Jeg har gjort dette et par ganger før (for gøy, og når jeg har liksom krig med kollegaer). Siste jeg gjorde var:
- Lastet ned forskjellige 'password recovery' program fra Nirsoft (hvorfor finne opp hjulet?)
- Pakket de opp da de er pakket med UPX.
- Hex editet alle strenger jeg ikke trengte til bare xxx. Jeg vil ha eksport til fil, så kun strengene for kolonneoverskrift jeg beholdt. Beholdt filstørrelsen på grunn av at noen av programmene har sjekk. Bare xxx (like tegn) for at de skal komprimeres bedre etterpå.
- Byttet ut ikonet og ting i headeren med bare sort ikon og xxx. Programmene uten sjekk av sin egen størrelse kan du slette ikon og ting. Benytt PE Editor eller Resource Hacker.
- Test filene (IKKE på online multiskannere, AV selskapene har tilgang på dataene der). Blir de tatt, så må man gå grundigere til verks. Se notater nederst.
- Laget et AutoIT script som droppet alle filene til %temp% og kjørte de og slo sammen tekstfilene med passord som de genererte, og uploadet de tilbake på en server jeg kontrollerer. Programmet kjørte også cleanup. Noe vanskelig å få det til å slette seg selv, men jeg fikk ordna det.
- Finn en sær pakker som helst ikke kan pakkes opp igjen. Kkrunchy, upack eller lignende. Pakk den kompilerte AutoIT fila som inneholder filene du vil droppe og kjøre. AV programmer har problemer med lite brukt sære hissige pakkere. Ikke bruk default innstillinger - test litt rundt med pakkeren.
Om filen blir tatt:
Antivirus osv. kan kjøre behavioral scan istedenfor filsignatursjekk. Da har man litt større problem og bør kode / stjele kode som sprøyter seg inn i eksisterende prosesser. Søk på rats på nett (annet navn på botter) - som poison ivy og disse.
Finnes AV sjekkere som sjekker program mot signaturdatabase for antivirusprogram og sier deg nøyaktig hvilke bytes som får alarmen til å gå. Da kan du endre disse og krysse fingrene for programmet fortsatt utfører oppgaven sin.
Har man litt kunnskap, så kan man disassemble programmer endre på et par instruksjoner (type benytte ikke MMX metoden for å gjøre en MMX instruksjon). Programmet går tregere og er ikke like optimalisert, men sluttresultatet blir kanskje ikke gjenkjent. Kompiler igjen.
Ta vare på kildemateriale og kode. Du må endre ofte på dette da AV selskapene endrer ofte på sine definisjonsfiler og signaturbaser.
TIPS for å få spredd det. Ikke bruk vanlige bindere/droppere. Lag din egen i AutoIT om du vil binde og putte på fildelingsnett. Alternativt bruk en jpg/png/pdf/gif noe exploit (type se bildet og den downloader fil) (milw0rm, 0x000000 gode kilder) og kjøp / stjel billige banner annonser på paid to read, get paid to sider
Sist endret av TechCF; 17. juli 2008 kl. 11:05.