Статья Прячем свой грязный код от АнтиВирусов

(МЕГА-СУПЕР-КРУТО-ХАЦКЕРСКАЯ привъюшка )
Приветствие читателе форума, и просто гостей, которым мы рады :3
В этой статье я опишу способ использования инструмент под названием SigThief. Он разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет пересоздана инструментом, не действительная(фальшивая), это и есть секрет скрытия файла от АВ.

Что такое, подпись PE, читай тут:

Ссылка скрыта от гостей

Приступим: качаем с гита, заходим в папку, и проверяем "все ли на месте":

git clone https://github.com/secretsquirrel/SigThief
cd SigThief
ls -l

Можно почитать, README, запускаем скрипт, и смотрим хелп:

python sigthief.py --help

1. Проверяем Есть ли водпись в .ехе файле(немножко пришлось повозиться чтоб найти файл с сигнатурой, с Фш выташила ):

python sigthief.py -i '/opt/SigThief/Ruiner.exe' -- нету подписей
python sigthief.py -i '/media/root/UUI/11/Приложения/AGF3DPrinterDriver.exe' -- есть подпись

Примечание: Можно все файлы копировать в папку и запускать напрямую(. /pruebas/+файл), и не вводить путь к файлу. Или перетаскивать файлы в консоль, как это делала я

2. Сохранения подписи:

python sigthief.py -i '[место_к_файлу]/[имя_файла].exe' -r

3. Использовать разорванную подпись:

python sigthief.py -s [место_к_файлу]/[имя_файла].exe_sig -t [файл_цель].exe

4.Удалять подпись:
Действительно интересные результаты, может помочь вам найти AVs, которые ценят подписи больше чем функциона кода

python sigthief.py -i [место_к_файлу]/[имя_файла].exe -T

5. Создания файла с чужой подписью:

python sigthief.py -i '/opt/SigThief/url_pe.exe' -t '/opt/SigThief/Ruiner.exe' -o /tmp/url_pe_virus.exe

Очень важно! Сохранять только в /tmp/

Использовала бекдор от TheFatRat, сначала до апгрейда и после (

Ссылка скрыта от гостей

, и

Ссылка скрыта от гостей

)

Спасибо за внимание, услышемся.

 

[Ondrik8]

У Вас грязный код!? Тогды Мы идем к Вам!

Браво!) Впечатляет! ) чую в нашей уютной секте скоро появиться девушка)

 

[ghost]

Очень информативно

 

[IioS]

Так как ссылки, на тесты перестали быть активны(может только для меня). Я решила залить скрин тестов, до, и после

 

[id2746]

я сначала прочитал название "Прячем свой код от грязных антивирусов" )))
Спасибо за материал!

 

[PenGenKiddy]

Окей, но ведь должны что существует 3 типа анализа вирусов
P. S. Статья хорошая, просто хочу сказать то, что знаю
Сигнатурный - Который вы как видно обходите в данной статье
Проактивный - Обход только путем обфускации памяти или изменения алгоритмов
БрейнЧек (Называю это так я и ещё пару человек, настоящего названия не знаю, возможно просто WhiteList) - Ну это тупо белый список файлов, не обойти (Простым смертным уж точно ;3)

Раньше (года 2 назад) мы били файлы на несколько частей и чекали части в антивирусах, те которые палили записывали
И получалось найти OFFSET Hex`a сигнатуры который палится, а также его длину, дальше надо было просто немного изменить инструкции или добавить несколько NOP

Так-же можно наговнокодить RunPE на каких нибудь плюсах и бросать файл прямо в память

* Возможно где то мог наврать, чистили треш года 2 назад на IFud (Форум старичок), потом все стали взрослые и начали работать

 

[ghost]

я сначала прочитал название "Прячем свой код от грязных антивирусов" )))
Спасибо за материал!

"от грязных антивирусов" меня действительно повеселили эти строки. Спасибо. Давно так не смеялся.
Но когда я действительно хочу посмеяться, то иду на Али

Там элитные товары "для еенщин и муечин". Забавно, не правда?

 

[OneDollar]

надеюсь, что этот способ проживет долгую и счастливую жизнь..)

 

[Breed]

Статейка зачетная.
Снимаю шляпу .
За свою практику встречаю вторую женщину с таким уровнем

надеюсь, что этот способ проживет долгую и счастливую жизнь

Эти б слова, да Богу в уши: SigThief опубликован всего месяц назад. Еще месячишко и результат будет виден.

 

[Black Diver]

symantec распознает подписанные пейлоады. Остальные антивирусы попробую проверить позднее.

 

[MR.L]

Годно как мне кажется, нужно попробовать вечером...

 

[Leren]

Да, это жеско

 

[Elektrolife]

А есть что то похожее для PDF DOC файлов ? Сколько не пробую - не могу получить FUD,популярные антивири всё равно палят

 

[OneDollar]

Лучше такую фичу под ведроид и было бы счастье)

 

[woolf1514]

Вот мой результат:

link removed link removed

Метод рабочий, но, возможно, я что-то не до конца понял... Благодуха!

 

[OneDollar]

Вот мой результат:

link removed link removed

Метод рабочий, но, возможно, я что-то не до конца понял... Благодуха!

C помощью чего ты такой палевный билд сделал ?)

 

[IioS]

Вот мой результат:
Метод рабочий, но, возможно, я что-то не до конца понял... Благодуха!

Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу , но что это бекдор? червь? майнер? )?

 

[OneDollar]

Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу , но что это бекдор? червь? майнер? )?

Скорее всего РМС ник какой-то)

 

[woolf1514]

Я сделала бекдор от FatRat, по причине что он не очень палевной, у меня получилось сделать его - невидимым. А что ты драл исходным материалом(то что очень палевной вижу , но что это бекдор? червь? майнер? )?

Это exe, который позволяет другой exe файл превратить в службу. И в этом другом exe файле зашит майнер)) Черт, никогда не задумывался, что, оказывается, схема построена слишком сложно.

 

[STvegas]

Проактивная защита один фиг спалит при запуске.