ищет какие-то признаки, вида строка+строка, или поведение, и добавляет детекты. При этом под расдачу попадают и легитимные проги, скажем почти все упаковщики палятся аверами как малвара, или есть список "подозрительных" апи-функций, за вызов которых будет детект , хоть даже твоя прога 100% белая. Реальной борьбы нет, аверы могли бы ликвидировать 99% малвари (1% отдаем на эксплойты и прочие зиродей методы), но это им не выгодно.
А так, надо постоянно обновлять лоадер, т.е. чистить его (имея сорцы, лучше так, чем криптовать, особенно учитывая качество крипторов).
Да, малварь это постоянная гонка вооружений, причем гонка весьма тупая (в 99% случаев). С одной стороны сидит толпа народа, которая делает софт максимально похожим на легитимный (добавляет комбинации апи в импорт, разбавляет файл мусором и т.д.), с другой толпа ищет какие-то признаки, вида строка+строка, или поведение, и добавляет детекты. При этом под расдачу попадают и легитимные проги, скажем почти все упаковщики палятся аверами как малвара, или есть список "подозрительных" апи-функций, за вызов которых будет детект , хоть даже твоя прога 100% белая. Реальной борьбы нет, аверы могли бы ликвидировать 99% малвари (1% отдаем на эксплойты и прочие зиродей методы), но это им не выгодно.
А так, надо постоянно обновлять лоадер, т.е. чистить его (имея сорцы, лучше так, чем криптовать, особенно учитывая качество крипторов).
По поводу игры слов, не согласен с вами, тут речь идет о терминах которые как не крути должны иметь какое-то одно значение иначе мы будем вводить друг друга в заблуждение.
А поводу теории заговоров АВ это конечно весьма популярная точка зрения но я считаю что очень далека от реальности. Просто начнем с количества софта написанного под Win далее добавим еще количество версий WIn ну сверху приправим обратной совместимостью, щепотку корп решений с закрытым кодом и мы получим +- майкрософтовский зоопарк в котором куча софта ведет себя как малварь и если АВ начнут себя вести более жестко мы получим кучу ошибочных срабатываний, что в принципе и относится к ситуации с пакерами (ну да +- тут есть нюансы что методы пакеров да и сами пакеры любимы очень разными малварекодерами). Да у нас решения такие как endgme, fireye которые смотрят на события и следят как за каждым процессом так и за картиной в общем, это конечно хороший подход, но пока можно мимкрировать, у нас есть АВ которые файл неизвестный облаку не даст запустить, вроде тоже выход но очень неудобный, то есть что мы видим АВ пытаются бороться но или пока метод сырой или слишком много неудобства. По этому я считаю что нет заговора ( когда-то был но не заговор а что-то из разряда: зачем тратить деньги если можно не тратить) но на данный момент то количество малвари которая бегает заставляет их напрягаться, но получается пока что плохо.
Отредактировал немного орфографию и текст.
Последнее редактирование: 10.12.2018
А поводу теории заговоров АВ это конечно весьма популярная точка зрения но я считаю что очень далека от реальности. Просто начнем с количества софта написанного под Win далее добавим еще количество версий WIn ну сверху приправим обратной совместимостью, щепотку корп решений с закрытым кодом и мы получим +- майкрософтовский зоопарк в котором куча софта ведет себя как малварь и если АВ начнут себя вести более жестко мы получим кучу ошибочных срабатываний, что в принципе и относится к ситуации с пакерами (ну да +- тут есть нюансы что методы пакеров да и сами пакеры любимы очень разными малварекодерами). Да у нас решения такие как endgme, fireye которые смотрят на события и следят как за каждым процессом так и за картиной в общем, это конечно хороший подход, но пока можно мимкрировать, у нас есть АВ которые файл неизвестный облаку не даст запустить, вроде тоже выход но очень неудобный, то есть что мы видим АВ пытаются бороться но или пока метод сырой или слишком много неудобства. По этому я считаю что нет заговора ( когда-то был но не заговор а что-то из разряда: зачем тратить деньги если можно не тратить) но на данный момент то количество малвари которая бегает заставляет их напрягаться, но получается пока что плохо.
Отредактировал немного орфографию и текст.
Последнее редактирование: 10.12.2018
sii сказал(а):
По поводу игры слов, не согласен с вами, тут речь идет о терминах которые как не крути должны иметь какое-то одно значение иначе мы будем вводить друг друга в заблуждение.
sii сказал(а):
и если АВ начнут себя вести более жестко мы получим кучу ошибочных срабатываний,
Ну тогда вы должны знать, что лоадеры есть резидентные и нерезидентные. Это общепринятая практика. Откройте любую комерц тему по малваре, и убедитесь сами. Даже далекие от малваре кардеры и сотоварищи это знают. Лоадер это то, что загружает другой файл, не-резидент отличается от резидента отсутствием автозагрузки. Все.
Они есть уже лет 10-15. Помню дебаты 2006 года, как говнод32 банил все защиты от взлома, уничтожая shareware-биз мелких компаний. Или то, что масм-стаб (а также фасм, с++6 и прочие старые компилеры) по дефолту палятся 10-15 аверами, как троян. Аверы давно уже жестят, но не там, где надо. Проблема аверов, что там работают дибилы и дегенераты, это как менты - туда идут ущербные люди с комплексами. В итоге авер не пишет проактивку, которая убила бы 99% малвары, а пишет сигнатуру/эвристику, ну а что, так же проще. Юзаешь криптоапи - значит, малварь, нет crt в импорте - малварь, секции объединены - малварь.
Вот в чем проблема победить те же криптолокеры? Неужели так сложно отловить попытки записи в файлы? Никакой легитимный софт не ведет себя так, да даже банально по попыткам записи в какой-то pdf можно сразу блокировать софт как вредоносный. Но нет, аверы этого не умеют. Зато теперь почти любая прога с CryptoApi детектится как варианты gandcrab'a. И таких примеров множество.