merhaba arkadaşlar
hemen konuya giriyorum pentest için bir araç geliştirdim, araç msf payloadını özel algoritma ve değişen değişkenler ile harmanlıyarak ve bazı metodlarla birlikte msfvenom payloadlarını antivirüslerden kaçırmak için sh yani bash script ile yazdım.
araç şu anda aktif çalışıyor, şu anti antiscan.me taramasında (virüstotal vs kullanmıyorum çünkü virüstotal taranan dosyaların log larını antivürs vs şirketlerine yolluyor bu da belli süre sonunda payloadın yakalanmasına neden oluyor) %95 oranında antivürslerden kaçırmayı başardım ilk başlarda %100 dü ama şimdi 3-4 tane antivirüs şirketi payloadı yakalamaya başladı.
Bunu tersine mühendislikle toolu değiştire değiştire (ilk geliştirirken daha sonra düzenlerken) birşey farkettim.
aslında öyle güzel bir şekilde modifiye ettim ki aracı üretilen her payloadın c dili ile içeriği payloada verilen veriler ışığında değişken isimleri bunun üstüne rastgele üretilen patler vs (daha çok detaya girmeyim şimdi neyse )ile birlikte tanınmaz hale getirdim.
ama 3-4 tane antivirüs şirketi payloadı teknik olarak algılayamıyor. exe deki payload kodu şifreli halde dahi atsam birşey değişmiyecek çünkü bu her payload üretiminde değiştiği için antivirüsler algılamıyor ama bu 3-4 tane şirket payloadı powershell e kodu enjette ettiğim değişkeni direk engelliyor .
yani içeriği zararlı yazılım olmasa bile bir reverse shell olmasa bile hatta 2+2 işlemini yazdıran bir uygulama dahi olsa o değişkeni içerdiği için direk virüs kabul ediyor.
işte sizden istediğim danışmak istediğim nokta bu.
bu sorunun nasıl çözebilirim. tekrar %100 kaçmasını nasıl sağlayabilirim.
farklı bir değişken kullanamıyorum çünkü aynı işlemi yapan farkmı bir kütüphane işlemi bulunmuyor.
yani daha detaylı bir örnek verirsem olay şu:
virüsün içerisindenki
printf komutunu direk virüs sayıyor yani ne söylersen ne yaptırırsan yaptır eğer uygulama içerisinde printf varsa bunu direk virüs diyor.
bu nedenle o 3-4 anti şirketini atlatamıyorum. tamam normal uygulamalarıda virüs kabul ediyorlar bu yöntemle ama kabul edilebilir seviyede demekki ki böyle bir yöntemi uygun görmüşler.
sizde nasıl bir yol izlemeliyim?
acaba bu printf komutunu şifreleyip exe çalıştıktan 2 saniye sonra bu komutu deşifre edip deşifre edilen printf komutunu verip çalıştırmam mümkün mü?
yani derlenmiş bir programın içinde şifreli haldeki printf komutunu asgkwld gibi tutup çalıştıktan 2 saniye vs sonra printf " örnek" haline getirip çalışmasını nasıl sağlayabilirim.
not: bu aracı işim gereği pentestlerde kullanmak ve birazda iş güç vs de referans olması açısından düzenleyip geliştirdim. amacım hack vs değil yani. tamamen pentestler için geliştirdim ama yinede bir meterpreter payloadını antivirüslerden kaçırmak şirkete vs sızma testi yaparken işimi çok kolaylaştıracak o nedenle yardımınızı istiyorum.
amacım hack olsa idi .dll enjeksiyonu vs araştırır kendim tamamen yakalanmaz başka bir uygulama yazardım belki ama hem çok mesele o hemde meterpreterin sağladığı kolaylıklar varken sıfırdan bir keyloger yazmak bile uzun iş.
ki .dll enjeksiyon mantığı ile çalışan ve 2006 dan beri faaliyette olan çin istihbarat teşkilatının kulladığı casus yazılım daha geçen aylarda yeni farkedildi düşünün adamlar senelerdir kullanıyor
yani yöntem güzel ama sıfırdan öyle birşey yazmak mesele.
benim derdim hali hazırla iş yapan şu aracı nasıl %100 yakalanmazlığa tekrar çıkarırımç
bunun içinde nasıl komutu şifreli halde saklar ve deşifre edilmiş komutu çalıştırmanın bir yolunu nasıl sağlayabilirim.
dil olarak C kullanıyorum daha doğrusu aradil olarak. C yi derleyip virüs payloadı exe ye çevriliyor.
yardımlarınız için şimdiden teşekkürler.
aracın ismini burda vermiyorum kimliğimi deşifre etmemek adına ve malum kötü niyetle kullanmak için azının suyu akmış onlarca lamere böyle bir araç vermek istemiyorum açıkcası.
ama siber güvenlik uzmanları varsa aranızda zaten aracı bulacaktır. bulamayanlarada özelden ismini veririm daha sonra.
