Proyectos Malware

Iniciado por cpu2, 8 Agosto 2014, 21:22 PM

0 Miembros y 3 Visitantes están viendo este tema.

cpu2

Bien, escribo este hilo porque tengo un proyecto junto al usuario @Vaagish. El tenia una RS y yo le ayude ha mejorarla y todo eso.

Pero sucedia lo de siempre que la RS era detectada con cualquier cosa, asi que le ayude en el algoritmo de cifrado y el stud, tambien en potenciar la funcion de busqueda de offset de las funciones. El colaboro en el code en si y en alinearlo todo es su sitio.

Al principio el usuario @Vaagish contruyo su propio stud y cifrado el mismo un XOR, pero este tenia muchas detecciones como unas 5, asi que construi uno con un XOR y una rutina que no pienso decir, y para mi sorpresa la RS quedo FUD, bueno quedaron al principio 2 detecciones pero era problema de alguna cosa del linker el lo arreglo y quedo FUD.

La pregunta es que podemos hacer legalmente con todas estas cosas? El crypter y todo esto, le puede interesar alguna empresa o algo parecido, prestar nuestros servicios etc...

Igualmente la RS no es una cualquiera. Y ademas por parte mia y tambien suya, tengo muchas ideas para stud`s y cosas asi, y viendo que con el stud de 10 minutos que hice y quedo FUD, igualmente tengo muchas cosas mas complejas que se que funcionan y no las escrito todavia.

Espero vuestra colaboracion, ya vieron de que somos legales.

Un saludo.

softer2


cpu2

Reverse Shell, pensaba que no se tendrian problemas para entenderlo...

Un saludo.

engel lex

Cita de: cpu2 en  8 Agosto 2014, 21:44 PM
Reverse Shell, pensaba que no se tendrian problemas para entenderlo...

Un saludo.

no puedes obviar que todos manejan tus términos igual :s (puedes hacer cualquier búsqueda y verás que no es un termino comúnmente asociado)

en general legalmente un reverse shell es complicado ya que el derecho a la privacidad en la muchos de los paises te protege incluso a nivel laboral (en la computadora de tu oficina)

una empresa que tenga sus sistemas, usará administradores remotos standard y no requiere el paso fuera de la vista del antivirus

por otro lado el crypter es un cuento diferente, ya que muchos programas legales pueden producir falsos negativos o sus dueños quieren protegerlos, para las empresas de desarrollo de software con casos de piratería hay algún chance que les pueda agradar ese tipo de cosas
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

cpu2

Cita de: engel lex en  9 Agosto 2014, 01:05 AM
no puedes obviar que todos manejan tus términos igual :s (puedes hacer cualquier búsqueda y verás que no es un termino comúnmente asociado)

en general legalmente un reverse shell es complicado ya que el derecho a la privacidad en la muchos de los paises te protege incluso a nivel laboral (en la computadora de tu oficina)

una empresa que tenga sus sistemas, usará administradores remotos standard y no requiere el paso fuera de la vista del antivirus

Me lo suponia, pero queria asegurarme y lo puse.

Cita de: engel lex en  9 Agosto 2014, 01:05 AMpor otro lado el crypter es un cuento diferente, ya que muchos programas legales pueden producir falsos negativos o sus dueños quieren protegerlos, para las empresas de desarrollo de software con casos de piratería hay algún chance que les pueda agradar ese tipo de cosas

Perfecto ahora seria buscar a una empresa que le interesen estas cosas, a las empresas de malware por ejemplo? Piensa que vulneremos sus productos y heuristica por mi parte en 10 min.

Un saludo.

engel lex

Cita de: cpu2 en  9 Agosto 2014, 07:38 AM
Perfecto ahora seria buscar a una empresa que le interesen estas cosas, a las empresas de malware por ejemplo? Piensa que vulneremos sus productos y heuristica por mi parte en 10 min.

empresas de malware? XD tal cosa no puede existir porque el malware está contra la ley, sería como decir "una empresa de narcotrafico" me refiero empresas normales de software las cuales no quieren que su software tenga falsos positivos o sea fácilmente auditado (hasta empresas se software administrativo pueden estar en este lote)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

cpu2

Uff menuda empanada, quise decir empresas anti-malware, y cosas asi por el estilo, bueno ahora seria encontrar alguna empresa de estas que dices que este interesada en algo asi, bueno espero mas respuestas por parte de todos.

Un saludo.

x64core

Si el crypter tiene alguna interesante tecnica para saltarte los Antivirus pueda que sí, aunque lo más probable es que no. Y me
refiero al menos como Kaspersky que para saltarte todos los modulos de protección se require un conocimiento decente de como
los Antivirus funcionan otros como Avira, Nod32, Panda son un chiste.


cpu2

Cita de: x64Core en 10 Agosto 2014, 05:39 AM
Si el crypter tiene alguna interesante tecnica para saltarte los Antivirus pueda que sí, aunque lo más probable es que no. Y me
refiero al menos como Kaspersky que para saltarte todos los modulos de protección se require un conocimiento decente de como
los Antivirus funcionan otros como Avira, Nod32, Panda son un chiste.

Bueno, de todas las cosas que tenia pensadas, probemos las mas facil, y quedo FUD.

Es muy sencillo como unas 20 lineas de ASM y un cifrado XOR como dije, por eso me sorpendio ya que gente utiliza el RC4, RC5, y aun asi tiene detecciones...

Apenas tuve que meter code "basura" en las islas del code...

El analisis lo hizo @Vaagish en una de esas paginas de escaneo que en teoria no distribuye nada, no se si el Kaspersky tendria todos sus modulos de proteccion activos, pero en teoria si, no?

Fue mi manera de pasar el stud, ua que como dije anteiormente el tenia detecciones, con el suyo.

Otra cosa ya que participaste y la verdad esperaba una respuesta tuya, el payload que probemos era muy facil una reverse shell como dije, bueno esta bastante currada no es como una cualquiera, si esta sin cifrar tenia por lo menos unas 10 - 15 detecciones creo, y luego con el suyo unas 5 y el mio que do FUD, significa que dejaria FUD cualquier cosa depende de lo complejo que sea el malware o payload no?

Un saludo.

Vaagish

Buenas! El kaspersky esta incluido, unos 32 av's.. yo creo que el metodo tiene cosas novedosas,, y otra cosa que lo hace bueno es la simplicidad y rapidez.. gracias por las respuestas!

Saludos!