Bypassing Anti-virus using Code Injection Technique

[Nytro]

Vazusem un videoclip facut de muts (Mati Ahroni) bazat pe aceeasi tehnica. Nu stiu ca de eficienta e, e posibil sa fie detectata de scanarile heuristice moderne.

Am vrut sa fac un packer pe aceasta idee, poate chiar o sa fac, dar am niste chestii pe cap vreo doua saptamani.

[me.mello]

Da il stiu pe maimutica ala de la Offensive;)) da e cam enervant cu in-time scanning asta...dar daca iti faci tu FUD e bine totusi sa te bazezi si pe o tehnica de gen(sa o ai ca batistuta la buzunar)..cine stie.

http://rstcenter.com/forum/36270-manual-unpacking-upx-packed-binary-file.rst si asta iti poate creea idei

[staticwater]

Am downloadat injector-ul, din pacate e detectat de avira. Eu folosesc metoda urmatoare:arhivez dll-ul(executabilul) cu rar. Arhiva e parolata! Pun in exe arhiva ca resursa. Dupa lansare dezarhivez fisierul(in memorie). Daca e dll injectez in memoria unui proces, daca e executabil lansez direct din memorie. Important e ca fisierul "sa ramina tot timpul in aer", sa nu atinga hard-ul! Metoda o folosesc de mult, si n-am avut probleme nicodata. Oameni cauta crypterul perfect, un fisier arhivat cu Rar + parola e FUD 100% .

[Nytro]

Sa tii un executabil de exemplu, ca resursa, ca sectiune sau orice altceva, si acel fisier sa nu fie detectabil e banal. Eu pus si simplu adaugam "1" la fiecare octet, si 255 il faceam 0 si nu mai era detectabil.

Partea detectabila e loader-ul, codul care incarca executabilul in memorie, sau dropper-ul, partea de cod in care stub-ul se autociteste sau se copiaza pe nu stiu unde, sau "Anti-****"-urile...

Asta e greu. Pe ideea cryptarii sectiunii de cod a unui executabil s-ar putea face niste incercari, nu ar mai fi trebuit incarcat in memorie, doar la executie sa se modifice sectiunea de cod, entrypointul poate sa fie acelasi, dar trebuie adaugat codul de decryptare acolo, sectiunea trebuie sa fie MEM_WRITE, sunt cateva lucruri care trebuie facute, dar merge.

[staticwater]

In orice caz va fi din ce in ce mai greu(indiferent de metoda folosita)! De exemplu Commodo Personal Firewall, care e free!!!, vede toate procesele invisibile, detecteaza: code injection, memory injection, global hooks + foloseste sandbox technology...eu n-am vazut un program(trojan, rootkit, etc) care sa treaca de commodo!

[Nytro]

Probabil tehnologie anti-rootkit. Ma uitam la videoclipuri de pe Sysinternals si am vazut cam cum functioneaza. Verifica fisierele dintr-un folder folosind API-urile clasice, de exemplu. Apoi aceeasi verificare folosind acces brut la sistemul de fisiere NTFS. Daca lipseste ceva, clar, e ascuns. Asta ar fi o idee. Oricum, solutii sunt multe dar foarte complicate. Se poate verifica de SSDT hooks, e complicat. Vreau ca pe viitor sa ma axez tocmai pe acest domeniu, am inceput sa citesc Windows Internals 5th Edition. Momentan nu stiu foarte multe nici eu...

[me.mello]

Static te contrazic, eu zici sa imi citesti topicul despte data stream ca sa intelegi cam care e treaba de rootki's. Si hai sati mai spun o chestie despre processele inviziblie, am un program facut de mine care desi e acum e detectat de av's inca ascunde procesele asa de bine incat nimic nu le detecteaza am testat cu n-unelte, deci nu poti spune ca detecteaza orice metoda, mai sunt is altele care la fel....

Metode ar fi sa faci bypass la av's, citisem un articol care era cam slab facut...oricum omul explica cat de cat clar, cum foloseste el CreateProcess CreateRemoteThread si MoveMemory sa faca toate astea.

Oricum parerea mea , raman tot la ideea ca daca ascund bine procesul, dau free la dll care n-am ce face cu el, ma mai folosesc si de NTFS data stream (ADS) daca e nevoie fac si ceva multithreading, un pic de ACL/DACL nu ai ce sa-i faci.

Bine faza cu multithread si free .dll nici nu e nevoie atat cat le ai in data streaming ACL/DACL

Bineinteles varianta scurta tot un crypter ramane;))

Sa ma contraziceti va rog daca nu am dreptate numai tin minte sigur, insa MCafe cum scaneaza arhivele parolate??

