|
http://s009.radikal.ru/i309/1710/50/bc49ccb7a7d4.jpg
Вышла месяц назад, так что довольно свежая, программа для ухода от некоторых антивирусов, путем цифровой подписи файла. Некоторые антивирусы обращают приоритетное внимание отдельным органам сертификации, не проверяя, действительно ли подпись действительна, и есть те, которые просто проверяют, что certTable заполняется некоторым значением. Поэтому была и выпущена это программа для подмены цифровой подписи на фальшивую. Ставится и пользоваться очень просто. Ставим: git clone https://github.com/secretsquirrel/SigThief Смотрим, что предлагает эта тулза. сd SigThief python sigthief.py --help http://s46.radikal.ru/i111/1710/5e/c2b173670eb5.png Проверяем свой файл, если цифровая подпись? python sigthief.py -i /путь к файлу -с http://s009.radikal.ru/i308/1710/58/82a07dc8cd82.png Видим,что подпись отсутствует. Качаем с фирменного сайта Майкрософта какую нибудь программу, я качнул программу Марка Руссиновича авторунз. И прикручиваем цифровую подпись старины Марка к нашему зловреду и сохраняем. $ python sigthief.py -i /путь к файлу старины Марка.exe -t / путь к нашему зловреду.exe -o /tmp/название нашего готового файла.exe http://i069.radikal.ru/1710/c2/f756c597d01c.png Проверяем все ли на месте. http://s019.radikal.ru/i613/1710/b5/bf3afe38cb99.png Как видим все нормуль - подпись есть, некоторые антивирусы успокоились. Результат /threads/skripty-cobalt-strike-3-chast-2.455547/#post-4133957 Можно удалить свою цифровую подпись. python sigthief.py -i путь к файлу.exe -T А вообще в инструкции к программе имеются и другие функции. Читаем тут https://github.com/secretsquirrel/SigThief |
Гениально! Ёж ты как всегда лучше всех! Есть еще идея , сейчас в ЛС отпишу.
|
Во второй части , которую я хочу написать. Вы увидите как без особых знаний и только ручками, отключив мозги.
Сделать из того же файла вот так: http://s16.radikal.ru/i190/1710/82/909924511b1f.png http://s11.radikal.ru/i183/1710/4d/fb9fc8bba96b.png Новички узнают, что антивирь не спасает юзера даже от вас. Но запомните, все это в ознакомительных целях! Ознакомление с содержимым компьютера жертвы - не входит в цель этой и будущей статьи. |
Дык а ты реальную малварь подпиши, чё будет? Прокатит не?
И авторан уже подписан реальной подписью Милкасофт. Ты удали подпись милкасофт и подпиши своей липовой и апосля, поделись резалтами эксперимента |
Цитата:
Илиartkar ты считаешь, что эксплоит уже не малварь? Цитата:
Подпись ставится для обхода НЕКОТОРЫХ антивирусов. И как показала проверка - некоторые не увидели. |
Ежи, я туплю или ты за Девтона забыл?
Незачёт! |
Молодец. Хоть кто-то что-то пишет. Согласен с марой, гейфтона забыл, не зачёт . Гейфтон-пидр.
Будет очень круто, если кто-то найдёт метод как сделать невидимым для АВ эксплоит майкрасофта док |
Цитата:
Статья будет про последний скрин, как получить такой результат имея один и тот же зловред. Просто некоторые люди, типа artkar, из за невнимательности или отсутствия знаний, путают кислое с длинным, цифровую подпись со стабом. Если бы он был чуть повнимательнее, то на свойстве файла на последнем скрине он бы заметил чем вирус упакован. Я как раз таким людям и разжую. Что как говорят в Одессе: Это есть две большие разницы костолом и костоправ. Новички и школьники, ждите вечернего выпуска статьи, про то как заставить большую часть антивирусов лососнуть тунца. |
Цитата:
Тобишь получается так: этот античат.ехе тестировался Доктром В. как малварь, а апаосля ты ему закинул подпись авторана и он перестал детектироваться? что должно быть странно учитывая протокол проверки подписи Ну если честно то эксплоит это не малварь, эксплоиты это хлеб ипсов там всяких, это скорее hacker tools |
Цитата:
Я не понял замечания, поясни |
Поясняю, что был сделан эксплоит на Veil. Он показывал 15\39, затем прикрутил ему цифровую подпись стал показывать 9\39, затем упаковал его и стало 1\39.
После всей этой кутерьмы, эксплоит был рабочий - выдал сессию. Правда запустился он с показом на долю секунды командной строки. Врать не буду Veil с самого начала не палился моим доктор Вебом. Сегодня проведу эксперимент с палёным эксплоитом, проведу весь процесс и скину скрины. |
даввай эксперементируй с удовольствием почитаю. Тока учти многие сиволапые АВ чтобы не казаться клиетну совсем бесполезными также выкатывают детект всяким невинным прожкам, типо там кряки всякие, но правда они их относят там к категории как то там "нечестное ПО" и ко всему прочему добру к которому можно хоть как то доебатса
|
то есть UAC и если с браузера то Smartscreen пропустят как я понял?
|
Подписать то получается (в свойствах добавляется вкладка "Цифров. подписи"), только вот в сведениях выдает, что подпись эта не действительна (делал по-мануалу). Почему?
|
Касперского можно как то обхитрить?
|
Конечно можно, новый Veil рулит.
|
Цитата:
|
Цитата:
Под словом подписать, подразумевается, полностью воссоздать реальную подпись, а это криптографически невозможно. То что Veil там делал и часть АВ отваливалось, не совсем корректно Veil сам пишет Цитата:
|
Но канает ведь? И вейл рулит .
|
Цитата:
|
Цитата:
Подпись - это серьёзная защита, почитать что ты делал интересно, но это не обход АВ. |
Подпись дает ?
1) Когда смотришь авторунсом в реестре, то первое что ты видишь, файлы без подписи. 2) АВ бывает и пропускают, о чем был скрин. |
| Время: 23:48 |