Живучесть бота

[rtkm]

Что посоветуете для живуости бота.
Кроме как частого апдейта с фудд криптом.

Буду очень благодарен за идеии.

+ Вопрос если в конец файла дописать мусор на 100-200 мб. Ав будет сканить этот файл или нет?
и какие еще есть уловки для продолжение жизни бота?

Бот тихый, устанавливается норм, стабильность отестировали , 5 суток высел на 4 разных виртуалках + на ноутах. утечек памяти нет, бот не вылетает.

жду идей)

[JKornev]

Врятли мусор как-то повлияет на недетект, особенно если он в стабе, а не в секциях.

[yorowe]

Возможно, поможет оригинальный способ грузить исполняемый файл. Например, недавно в нескольких модификациях Grand Theft Auto V нашли загрузчик кейлоггера. Работало это так: в папку с игрой кладётся библиотека с названием dsound.dll или dinput8.dll (игрой она хавается сама и на "ура"), эта библиотека в свою очередь грузит все файлы с расширением asi из папки с игрой. На самом деле asi - это dll с другим расширением. насколько я знаю, ав не реагировали.

Ещё в иде исполняемый код лежит в каких-то wll-файлах.

[REU]

Ещё в иде исполняемый код лежит в каких-то wll-файлах.

В иде это потому что в борланда можно было задавать расширение с каким создавать длл.

[yorowe]

В иде это потому что в борланда можно было задавать расширение с каким создавать длл.

То есть там тоже внутри обычная dll-ка?

[benedict]

Как вариант инжектиться в какие нибудь исполняемые файлы которые каждый раз при перезагрузки грузятся, и код который туда инжектится проверяет на целостность бота, если есть то завершает выполнение, если его нет то скачивает и устанавливает заново.

А вообще очень много зависит от системы и условий.

[JKornev]

Любые инжекты и dll hidjacking дохлые методы, всё что грузится через системный загрузчик проходит через коллбеки АВ

[REU]

То есть там тоже внутри обычная dll-ка?

Да.

[benedict]

Хм... а если например не винду хучить а что нибудь популярное ? Что обычно есть, запускается каждый день и редко обновляется, может даже несколько прог. АВ врядли их проверяет, да и боты как я понял по первой точно не палятся.

[JKornev]

Какая разница, когда проецируется секция с флагом SEC_IMAGE, в ядре дёргается коллбек, что драйвер АВ зареган на это событие сомнений быть не может, если только это не АВ Бабушкина. Так что грузи свою малварь хоть через ПО майкрософта, АВ это заметит и просканирует. Другое дело переписать системный загрузчик, не используя проекции SEC_IMAGE, ток это уже тема другого разговора

[Dark Koder]

отреверси модули АВ и используй баги.ну или купи их )

[benedict]

Понял, а если не подгружать dll а в саму прогу записать его в свободное место (если оно имеется ?). Ну и да как вариант написать буткит, эту вещь детектят не все и не все АВ умеют лечить.

[JKornev]

Если честно я хз как АВ реагируют на выполнение из обычных страниц памяти (если ты их имеешь ввиду), думаю для них это заноза в заднице. Что касается буткита, то для того чтобы такое написать нужно более менее шарить в ядре ОСи. Для ботнета жирные буткиты не нужны, малваршики наоборот стараются снизить потребности своих поделок, чтобы работать в непривилегированной среде, т.к. захват привилегий это лишнее палево и геморо

[rtkm]

а от юзера как прятать можно , без руткита допустим ( ав нету на тачке и т.д. ) и надо что бы бот долго жил.

[benedict]

Если честно я хз как АВ реагируют на выполнение из обычных страниц памяти (если ты их имеешь ввиду)

Ага, именно их.

А для того что бы перезаписать бутлоадер нужны привилегии? Да и в принципе как я понял что бы малварь более менее жила, нужно закрепиться в системе а для этого нужно повышение привилегий , или я не прав ?

а от юзера как прятать можно , без руткита допустим ( ав нету на тачке и т.д. ) и надо что бы бот долго жил.

Ну какие то немного тепличные условия что ли. Тут все зависит от юзера, есть которые не обратят внимание если будет каждые 10 минут бсодиться все, а есть которые могут заметить любое странное поведение и найти причину. Но если в общем случае то наверное скрывать себя из трея, диспетчера задач.

[JKornev]

Да и в принципе как я понял что бы малварь более менее жила, нужно закрепиться в системе а для этого нужно повышение привилегий , или я не прав ?

Ну чтобы более мене жила я хз, но чтобы закрепится в системе неа

[benedict]

А как тогда можно закрепиться в системе без повышения привилегий ?

[JKornev]

Ну бонально автозапуск из ветки HKCU, заражение файлов, dll hidjacking и т.п. Исследуй систему, вопросы сами по себе отпадут.

Я хоть и далёк от VX, но относительно темы, мне кажется прятать от юзера лучше всего малварь в DLL, так как если левый процесс сразу бросается в глаза, то заинжекченная DLL в контексте лигитимного процесса найти достаточно проблематично, + необязательно использовать работающий процесс, можно просто взять какой-то фоновый exe винды стартануть в нём вредоносный код без старта самого процесса. ИМХО трёп трёпом, а все эти техники надо отрабатывать на практике и наблюдать что лучше что хуже

[nosos]

Ну бонально автозапуск из ветки HKCU, заражение файлов, dll hidjacking и т.п. Исследуй систему, вопросы сами по себе отпадут.

ну без повышения привелегий назаражать задача не тривиальная хотя вполне реально с мидла позаражать програм файлс...а если мы ниже мидла че делать? =)...собсна с какой стороны нужно исследовать систему и на какой предмет? сплоет искать?

[ximera]

Не забывайте про детект в памяти, ав уже и такое умеют. =)