Edited June 16, 2011 by me.mello

[staticwater]

Static te contrazic, eu zici sa imi citesti topicul despte data stream ca sa intelegi cam care e treaba de rootki's!

Am citit topicul! Interesant!

hai sati mai spun o chestie despre processele inviziblie, am un program facut de mine care desi e acum e detectat de av's inca ascunde procesele asa de bine incat nimic nu le detecteaza am testat cu n-unelte, deci nu poti spune ca detecteaza orice metoda, mai sunt is altele care la fel....

Poti sa-mi trimiti executabilul, sa-l testez un pic?

[Paul4games]

@mello din cate am inteles ai creat tu un program care ascunde alte procese si ele nu pot fi depistate de programe specializate?

[me.mello]

Off: Eu sunt @IceyJoke kw mi-a schimbat numele ca asa l-am rugat.

Da @paul cu asta ma ocup,imi place sa programez windows si atat.

Si da asa este im cer scuze @staticwater, am intarziat ca am facut un topic cu pdf si a durat ceva timp, uitati un link aici....e printre primele versiuni asta a fost facuta pentru rst sa ii arat lui nytro ca nu sunt oarecare de vorbesc aiurea....long story

Nu are multe functii am sters din ele l-am lasat cat sa ascunda un process: explorer.exe

Acum trebuie sa mentiunez versiunea asta....numai e buna de nimic pentru mine(am alta), chiar si asa codul sursa nu il dau...prea mula futere de creier pentru el. cu toate astea e detectat cam de toate av's cu tot felu de nume care m-a facut sa rad prima data:))

Desi e detectat, el tot isi face treaba.

Cand deschideti aplicatia, ea va ascunde explorer.exe, cand o inchideti [X] ea va readuce explorer.exe in task manager...sau oricare altul, nu contine niciun fel de virus sau orice altceva inafara de STRICT ce am zis eu ca face.

GirlShare - Download Sev7n.Sins.exe have fun

Habar nu am pe ce mai merge pe xp sp3 acum l-am testat merge tipla. Nu vreau pm-uri cu datimi sursa va rog ca ajung la disperare.

Pun threaduri sa invatati ceva...puteti cere sfaturi nu mura in gura!!!

Edited June 16, 2011 by me.mello

[staticwater]

Am facut testul(pe xp sp3)! Din pacate ce banuiam s-a adeverit!

N-am nevoie de codul sursa, am scris si eu citeva programe care ascund procesele in taskmgr, insa de Commodo nu pot sa trec!

[me.mello]

Da din pacate asa este...dar e printre primele versiuni (prin 2008), nu am mai adaugat protectie. Am si zis...am versiune care trece de orice...asta practic se folosteste de un driver kernel...iar softul de o detecteaza el practic detecteaza serviciul(driver service) ascuns care tine adresa procesului, daca as sterge aceasta functie de stocare in serviciu nu ai mai putea recupera procesul el ar sta ascuns pana la restart. Iar acest driver service e folositor la anuntul clasei(init() care practic face anuntul serviciului) deci e inca o problema...la versiunile noi nu ma folosesc de aceasta. Cam asta face Comodo, el practic are grija de serviciu, nu are cum un programel sa imi citeasca ce fac eu cu procesoru'...e bypass kernel, doar eu stiu a face ceva anti-ascuns pentru mine.

Nustiu daca ma intelegi.Insa e nasol chiar nu am stiut ....oricum sa fim seriosi @staticwater cati stiu de Comodo, majoritatea folosesc procexp sau taskmgr. Si daca ar fi sa fac ceva intradevar ascuns nu cred ca m-as folosi de o sursa antica de prin 2008;))

Edited June 16, 2011 by me.mello

[staticwater]

Commodo must die! O sa gasesc o metoda(sooner or later)! Mersi, mai vb.

[Scorpionadi]

Am downloadat injector-ul, din pacate e detectat de avira. Eu folosesc metoda urmatoare:arhivez dll-ul(executabilul) cu rar. Arhiva e parolata! Pun in exe arhiva ca resursa. Dupa lansare dezarhivez fisierul(in memorie). Daca e dll injectez in memoria unui proces, daca e executabil lansez direct din memorie. Important e ca fisierul "sa ramina tot timpul in aer", sa nu atinga hard-ul! Metoda o folosesc de mult, si n-am avut probleme nicodata. Oameni cauta crypterul perfect, un fisier arhivat cu Rar + parola e FUD 100% .

Intradevar este o metoda care pare simpla si eficienta , dar daca ai putea face un tutorial video sa vad exact pasii care trebuie urmati si cum se face mai exact , ti-asi fi foarte recunoscator