Статья Прячем свой грязный код от АнтиВирусов

(МЕГА-СУПЕР-КРУТО-ХАЦКЕРСКАЯ привъюшка )
Приветствие читателе форума, и просто гостей, которым мы рады :3
В этой статье я опишу способ использования инструмент под названием SigThief. Он разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет пересоздана инструментом, не действительная(фальшивая), это и есть секрет скрытия файла от АВ.

Что такое, подпись PE, читай тут:

Ссылка скрыта от гостей

Приступим: качаем с гита, заходим в папку, и проверяем "все ли на месте":

git clone https://github.com/secretsquirrel/SigThief
cd SigThief
ls -l

Можно почитать, README, запускаем скрипт, и смотрим хелп:

python sigthief.py --help

1. Проверяем Есть ли водпись в .ехе файле(немножко пришлось повозиться чтоб найти файл с сигнатурой, с Фш выташила ):

python sigthief.py -i '/opt/SigThief/Ruiner.exe' -- нету подписей
python sigthief.py -i '/media/root/UUI/11/Приложения/AGF3DPrinterDriver.exe' -- есть подпись

Примечание: Можно все файлы копировать в папку и запускать напрямую(. /pruebas/+файл), и не вводить путь к файлу. Или перетаскивать файлы в консоль, как это делала я

2. Сохранения подписи:

python sigthief.py -i '[место_к_файлу]/[имя_файла].exe' -r

3. Использовать разорванную подпись:

python sigthief.py -s [место_к_файлу]/[имя_файла].exe_sig -t [файл_цель].exe

4.Удалять подпись:
Действительно интересные результаты, может помочь вам найти AVs, которые ценят подписи больше чем функциона кода

python sigthief.py -i [место_к_файлу]/[имя_файла].exe -T

5. Создания файла с чужой подписью:

python sigthief.py -i '/opt/SigThief/url_pe.exe' -t '/opt/SigThief/Ruiner.exe' -o /tmp/url_pe_virus.exe

Очень важно! Сохранять только в /tmp/

Использовала бекдор от TheFatRat, сначала до апгрейда и после (

Ссылка скрыта от гостей

, и

Ссылка скрыта от гостей

)

Спасибо за внимание, услышемся.

 

[OneDollar]

Круть

Wow

Ваши комментарии не несут смысловой нагрузки. Если вам понравилась статья, поддержите автора лайком вместо "круть wow".

 

[IioS]

все еще работает?

Скрипт рабочий 100%. А сам метод, будет еще долго жить, так как использует чужую цифровую подпись
PS -- сам скрипт немного изменился, и мой тутор устарел, поэтому стоит заглянуть на гит автора

 

[tumm]

Такая "подпись" спасет только от гавно АВ, так как подпись не является легитимной

 

[HoffmannSV]

Подпись помогает от defendera на w10, и снижает детект. статья полезная. Не имея навыков, самостоятельно вшиваю подпись в майнер. Автору +

 

[Diplomat]

Время прошло а он работает в нужных руках!

 

[shuwaev]

скажите что куда ставить а то у меня не получается python sigthief.py -i '/opt/SigThief/url_pe.exe' -t '/opt/SigThief/Ruiner.exe' -o /tmp/url_pe_virus.exe

 

[Tihon49]

скажите что куда ставить а то у меня не получается python sigthief.py -i '/opt/SigThief/url_pe.exe' -t '/opt/SigThief/Ruiner.exe' -o /tmp/url_pe_virus.exe

Как мне кажется (ещё не пробовал сам) после -i твой_пэйлоад.exe -t фай_у_которого_забираем_подпись.exe -o выходной_файл_вирус_с_подписью.exe
Но я могу ошибаться.

 

[IioS]

Как мне кажется (ещё не пробовал сам) после -i твой_пэйлоад.exe -t фай_у_которого_забираем_подпись.exe -o выходной_файл_вирус_с_подписью.exe
Но я могу ошибаться.

Все же ты ошибаешься, и нет) Дело в том что скрипт обновили, и теперь параметры сменились. Теперь перед использованием стоит еще раз ознакомиться с пояснениям на гитхабе.