hemen konuya giriyorum pentest için bir araç geliştirdim, araç msf payloadını özel algoritma ve değişen değişkenler ile harmanlıyarak ve bazı metodlarla birlikte msfvenom payloadlarını antivirüslerden kaçırmak için sh yani bash script ile yazdım.
araç şu anda aktif çalışıyor, şu anti antiscan.me taramasında (virüstotal vs kullanmıyorum çünkü virüstotal taranan dosyaların log larını antivürs vs şirketlerine yolluyor bu da belli süre sonunda payloadın yakalanmasına neden oluyor) %95 oranında antivürslerden kaçırmayı başardım ilk başlarda %100 dü ama şimdi 3-4 tane antivirüs şirketi payloadı yakalamaya başladı.
Bunu tersine mühendislikle toolu değiştire değiştire (ilk geliştirirken daha sonra düzenlerken) birşey farkettim.
aslında öyle güzel bir şekilde modifiye ettim ki aracı üretilen her payloadın c dili ile içeriği payloada verilen veriler ışığında değişken isimleri bunun üstüne rastgele üretilen patler vs (daha çok detaya girmeyim şimdi neyse )ile birlikte tanınmaz hale getirdim.
ama 3-4 tane antivirüs şirketi payloadı teknik olarak algılayamıyor. exe deki payload kodu şifreli halde dahi atsam birşey değişmiyecek çünkü bu her payload üretiminde değiştiği için antivirüsler algılamıyor ama bu 3-4 tane şirket payloadı powershell e kodu enjette ettiğim değişkeni direk engelliyor .
yani içeriği zararlı yazılım olmasa bile bir reverse shell olmasa bile hatta 2+2 işlemini yazdıran bir uygulama dahi olsa o değişkeni içerdiği için direk virüs kabul ediyor.
işte sizden istediğim danışmak istediğim nokta bu.
bu sorunun nasıl çözebilirim. tekrar %100 kaçmasını nasıl sağlayabilirim.
farklı bir değişken kullanamıyorum çünkü aynı işlemi yapan farkmı bir kütüphane işlemi bulunmuyor.
yani daha detaylı bir örnek verirsem olay şu:
virüsün içerisindenki
printf komutunu direk virüs sayıyor yani ne söylersen ne yaptırırsan yaptır eğer uygulama içerisinde printf varsa bunu direk virüs diyor.
bu nedenle o 3-4 anti şirketini atlatamıyorum. tamam normal uygulamalarıda virüs kabul ediyorlar bu yöntemle ama kabul edilebilir seviyede demekki ki böyle bir yöntemi uygun görmüşler.
sizde nasıl bir yol izlemeliyim?
acaba bu printf komutunu şifreleyip exe çalıştıktan 2 saniye sonra bu komutu deşifre edip deşifre edilen printf komutunu verip çalıştırmam mümkün mü?
yani derlenmiş bir programın içinde şifreli haldeki printf komutunu asgkwld gibi tutup çalıştıktan 2 saniye vs sonra printf " örnek" haline getirip çalışmasını nasıl sağlayabilirim.
not: bu aracı işim gereği pentestlerde kullanmak ve birazda iş güç vs de referans olması açısından düzenleyip geliştirdim. amacım hack vs değil yani. tamamen pentestler için geliştirdim ama yinede bir meterpreter payloadını antivirüslerden kaçırmak şirkete vs sızma testi yaparken işimi çok kolaylaştıracak o nedenle yardımınızı istiyorum.
amacım hack olsa idi .dll enjeksiyonu vs araştırır kendim tamamen yakalanmaz başka bir uygulama yazardım belki ama hem çok mesele o hemde meterpreterin sağladığı kolaylıklar varken sıfırdan bir keyloger yazmak bile uzun iş.
ki .dll enjeksiyon mantığı ile çalışan ve 2006 dan beri faaliyette olan çin istihbarat teşkilatının kulladığı casus yazılım daha geçen aylarda yeni farkedildi düşünün adamlar senelerdir kullanıyor
yani yöntem güzel ama sıfırdan öyle birşey yazmak mesele.benim derdim hali hazırla iş yapan şu aracı nasıl %100 yakalanmazlığa tekrar çıkarırımç
bunun içinde nasıl komutu şifreli halde saklar ve deşifre edilmiş komutu çalıştırmanın bir yolunu nasıl sağlayabilirim.
dil olarak C kullanıyorum daha doğrusu aradil olarak. C yi derleyip virüs payloadı exe ye çevriliyor.
yardımlarınız için şimdiden teşekkürler.
aracın ismini burda vermiyorum kimliğimi deşifre etmemek adına
ve malum kötü niyetle kullanmak için azının suyu akmış onlarca lamere böyle bir araç vermek istemiyorum açıkcası.ama siber güvenlik uzmanları varsa aranızda zaten aracı bulacaktır. bulamayanlarada özelden ismini veririm daha sonra.
