Ответы новичку: Что полезно знать о работе с малварями. (Хвнц, стиллер, крипт, етц)
В данной теме описываю свой опыт исключительно для новичков.. Тк все что я пишу - это исключительно мой опыт, который может быть не совсем точным.
Первое, что необходимо разобрать это крипт, тк без него не будет работы:
Крипт - это оболочка (шифрование) файла для того что бы АВ (антивирусы) не обнаруживали ваш файл
Цены начинаются от 100$ за файл. Есть и более дешевые варианты.
Вам могут сделать уникальный (приват) стаб, который прослужит сильно дольше. Либо сделать паблик стаб. Но в таком случае криптуют не только вас, но и других клиентов. а значит ваш файл начнет палиться быстрее.
Что касается FUD файла. (0/32) - для новичка это совсем не обязательно. Я бы сказал, самое главное - что бы деф был чистый. Не только в статике, но и динамике. Тк деф - это более 60% устройств.
(НИКОГДА НЕ ВЫКЛАДЫВАЙТЕ КРИПТОВАННЫЕ ФАЙЛА НА ВИРУСТОТАЛ!!!!)
Второе: Алерты
А)
Самый ненавистный алерт новичков, это алерт гугл хрома. При скачивании файла с вашего хостинга (не держите файлы на хостингах), либо впс - вы с 99,9% увидите:
Файл скачивают редко. Возможно он вредоносный.
Из паблик решений я знаю только 1:
Премиум аккаунт дропбокса. Используйте на здоровье.
Б) SmartScreen. Данное окошко вы поймаете если будете качать файл с браузера Edge, либо же если запустите файл на пк.
Это значит то, что майкам не известен ваш файл.
Данный аллерт можно обойти с помощью сертификата EV. Его цена - от 4к до 8к. Настоятельно рекомендую записывать на свои токены 5110С (не путать с 5110), либо покупать его с физической доставкой. Иначе есть вероятность попасть на не честного селлера и вашим сертом будут подписывать и другие файлы. Что сильно сократит срок его жизни. Срок жизни сертификата зависит от кол-ва пролитого трафика и его аудитории. Может жить как месяц, так и год.
Сертификат умирает по 2 причинам - Если его отзовут, либо если будете подписывать файлы с детектом от дефендера. На сертификат так же может попасть детект от дефа. И тогда при подписи абсолютно чистого файла вы будете ловить детект дефа. Он тупо запомнит ваш серт.
В) UAC - это не совсем алерт. Это запрос на изменение в системе. К примеру, добавление в исключение дефендера. Иными словами - это запрос админ прав. Очень много софтов работают с лоу прав. Значит не требуют UAC. Но есть решения, где получаются админ права без запроса. Не паблик.
Теперь вы понимаете, что для работы с вирусами, вам надо иметь чистый файл, на который не будут ругаться не только АВ (крипт), но и Виндовс (Сертификат ЕВ)
Давайте теперь подумаем, с какими софтами вы бы хотели работать? Начнем с самого популярного вируса
1) Стиллеры. Их множество, от бесплатных сорцов на гитхабе, до приват решений за 10 000$.
вредоносное программное обеспечение, предназначенное для кражи ценных данных с зараженной машины, таких как куки-файлы, логины и пароли, скрины с рабочего стола.
Стиллеры делятся на 2 типа. Резидент и не резидент.
Не резидент стиллер - после исполнения (похищения данных) он удаляется с компьютера
Резидент - живет в памяти компьютера и при необходимости (к примеру обновить кукисы) снова выполняет свою задачу
Лично я давно не работал с паблик стиллерами, но слышал что Люма стиллер неплохое решение.
Стиллеры, отрабатывают на 3 направления . 1) Крипта, 2) Сбор СС, 3) Сбор платежных систем (Банки, пейпал, амазон и пр)
Стиллер крадет данные: Кукисы (Файлы cookie – это небольшие фрагменты текста, передаваемые в браузер с сайта, который вы открываете. С их помощью сайт запоминает информацию о ваших посещениях.)
Пароли и логины которые вы сохраняете при посещении сайтов
Так же ваши платежные данные
2) HVNC. Этот тот же VNC (удаленный рабочий стол) но только скрытый. Вы работаете с учетки КХ, но скрытно. Если в случае со стиллером - вы стараетесь быть максимально похожим на КХ, то в этом случае КХ = ВЫ. ВЫ = КХ.
HVNC бывает только рзидентным и живет на компе до тех пор, пока ваш файл (стаб) не начнет палиться. Поэтому лучшим решением будет грузить рефлекторную длл через лоадер, которая будет жить в памяти пк
Таким образом ваш бот будет жить месяцами на пк
3) Что такое лоадер - дропер.
Дропер - это прокладка между вашим вирусом и пк жертвы. Его задача - запустить ваш троян и удалиться с пк.
Лоадер - тот же дропер, но только он в большинстве случаев является резидентным и имеет разный функционал, а не только запуск вашего пейлоада
Третье - Вы завели своего зверька, купили EV, закриптовали его, что же делать дальше, что бы заработать? Правильно - теперь нам нужны жертвы. Тут вариантов массы. От спама руками по тг, залива видео на ютуб и до контекстной рекламы.
#stealer #hvnc #carding #новички
Последнее редактирование модератором:
