 |
|
02.10.2017, 19:17
|
|
Флудер
Регистрация: 21.05.2015
Сообщений: 2,031
С нами:
5779766
Репутация:
72
|
|
Вышла месяц назад, так что довольно свежая, программа для ухода от некоторых антивирусов, путем цифровой подписи файла. Некоторые антивирусы обращают приоритетное внимание отдельным органам сертификации, не проверяя, действительно ли подпись действительна, и есть те, которые просто проверяют, что certTable заполняется некоторым значением.
Поэтому была и выпущена это программа для подмены цифровой подписи на фальшивую.
Ставится и пользоваться очень просто.
Ставим:
git clone https://github.com/secretsquirrel/SigThief
Смотрим, что предлагает эта тулза.
сd SigThief
python sigthief.py --help
Проверяем свой файл, если цифровая подпись?
python sigthief.py -i /путь к файлу -с
Видим,что подпись отсутствует.
Качаем с фирменного сайта Майкрософта какую нибудь программу, я качнул программу Марка Руссиновича авторунз.
И прикручиваем цифровую подпись старины Марка к нашему зловреду и сохраняем.
$ python sigthief.py -i /путь к файлу старины Марка.exe -t / путь к нашему зловреду.exe -o /tmp/название нашего готового файла.exe
Проверяем все ли на месте.
Как видим все нормуль - подпись есть, некоторые антивирусы успокоились.
Результат /threads/skripty-cobalt-strike-3-chast-2.455547/#post-4133957
Можно удалить свою цифровую подпись.
python sigthief.py -i путь к файлу.exe -T
А вообще в инструкции к программе имеются и другие функции.
Читаем тут https://github.com/secretsquirrel/SigThief |
|
|
02.10.2017, 19:41
|
|
Познавший АНТИЧАТ
Регистрация: 24.05.2015
Сообщений: 1,014
С нами:
5775446
Репутация:
62
|
|
Гениально! Ёж ты как всегда лучше всех! Есть еще идея , сейчас в ЛС отпишу.
|
|
|
|
02.10.2017, 22:50
|
|
Флудер
Регистрация: 21.05.2015
Сообщений: 2,031
С нами:
5779766
Репутация:
72
|
|
Во второй части , которую я хочу написать. Вы увидите как без особых знаний и только ручками, отключив мозги.
Сделать из того же файла вот так:
Новички узнают, что антивирь не спасает юзера даже от вас.
Но запомните, все это в ознакомительных целях!
Ознакомление с содержимым компьютера жертвы - не входит в цель этой и будущей статьи. |
|
|
|
03.10.2017, 00:32
|
|
Постоянный
Регистрация: 14.11.2016
Сообщений: 350
С нами:
4997846
Репутация:
6
|
|
Дык а ты реальную малварь подпиши, чё будет? Прокатит не?
И авторан уже подписан реальной подписью Милкасофт. Ты удали подпись милкасофт и подпиши своей липовой и апосля, поделись резалтами эксперимента
|
|
|
|
03.10.2017, 08:17
|
|
Флудер
Регистрация: 21.05.2015
Сообщений: 2,031
С нами:
5779766
Репутация:
72
|
|
Сообщение от artkar
↑
Дык а ты реальную малварь подпиши, чё будет?
Это реальная малварь - эксплоит Veil фраемворка.
Или artkar ты считаешь, что эксплоит уже не малварь?
Сообщение от artkar
↑
Ты удали подпись милкасофт и подпиши своей липовой и апосля, поделись резалтами эксперимента
А зачем? Не для того она туда ставилась. Ты видимо не читал статью.
Подпись ставится для обхода НЕКОТОРЫХ антивирусов.
И как показала проверка - некоторые не увидели.
|
|
|
|
03.10.2017, 10:42
|
|
Флудер
Регистрация: 19.06.2015
Сообщений: 4,126
С нами:
5738006
Репутация:
147
|
|
Ежи, я туплю или ты за Девтона забыл?
Незачёт!
|
|
|
|
03.10.2017, 11:17
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами:
5797046
Репутация:
40
|
|
Молодец. Хоть кто-то что-то пишет. Согласен с марой, гейфтона забыл, не зачёт . Гейфтон-пидр.
Будет очень круто, если кто-то найдёт метод как сделать невидимым для АВ эксплоит майкрасофта док
|
|
|
|
03.10.2017, 12:33
|
|
Флудер
Регистрация: 21.05.2015
Сообщений: 2,031
С нами:
5779766
Репутация:
72
|
|
Сообщение от uzeerpc
↑
Прошу прощения, а какие? Ты про Доктора?
Вечером домой приду и тисну еще одну статью со всеми скринами, какие антивири клюют на цифровую подпись и как и сколько.
Статья будет про последний скрин, как получить такой результат имея один и тот же зловред.
Просто некоторые люди, типа artkar, из за невнимательности или отсутствия знаний, путают кислое с длинным, цифровую подпись со стабом. Если бы он был чуть повнимательнее, то на свойстве файла на последнем скрине он бы заметил чем вирус упакован.
Я как раз таким людям и разжую. Что как говорят в Одессе: Это есть две большие разницы костолом и костоправ.
Новички и школьники, ждите вечернего выпуска статьи, про то как заставить большую часть антивирусов лососнуть тунца.
|
|
|
|
03.10.2017, 15:08
|
|
Постоянный
Регистрация: 14.11.2016
Сообщений: 350
С нами:
4997846
Репутация:
6
|
|
Сообщение от Veil
↑
Это реальная малварь - эксплоит Veil фраемворка.
А тобишь ты какой то там вейл подделываешь, я то понял что про аторан трешь.
Тобишь получается так: этот античат.ехе тестировался Доктром В. как малварь, а апаосля ты ему закинул подпись авторана и он перестал детектироваться?
что должно быть странно учитывая протокол проверки подписи
Сообщение от Veil
↑
Или
artkar
ты считаешь, что эксплоит уже не малварь?
Ну если честно то эксплоит это не малварь, эксплоиты это хлеб ипсов там всяких, это скорее hacker tools
|
|
|
|
03.10.2017, 15:12
|
|
Постоянный
Регистрация: 14.11.2016
Сообщений: 350
С нами:
4997846
Репутация:
6
|
|
Сообщение от Veil
↑
Если бы он был чуть повнимательнее, то на свойстве файла на последнем скрине он бы заметил чем вирус упакован
ну на самом деле упаковщик это не проблема для антивируса, тем более от МС, АВ распаковывает все известные упаковщики и неизвестные тоже перед анализом.
Я не понял замечания, поясни
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
