Salve, mi chiedevo se fosse possibile distorcere il codice di un malware in modo da renderlo più difficile da individuare da parte degli antivirus. Conosco il metodo di "mescolare il codice con serie di null bytes", ma mi chiedevo se questo fosse possibile farlo anche con file eseguibili windows. Grazie in anticipo.
- Autore discussione Maxwell2609
- Data d'inizio
L'evasion è un concetto un po' complicato, esistono diverse tecniche di cui non conosco molto bene i dettagli ma che potete trovare qui:
github.com
GitHub - yeyintminthuhtut/Awesome-Red-Teaming: List of Awesome Red Teaming Resources
List of Awesome Red Teaming Resources. Contribute to yeyintminthuhtut/Awesome-Red-Teaming development by creating an account on GitHub.
github.com
Linkargli la lista dell'arsenale dello skiddie non credo che lo aiuti, ma provo a dare il mio contributo.
Se i impari a programmare in Golang puoi pwnare tutti gli OS che vuoi. Invece di cercare gli arsenali dello skiddie, usa GitHub per scaricare e osservare sample di progetti scritti in Golang. Ragionandoci da solo osservando i codici, potresti capire come riadattarli alle tue esigenze
Se i impari a programmare in Golang puoi pwnare tutti gli OS che vuoi. Invece di cercare gli arsenali dello skiddie, usa GitHub per scaricare e osservare sample di progetti scritti in Golang. Ragionandoci da solo osservando i codici, potresti capire come riadattarli alle tue esigenze
Dipende da come questa venga usata. Ovvio che se si limita a fare copia e incolla non serve, ma bisogna partire da qualcosa di già esistente per imparare a farlo proprio. Non impari da solo come si facciano Reflective DLL Injection o altre evasion simili, lo impari dagli articoli degli altri ricercatori o da blog come quello sopra citato. Credo che abbia un valore aggiunto fornire dei siti o dei riferimenti diretti ad articoli o persone che effettivamente hanno trattato queste cose più che dire "Impara Go e guarda su GitHub come fare". Soprattutto perchè per lo stesso concetto da te menzionato, se prendo un codice su GitHub e lo copio, senza sapere il perchè sia stato fatto in un certo modo, sto facendo lo skiddie
My 2c
Ultima modifica:
Proof of concept: questo è un payload che recupera dati sensibili da un dispositivo Windows scritto in Golang, multiple tecniche di evasione sono state utilizzate per portare al risultato raggiunto, fra cui compressione con UPX e piazzamento di una digital signature di Microsoft. Inizialmente aveva 10/26. Sto provando a rifare pure la mia versione personale in Python
Non sto facendo il saccente, e lo dico perché vedo che qualcuno mi sta prendendo in antipatia nel forum in questi giorni
Al contrario, sono profondamente entusiasta di constatare come è possibile generare un mondo dove le persone si difendono sul web con la loro consapevolezza, invece che delegare la difesa a questi programmi.
Ho sempre trovato ingiusto il fatto che l'attacco richieda sempre più impegno e conoscenze, mentre la difesa è sempre più braindead. Ma sono opinioni.
Messaggio unito automaticamente:
Non sto facendo il saccente, e lo dico perché vedo che qualcuno mi sta prendendo in antipatia nel forum in questi giorni
Al contrario, sono profondamente entusiasta di constatare come è possibile generare un mondo dove le persone si difendono sul web con la loro consapevolezza, invece che delegare la difesa a questi programmi.
Ho sempre trovato ingiusto il fatto che l'attacco richieda sempre più impegno e conoscenze, mentre la difesa è sempre più braindead. Ma sono opinioni.
Ciao @wesker1998 , dai risultati che hai avuto possiamo dire che Avast, AVG, Panda ecc. hanno un sistema di riconoscimento della firma digitale Microsoft più avanzato rispetto agli altri antivirus?
Secondo la mia teoria è esattamente il contrario. Penso in realtà che siano più interessati alla sostanza del contenuto dell'applicazione, piuttosto che a come si presenta. In poche parole, secondo loro la toga non fa il monaco.
Panda inoltre è un pessimo AV e invito chiunque a disinstallarlo. In questa scansione ha flaggato il file, ma come potete dedurre dai risultati, non ha capito nemmeno cosa ha scoperto, inducendo l'utente a credere si tratti di un falso positivo.
Rapid7 ha inoltre preso degli accordi speciali con alcune case produttrici di antivirus per avere i payload puzzi generati con msfvenom 100% irrilevabili, se non erro Panda è fra queste.
Il miglior AV è la vostra consapevolezza.
Panda inoltre è un pessimo AV e invito chiunque a disinstallarlo. In questa scansione ha flaggato il file, ma come potete dedurre dai risultati, non ha capito nemmeno cosa ha scoperto, inducendo l'utente a credere si tratti di un falso positivo.
Rapid7 ha inoltre preso degli accordi speciali con alcune case produttrici di antivirus per avere i payload puzzi generati con msfvenom 100% irrilevabili, se non erro Panda è fra queste.
Il miglior AV è la vostra consapevolezza.
Ultima modifica:
Certo, sicuramente essere attenti e consapevoli fa evitare molti rischi. Comunque, grazie per aver citato il Golang, non sapevo esistesse, da quello che ho visto è un linguaggio molto potente...lo usano un sacco di multinazionali come Google, Netflix, PayPal ecc.