Что полезно знать для новичка

[Bseven 6]

В данной теме описываю свой опыт исключительно для новичков.. Тк все что я пишу - это исключительно мой опыт, который может быть не совсем точным.
 

Первое, что необходимо разобрать это крипт, тк без него не будет работы:

Крипт - это оболочка (шифрование) файла для того что бы АВ (антивирусы) не обнаруживали ваш файл

Цены начинаются от 100$ за файл. Есть и более дешевые варианты.

Вам могут сделать уникальный (приват) стаб, который прослужит сильно дольше. Либо сделать паблик стаб. Но в таком случае криптуют не только вас, но и других клиентов. а значит ваш файл начнет палиться быстрее.

Что касается FUD файла. (0/32) - для новичка это совсем не обязательно. Я бы сказал, самое главное - что бы деф был чистый. Не только в статике, но и динамике. Тк деф - это более 60% устройств.

(НИКОГДА НЕ ВЫКЛАДЫВАЙТЕ КРИПТОВАННЫЕ ФАЙЛА НА ВИРУСТОТАЛ!!!!)

 

Второе: Алерты

А)

Самый ненавистный алерт новичков, это алерт гугл хрома. При скачивании файла с вашего хостинга (не держите файлы на хостингах), либо впс - вы с 99,9% увидите:

Файл скачивают редко. Возможно он вредоносный.

Из паблик решений я знаю только 1:

Премиум аккаунт дропбокса. Используйте на здоровье.

 

Б) SmartScreen. Данное окошко вы поймаете если будете качать файл с браузера Edge, либо же если запустите файл на пк.

Это значит то, что майкам не известен ваш файл. ( https://feedback.smartscreen.microsoft.com/feedback.aspx )

Данный аллерт можно обойти с помощью сертификата EV. Его цена - от 4к до 8к. Настоятельно рекомендую записывать на свои токены 5110С (не путать с 5110), либо покупать его с физической доставкой. Иначе есть вероятность попасть на не честного селлера и вашим сертом будут подписывать и другие файлы. Что сильно сократит срок его жизни. Срок жизни сертификата зависит от кол-ва пролитого трафика и его аудитории. Может жить как месяц, так и год.

Сертификат умирает по 2 причинам - Если его отзовут, либо если будете подписывать файлы с детектом от дефендера. На сертификат так же может попасть детект от дефа. И тогда при подписи абсолютно чистого файла вы будете ловить детект дефа. Он тупо запомнит ваш серт.

 

В) UAC - это не совсем алерт. Это запрос на изменение в системе. К примеру, добавление в исключение дефендера. Иными словами - это запрос админ прав. Очень много софтов работают с лоу прав. Значит не требуют UAC. Но есть решения, где получаются админ права без запроса. Не паблик.

 

Теперь вы понимаете, что для работы с вирусами, вам надо иметь чистый файл, на который не будут ругаться не только АВ (крипт), но и Виндовс (Сертификат ЕВ)

Давайте теперь подумаем, с какими софтами вы бы хотели работать? Начнем с самого популярного вируса

 

1) Стиллеры. Их множество, от бесплатных сорцов на гитхабе, до приват решений за 10 000$.

вредоносное программное обеспечение, предназначенное для кражи ценных данных с зараженной машины, таких как куки-файлы, логины и пароли, скрины с рабочего стола.

Стиллеры делятся на 2 типа. Резидент и не резидент.

Не резидент стиллер - после исполнения (похищения данных) он удаляется с компьютера

Резидент - живет в памяти компьютера и при необходимости (к примеру обновить кукисы) снова выполняет свою задачу

Лично я давно не работал с паблик стиллерами, но слышал что Люма стиллер неплохое решение.

Стиллеры, отрабатывают на 3 направления . 1) Крипта, 2) Сбор СС, 3) Сбор платежных систем (Банки, пейпал, амазон и пр)

Стиллер крадет данные: Кукисы (Файлы cookie – это небольшие фрагменты текста, передаваемые в браузер с сайта, который вы открываете. С их помощью сайт запоминает информацию о ваших посещениях.)

Пароли и логины которые вы сохраняете при посещении сайтов

Так же ваши платежные данные

 

2) HVNC. Этот тот же VNC (удаленный рабочий стол) но только скрытый. Вы работаете с учетки КХ, но скрытно. Если в случае со стиллером - вы стараетесь быть максимально похожим на КХ, то в этом случае КХ = ВЫ. ВЫ = КХ.

HVNC бывает только рзидентным и живет на компе до тех пор, пока ваш файл (стаб) не начнет палиться. Поэтому лучшим решением будет грузить рефлекторную длл через лоадер, которая будет жить в памяти пк

Таким образом ваш бот будет жить месяцами на пк

 

3) Что такое лоадер - дропер.

Дропер - это прокладка между вашим вирусом и пк жертвы. Его задача - запустить ваш троян и удалиться с пк.

Лоадер - тот же дропер, но только он в большинстве случаев является резидентным и имеет разный функционал, а не только запуск вашего пейлоада

 

Третье - Вы завели своего зверька, купили EV, закриптовали его, что же делать дальше, что бы заработать? Правильно - теперь нам нужны жертвы. Тут вариантов массы. От спама руками по тг, залива видео на ютуб и до контекстной рекламы.