Пояснения с гитхаба

-i FILE, --file=FILE input file
-o OUTPUTFILE, -- output=OUTPUTFILE
output file
-t TARGETFILE, -- target=TARGETFILE
file to append signature too
-T, --truncate truncate signature (i.e. remove sig)

 

[fakecop]

На рантайме спалится

 

[m0nstr]

Проактивная защита один фиг спалит при запуске.

а если не проактив, то ав-фаер (тот же sharedaccess, mssvc) точно не пропустит сетевой трафик, если это worm.

Но статья зачетная, пойду проверю...

 

[lynx00y]

А можно, например, прилепить эту подпись к metasploit-овскому эксплойту?
То же самое, просто указать путь к эксплойту как к целевому файлу?

 

[IioS]

А можно, например, прилепить эту подпись к metasploit-овскому эксплойту?
То же самое, просто указать путь к эксплойту как к целевому файлу?

Попробуй) Сама не тестила, но что-то мне подсказывает что это не сработает

 

[lynx00y]

Попробуй) Сама не тестила, но что-то мне подсказывает что это не сработает

вот и я так думаю, по идее все что metasploit, отпаливается АВ на раз, так?
З.Ы. я зеленый новичок в этой теме, потому вопросы могут быть довольно глупыми

 

[IioS]

вот и я так думаю, по идее все что metasploit, отпаливается АВ на раз, так?
З.Ы. я зеленый новичок в этой теме, потому вопросы могут быть довольно глупыми

Могу сказать так же и о себе) Стоит все пробовать, и тестить, ошибки это хорошо! Без них не будет прогресса! Поэтому пробуй, пока не получиться)

 

[lynx00y]

Все же ты ошибаешься, и нет) Дело в том что скрипт обновили, и теперь параметры сменились. Теперь перед использованием стоит еще раз ознакомиться с пояснениям на гитхабе.

Пояснения с гитхаба

-i FILE, --file=FILE input file
-o OUTPUTFILE, -- output=OUTPUTFILE
output file
-t TARGETFILE, -- target=TARGETFILE
file to append signature too
-T, --truncate truncate signature (i.e. remove sig)

а кто-нибудь может для чайника пояснить это гитовское пояснение?

 

[m0nstr]

man -h man или куриманы

 

[Tihon49]

А можно, например, прилепить эту подпись к metasploit-овскому эксплойту?
То же самое, просто указать путь к эксплойту как к целевому файлу?

Я пробовал. палится Виндоус Дефендером.
Криптовать тоже не получилось (криптовал не я, отправлял "знакомому").

А вообще очень интересно было бы узнать, как, все таки, спрятать metasploit payload от, хотя бы, windows defender'а.

а кто-нибудь может для чайника пояснить это гитовское пояснение?

пример:

python sigthief.py -i файл_донор_подписи.exe -t backdoor.exe -o /tmp/любое_имя.exe

-i - путь до файла с подписью
-t - путь до нашего файла
-o - путь до нашего будующего файла

 

[lynx00y]

пример:

python sigthief.py -i файл_донор_подписи.exe -t backdoor.exe -o /tmp/любое_имя.exe

-i - путь до файла с подписью
-t - путь до нашего файла
-o - путь до нашего будующего файла

output файл нужно предварительно создать, или он создастся автоматически как-то?

что пытался сделать и что получил:

почему пишет, что нет такого файла ?

 

[Tihon49]

output файл нужно предварительно создать, или он создастся автоматически как-то?

что пытался сделать и что получил:Посмотреть вложение 21135
почему пишет, что нет такого файла ?

output файл создается сам, автоматически.

Ты не указал расширение файлов после -t и -o (должно быть .exe, ну раз тема такая)
И, возможно, одинарные ковычки лучше убрать.

P.S. Только толку не будет, т.к. все равно нагрузка палится.

 

[lynx00y]

output файл создается сам, автоматически.

Ты не укзал расширение файлов после -t и -o (должно быть .exe, ну раз тема такая)
И, возможно, одинарные ковычки лучше убрать.

да-да, уже заметил и исправил...да и вообще, непонятно, что меня дернуло в .rb пихать сигнатуру))
сейчас буду пытаться приклеить к пэйлоуду и попробовать на windows defendere. Держу в курсе)