Перейти к содержанию

che5n0k

Пользователь
  • Публикаций

    11
  • Зарегистрирован

  • Посещение

Репутация

81 Excellent

Информация о che5n0k

  1. Подробнее функционал. Кому еще нужно? Работы по чисткам много, не выгодно для одного делать. Бэксокс подойдет? хотя другое и не предлагаю
  2. Связки

    https://dedik.cc/index.php?showtopic=53469 Есть же тема уже, зачем тут срать? Ой...
  3. Ботнеты в наше время

    Да, скорее всего не будет, мало кто под себя такое пишет, много работы, ведь все должно на автомате решаться. Можно сильно упростить если получать репутацию файла из инета, если очень часто приходят новые файлы на автозагрузку и в итоге по хэшу старые файлы вредоносные которые были на месте нового то бот 100%. Но эти методы только для прям очень простых методик. Напр. поставил я подписанную ехе на автолоад и возле нее .dll свою уже обновляю, прийдется уже смотреть какие .dll тянет ехе, и т.п. короче сильно прийдется заморочиться чтоб сделать чтото нормальное. И это актуально только для грязных лодов, со связки напр. где на одни и теже уязвимые тачки набиваются боты всех кто закупается у одного селлера трафф. Если со спама по уник базам то вероятность встретить соседей не так велика.
  4. Ботнеты в наше время

    Запомнить какие пути, файлы стоят на автолоде и при появлении новых подозревать их, особенно если прогруз со связки или другого источника с соседями. Верно, нужно код выносить из бота который можно вынести, чтоб меньше нареверсили инфы в итоге и легче был бот чтоб обфусцировтаь было меньше, а темболее вручную чистить. Есть смысл в таком модуле для бота в аренду если он будет сделан очень хорошо и чисто. Только нужны гарантии в виде сорсов возможно или репутации сервиса, чтоб ботов не угняли и не грузили, темы не палили. Это большой обьем работ, но хорошо сделать такое можно только при очень больших обьемах лодов, чтоб по своим базам уже малварь вычислять поэтому как сервис надо. Но вот вопрос, если 2 бота на тачке юзают этот модуль, как решить кто кого прибьет?)
  5. Ботнеты в наше время

    Поддержу. Многим достаточно было бы "скриптового языка" чтоб браузер запустить и сразу по линку популярному перейти и проверить чтоб бот не палился при открытии браузера, при перезагрузках. Достаточно довольно небольшого функционала. Нужно делать как сервис, виртуалки со снимками разных ОС с разными АВ могут обслужить за день много народу, тем более если на автомате, в очередь поставил и все, выгоднее чем тестера нанимать для этого. Дело хорошее, главное чтоб народ набрался кто хочет правильно тестить.
  6. Ботнеты в наше время

    Да но при тестах на уникальных инсталх бот который не палится в статике а палится в памяти при внедрении в браузер вебинжект модуля мрет не так как ты писал но похоже. А после чистки детектов в паямяти и большого прогруза через приват связку с ручным криптом - бот живет 3 недели вообще без обновы крипта и боты не мрут вообще. Лоды может и говно но всетаки основное дело в аверах. Например крипт обновил уже при наличии детекта, а у юзеров уже обнова пришла и АВ снес бот. Да, верно. Но статистику немешает сделать по АВ чтоб видеть с какиеми АВ боты умерли из этого будет более понятно АВ это или нет. Также чекать периодически установленную автозагрузку и файл бота (конешн смотря как реализовано). Если пропал файл или авт. загр. то стучать передавая какой АВ стоит. И возможные баги при установке автозагрузки учитывать. Да) Очень паскудно наблюдать как сначала отстук бота со связки около 95% и со временем падает до 70% )) из за одинаковых ботов, а на том же билде с другого источника опять выше 90%. Можно определить качество фильтрации юзеров трафером и связкой, нужно при прогрузе по ИД бота определять сколько дублированных пришло. Как грузишь? (как делается защита от анализаторов?) Если защита от анализаторов в связке и боте плохая то понятное дело бот даже чистый сразу попадает на анализ с пометкой малварь, разве есть много причин когда уязвимый браузер хонейпота запускает какието файлы или инжектит кудато? Тут нужно определение ханипотов и обходы в связке чтоб было сложнее определить что браузер пробили и что загрузили в итоге. Как криптуешь? (ручной или стаб?) Крипт раздается во много рук и его все палят, в итоге крипт уже ктото другой спалил (даже если у тебя защита от ханипотов), а обнова бота идет с опозданием. Как морфишь? (в памяти палицо?) Если какойто модуль палица в памяти то статик не покажет этого, и динчек не покажет если модуль не используется (если он в памяти но зашифрован напр.) в момент скана, и даже если в открытом виде но в процессе которому АВ память сканит не часто, но если запустить браузер то тут АВ уже просканит память и паленый веб инжект модуль проявится и возможно даст палево боту. Как тестишь? (в памяти палицо?) Динчека не достаточно, нужно открывать браузер, и делать другие действия, команды при которых бот подгружает модули и т.п. именно там может быть палево. И перезагрузка несколько раз, напр. AVG удаляет автозагрузку после ребута если плохо сделана а до ребута молчок. В идеале нужны тестовые виртуалки на которых все топ АВ и бот живет на них постоянно и переживает все обновы и сканы АВ и т.п. как это у нормального юзера, что в итоге покажет как бот умирает от АВ и даст картину близкую к реальности.
  7. Ботнеты в наше время

