• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Прячем свой грязный код от АнтиВирусов

IioS

IioS

Well-known member
09.06.2017
244
489
Прячем свой грязный код от АнтиВирусов

(МЕГА-СУПЕР-КРУТО-ХАЦКЕРСКАЯ привъюшка :) )
Приветствие читателе форума, и просто гостей, которым мы рады :3
В этой статье я опишу способ использования инструмент под названием SigThief. Он разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет пересоздана инструментом, не действительная(фальшивая), это и есть секрет скрытия файла от АВ.

Что такое, подпись PE, читай тут:


Приступим: качаем с гита, заходим в папку, и проверяем "все ли на месте":
Код:
git clone https://github.com/secretsquirrel/SigThief
cd SigThief
ls -l
Прячем свой грязный код от АнтиВирусов

Можно почитать, README, запускаем скрипт, и смотрим хелп:
Код:
python sigthief.py --help
Прячем свой грязный код от АнтиВирусов


1. Проверяем Есть ли водпись в .ехе файле(немножко пришлось повозиться чтоб найти файл с сигнатурой, с Фш выташила :) ):
Код:
python sigthief.py -i '/opt/SigThief/Ruiner.exe' -- нету подписей
python sigthief.py -i '/media/root/UUI/11/Приложения/AGF3DPrinterDriver.exe' -- есть подпись
Прячем свой грязный код от АнтиВирусов


Примечание: Можно все файлы копировать в папку и запускать напрямую(. /pruebas/+файл), и не вводить путь к файлу. Или перетаскивать файлы в консоль, как это делала я :)

2. Сохранения подписи:
Код:
python sigthief.py -i '[место_к_файлу]/[имя_файла].exe' -r
Прячем свой грязный код от АнтиВирусов


3. Использовать разорванную подпись:
Код:
python sigthief.py -s [место_к_файлу]/[имя_файла].exe_sig -t [файл_цель].exe
Прячем свой грязный код от АнтиВирусов


4.Удалять подпись:
Действительно интересные результаты, может помочь вам найти AVs, которые ценят подписи больше чем функциона кода
Код:
python sigthief.py -i [место_к_файлу]/[имя_файла].exe -T

5. Создания файла с чужой подписью:
Код:
python sigthief.py -i '/opt/SigThief/url_pe.exe' -t '/opt/SigThief/Ruiner.exe' -o /tmp/url_pe_virus.exe
Очень важно! Сохранять только в /tmp/

Использовала бекдор от TheFatRat, сначала до апгрейда и после ( , и )

Спасибо за внимание, услышемся.

 
Ondrik8

Ondrik8

prodigy
08.11.2016
1 006
2 988
У Вас грязный код!? Тогды Мы идем к Вам!

Браво!) Впечатляет! ) чую в нашей уютной секте скоро появиться девушка)
 
Последнее редактирование:
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Очень информативно
 
  • Нравится
Реакции: Teo
IioS

IioS

Well-known member
09.06.2017
244
489
Так как ссылки, на тесты перестали быть активны(может только для меня). Я решила залить скрин тестов, до, и после

Прячем свой грязный код от АнтиВирусов
 
PenGenKiddy

PenGenKiddy

Active member
28.07.2017
30
58
Окей, но ведь должны что существует 3 типа анализа вирусов
P. S. Статья хорошая, просто хочу сказать то, что знаю
Сигнатурный - Который вы как видно обходите в данной статье
Проактивный - Обход только путем обфускации памяти или изменения алгоритмов
БрейнЧек (Называю это так я и ещё пару человек, настоящего названия не знаю, возможно просто WhiteList) - Ну это тупо белый список файлов, не обойти (Простым смертным уж точно ;3)

Раньше (года 2 назад) мы били файлы на несколько частей и чекали части в антивирусах, те которые палили записывали
И получалось найти OFFSET Hex`a сигнатуры который палится, а также его длину, дальше надо было просто немного изменить инструкции или добавить несколько NOP

Так-же можно наговнокодить RunPE на каких нибудь плюсах и бросать файл прямо в память

* Возможно где то мог наврать, чистили треш года 2 назад на IFud (Форум старичок), потом все стали взрослые и начали работать :)
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
я сначала прочитал название "Прячем свой код от грязных антивирусов" )))
Спасибо за материал!
"от грязных антивирусов" :) меня действительно повеселили эти строки. Спасибо. Давно так не смеялся.
Но когда я действительно хочу посмеяться, то иду на Али
Прячем свой грязный код от АнтиВирусов

Там элитные товары "для еенщин и муечин". Забавно, не правда?
 
Последнее редактирование:
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
надеюсь, что этот способ проживет долгую и счастливую жизнь..)
 
  • Нравится
Реакции: nikos и Ondrik8
B

Breed

Заблокирован
18.06.2017
194
242
Статейка зачетная.
Снимаю шляпу :).
За свою практику встречаю вторую женщину с таким уровнем :)

надеюсь, что этот способ проживет долгую и счастливую жизнь
Эти б слова, да Богу в уши: SigThief опубликован всего месяц назад. Еще месячишко и результат будет виден.
 
  • Нравится
Реакции: Teo, Sphinx и OneDollar
Black Diver

Black Diver

Active member
24.01.2017
35
56
symantec распознает подписанные пейлоады. Остальные антивирусы попробую проверить позднее.
 
  • Нравится
Реакции: id2746
M

MR.L

Годно как мне кажется, нужно попробовать вечером...
 
E

Elektrolife

Well-known member
21.10.2016
216
33
А есть что то похожее для PDF DOC файлов ? Сколько не пробую - не могу получить FUD,популярные антивири всё равно палят
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Лучше такую фичу под ведроид и было бы счастье)
 
woolf1514

woolf1514

Well-known member
06.03.2017
162
169
Вот мой результат:

link removed link removed

Метод рабочий, но, возможно, я что-то не до конца понял... Благодуха!
 

Вложения

IioS

IioS

Well-known member
09.06.2017
244
489
Вот мой результат:
Метод рабочий, но, возможно, я что-то не до конца понял... Благодуха!
Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу :), но что это бекдор? червь? майнер? )?
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу :), но что это бекдор? червь? майнер? )?
Скорее всего РМС ник какой-то)
 
woolf1514

woolf1514

Well-known member
06.03.2017
162
169
Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу :), но что это бекдор? червь? майнер? )?
Это exe, который позволяет другой exe файл превратить в службу. И в этом другом exe файле зашит майнер)) Черт, никогда не задумывался, что, оказывается, схема построена слишком сложно.
 
  • Нравится
Реакции: OneDollar
STvegas

STvegas

New member
23.10.2016
3
2
Проактивная защита один фиг спалит при запуске.
 
  • Нравится
Реакции: m0nstr и fakecop
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб