Salve a tutti , praticando con i payload e meterpreter sono arrivato a un buon punto , mi manca l'ultimo tessello del puzzle per completare : devo riuscire a rendere il virus/file invisibile all'antivirus e mi sembra che ci sia un parametro con metasploit o msvenom che codifica il contenuto con -e encoder , ma vorrei sapere se ci sono altre tecniche .
Discussione Malware Metasploit exploit obfuscating
- Autore discussione Cosser
- Data d'inizio
Ciao,
gli encoders di metasploit non servono assolutamente a nascondere una backdoor generata, ma servono a translare in piu' formati il payload, in modo da poterlo usare in varie modalita', secondo quale e' il tuo obiettivo.
Naturalmente l encoding viene usata nella maggior parte per encodare il payload risultante in hexadecimal o linguaggio C, e poterlo poi nascondere all interno di un proprio programma [ad esempio in C sarebbe utile per tentare overflows], o ad un eseguibile che caricando il payload encodato, lo avviera'.
Puoi leggere meglio sulla guida ufficiale di MSF: https://www.offensive-security.com/metasploit-unleashed/msfencode/ [msfencode attualmente e' obsoleto, ma msfvenom se non sbaglio lo integra, quindi non dovresti avere probemi nella sua comprensione, ache perche' seguono la stessa linea di pensiero].
Per rendere un malware/backdoor FUD [Fully UnDeteclable], bisogna adottare varie tecniche, che possono variare in base all AV utilizzato, all analisi che quest' ultimo compie sul file, e piccoli accorgimenti che fanno la differenza.Inoltre un crypter con runpe integrato [dunque che funga da stub per rilasciare in memoria il payload], spesso si rivela essere molto utile.
Le tecniche sono descritte in questa discussione assieme alle differenze tra le verie analisi [studia l avversario e saprai come batterlo
]: https://www.inforge.net/forum/threads/camuffare-un-virus-rat-backdoor.496535/#post-4793048 .
Oltre a questo, per capire come creare un binder, piuttosto che un crypter od uno stub, secondo me la cosa migliore e' cercarne il codice: su github ce ne sono molti di sample "accademici" [da studio], che possono comunque darti una bella mano a comprenderne il funzionamento e come scriverli.
gli encoders di metasploit non servono assolutamente a nascondere una backdoor generata, ma servono a translare in piu' formati il payload, in modo da poterlo usare in varie modalita', secondo quale e' il tuo obiettivo.
Naturalmente l encoding viene usata nella maggior parte per encodare il payload risultante in hexadecimal o linguaggio C, e poterlo poi nascondere all interno di un proprio programma [ad esempio in C sarebbe utile per tentare overflows], o ad un eseguibile che caricando il payload encodato, lo avviera'.
Puoi leggere meglio sulla guida ufficiale di MSF: https://www.offensive-security.com/metasploit-unleashed/msfencode/ [msfencode attualmente e' obsoleto, ma msfvenom se non sbaglio lo integra, quindi non dovresti avere probemi nella sua comprensione, ache perche' seguono la stessa linea di pensiero].
Per rendere un malware/backdoor FUD [Fully UnDeteclable], bisogna adottare varie tecniche, che possono variare in base all AV utilizzato, all analisi che quest' ultimo compie sul file, e piccoli accorgimenti che fanno la differenza.Inoltre un crypter con runpe integrato [dunque che funga da stub per rilasciare in memoria il payload], spesso si rivela essere molto utile.
Le tecniche sono descritte in questa discussione assieme alle differenze tra le verie analisi [studia l avversario e saprai come batterlo
]: https://www.inforge.net/forum/threads/camuffare-un-virus-rat-backdoor.496535/#post-4793048 .Oltre a questo, per capire come creare un binder, piuttosto che un crypter od uno stub, secondo me la cosa migliore e' cercarne il codice: su github ce ne sono molti di sample "accademici" [da studio], che possono comunque darti una bella mano a comprenderne il funzionamento e come scriverli.
La tua risposta è stata molto esaustiva e ti ringrazio , hai messo in luce particolari abbastanza tecnici, mi sorge una domanda: come è stata la tua formazione per raggiungere questi risultati? (Scuole,Specializzazioni , Corsi, Autodidattica)Ciao,
gli encoders di metasploit non servono assolutamente a nascondere una backdoor generata, ma servono a translare in piu' formati il payload, in modo da poterlo usare in varie modalita', secondo quale e' il tuo obiettivo.
Naturalmente l encoding viene usata nella maggior parte per encodare il payload risultante in hexadecimal o linguaggio C, e poterlo poi nascondere all interno di un proprio programma [ad esempio in C sarebbe utile per tentare overflows], o ad un eseguibile che caricando il payload encodato, lo avviera'.
Puoi leggere meglio sulla guida ufficiale di MSF: https://www.offensive-security.com/metasploit-unleashed/msfencode/ [msfencode attualmente e' obsoleto, ma msfvenom se non sbaglio lo integra, quindi non dovresti avere probemi nella sua comprensione, ache perche' seguono la stessa linea di pensiero].
Per rendere un malware/backdoor FUD [Fully UnDeteclable], bisogna adottare varie tecniche, che possono variare in base all AV utilizzato, all analisi che quest' ultimo compie sul file, e piccoli accorgimenti che fanno la differenza.Inoltre un crypter con runpe integrato [dunque che funga da stub per rilasciare in memoria il payload], spesso si rivela essere molto utile.
Le tecniche sono descritte in questa discussione assieme alle differenze tra le verie analisi [studia l avversario e saprai come batterlo
Oltre a questo, per capire come creare un binder, piuttosto che un crypter od uno stub, secondo me la cosa migliore e' cercarne il codice: su github ce ne sono molti di sample "accademici" [da studio], che possono comunque darti una bella mano a comprenderne il funzionamento e come scriverli.
Bhe, come basi ho quelle di uno studente di 1' superiore, mentre per quanto riguarda le conoscenze, ho fatto tutto da autodidatta, che secondo me e' la cosa migliore perche' ti scegli un percorso e procedi nel modo piu' consono per te e per i tuoi impegni, poi ovviamente Google e soprattutto documentazione in inglese sono fondamentali
. Comunque è incredibile come abbia appreso tutto da autodidatta.Io mi auto-definirei piu' capra, inoltre le conoscenze che ho io sono infinitesimali rispetto a molti altri utenti della community, e sinceramente non vedo nulla di incredibile nello spiegare cose del genere, che tra l altro sono assai piu' complesse di come le descrivo io, ergo non posso proprio definirmi cosi'.
Comunque, spezzando una lancia in mio favore, posso dire che piu' si va' avanti e piu' si ha voglia di progredire, poi dipende tutto dal tempo e dalla determinazione che uno ha, vale nello sport, vale nella vita, come vale anche in questo stupendo campo.
Comunque, spezzando una lancia in mio favore, posso dire che piu' si va' avanti e piu' si ha voglia di progredire, poi dipende tutto dal tempo e dalla determinazione che uno ha, vale nello sport, vale nella vita, come vale anche in questo stupendo campo.
Sarai anche una capra, ma finalmente leggo qualcuno che sa che l'encoding NON è un obfuscator. Mi sono stancato di ripeterlo.
Siamo in 2 lol, pero' e' proprio a questo che serve la community: discutere e imparare sempre qualcosa di nuovo l uno dall altro
Il problema grave è che cercando su internet backdoor obfuscating ti riporta l'encoder
Eh, purtroppo lo so. C'è parecchia confusione a riguardo, che nasce dal fatto che le modifiche apportate dagli encoder, cambiando la struttura del payload, avevano come effetto "collaterale" quello di riuscire ad ingannare gli AV più stupidi, che si basavano soltanto sulla struttura o firma.
DISCUSSIONI SIMILI
- Release
- In evidenza
-
- 29
-
- 8K