    Для кого как, если коротко то нет. Как грузишь? (как делается защита от анализаторов?) Как криптуешь? (ручной или стаб?) Как морфишь? (в памяти палицо?) в вопросах все ответы отпишу позже более конкретно если будет нужно
  8. Боты мрут. Подскажите

    Да. Дело говоришь. ПС: Suffocation сори за мой высер в теме Связки, для ржаки писалось, ты меня обосрал и я тоже) зато весело). Имел я ввиду что формула плохо применима в том случае если код хороший и проверяет что делает. Напр. ШК создает процесс, пишет копию туда, чекает если непрошло то еще раз попытка, проверяет на уязвимость для LPE, пробует повысить парва, если нет то еще попытка, если нет повышаем права социально или запускаемся без них. И так каждый этап, Наш код - живой организм который способен получить обратную связь, сделать еще попытки, если нет - изменить поведение, пропустить какойто этап. Главная вероятность отказа это кривые руки, мало тестов, и АВ. И если добавление последовательных этапов повышает вероятность обхода АВ (а обычно это 99% ведь мы протестили на этом АВ заранее) то это благо. jackpapry В боте тоже может быть дело, заведи несколько виртуалок, поставь АВ топовые для трафа твоего и гоняй неделю с ботом. Конечно 90% это прям много для проблем только с АВ но проверить нужно, чтобы уверенно отбросить и искать причины и выходы дальше. Делай так: 1, 2, 3, 4, 2, 3, 2, 5. 1. Заранее включи перед апдейтом крипта, подожди чтоб АВ обновился. 2. Делай нужные действия как юзер (напр. браузер открой, перейди по нужным линкам, введи данные в нужную форму, если банк бот) чтобы бот выполнял свои задачи и запускал свои модули. 3. Перезагрузи ОС. 4. Дождись апдейта крипта. 5. Чекни что с ботом, живой ли. Сильно много тестов? Да, иначе никак, тут забил, там забыл, здесь затупил. Вот тут так точно вступает в дело формула расчета вероятности безотказной работы потмоу что каждый следующий вывод зависит от достоверности предыдущего и важно все тестить очень дотошно.
  9. Я и не говорю что обязательно это, размер меньше. Если перепиливать то много работы, если писать с 0ля то тоже самое почти если готовы заготовки, поиск апи, сторедж данных. Если у тебя в dll и так поиск апи по хешу, то это уже часть работы, лоадпе шеллкод написать лоадпе шеллкодом - смотря каким, тот что в нюке нужно доделать если смапить длл и потом почистить заголовки, и т.п. все лишнее что можно удалить что может быть признаком что в памяти PE файл загружен, то длл выйдет с такими же или большими заморочками чем SC в чем простота крипта - если я сам криптую напр. то мне проще небольшой SC в файле спрятать короче мне проще SC чем так как я описал грузить dll, многие длл свою так в памяти грузят чтоб сложно было определить что это PE файл? Если переписывать то ты прав, легче немного переписать и завернуть в длл.
  10. Подчитал про BackSwap, у них на asm вроде шеллкод в чем смысла я как раз не вижу, у меня на C очень немного asm. Да и это тривиальная задача писать базонезависимый код, многие так делают.
  11. Сказочников с новой регой не слушай, тупо смотри на регу и пропускай, люди посты набивают иначе нах тут писать бред этот, но форуму уважуха даже кидал научился монетизировать на регах). Можно переделать и это оптимальный путь, с 0ля никто тебе писать не будет даже если заявит об этом, будут юзать сорсы паблика и старые наработки. Смысла писать с 0ля вообще нет, от слова совсем. Заебали уже тупые рассуждения что если написать с 0ля то это пиздец будет прям всем АВ. Написать с 0ля равносильно что обфусцировать сорсы, всеравно код спалится, нет смысла. Есть смысл для точечной работы вских спец служб, они не заморачиваются, один хер точечно и на сплоитах нормальных все. По TinyNuke там много переделыввать нужно но как старт пойдет чтоб постепенно переписывать откровенно тупые части и баги фиксить. Писать нужно не с 0ля, а умея это делать, такого кодера нужно найти еще, без кассы ты его не найдешь, гарантия просто, грамотный 2к-5к/мес и по белому заработает. Допустим нашел ты денег и кодера. Рекомендации: Я бы переписал бота в шеллкод как у меня сделано на Си, на ASM не ведись, у меня только мелкие части если без него никак. Так как у тебя теперь бот и модули в ШК то крипт немного упростится, крипт прийдется ручной делать ну то есть пох какой он но не массовый. Далее переписывать прийдется много и много тестов на АВ с ребутом и выполнению модулей инжей и т.п., а их дохуя, иначе чистого рантайма не будет, АВ которые не победили локаем работу, удаляем бот. Особое внимание уделяем детекту анализаторов, и как бота грузим. Ну и главное, обфускация или морфинг лучше обфускация сорсов, без этого... ну ты понял. Работы очень много, иначе прогрузил и забыл но в плохом смысле). Не резиденты попроще в разы, если нет цели чтоб жил бот долго. Написать бота ничего не даст, поддерживать нужно, постоянно пилить обходы и т.п. А ну и в итоге от TinyNuke мало чего останется.
×