Регулярно я гуляю по ютубу, чтобы найти какие-нибудь снг ролики связанные с читами. В итоге в последнее время (видимо связанное с общим бумом крякеров), стали подшивать именно его. Про софт я ничего не скажу, функций для стандартного ратника у него много, даже богаче дсрата. Но использовать его крайне невозможно, даже под криптом . Ибо сигнатурный анализ памяти любого авера даст детект, так как крипт выбросит голое тело билда прямиком в память, где в последствии произойдет помарка в рантайме. Ну что же приступим. Семпл я брал с эни ран, как новый (недавно) запущенный, также их можно найти на tria.ge сайты имеют очень удобные конструкции и логические операции для поиска. Хэш нашего подопытного - https://www.virustotal.com/gui/file/1073ff4689cb536805d2881988b72853b029040f446af5ced18d1bc08b2266e1 , эни ран подопытного - https://app.any.run/tasks/dd40df03-8e5d-4117-b366-e33394f4d2dc Для начала я попробовал запустить его на дедике, но файл не дал никакого результата. После этого я решаю обратиться к tria.ge, в которой есть встроенный снифер исходящего трафика и вижу вот такую интересную картину. Билд отправляет запрос на сайт, чтобы скорее всего убедиться является ли наша машина реальным юзером, или хостится где-нибудь в ЦОДЕ. Сверяем ипшник моей тачки, где первоначально был запущен семпл. И да действительно, ипшник относится к серверным. В общем, едем дальше. Запускаем такую утилиту как ExeInfoPE, чтобы узнать с чем мы работаем. Она также удобна тем, что может показать чем был накрыт/обфусцирован конкретный файл. Ясно, мы имеем дело с обычным .NET говном, значит закидываем его в программу под названием dnspy для дальнейшего анализа. Теперь нажимаем ПКМ по нему. И жмем Go to entry point (Переход к входной точки семпла) И видим следующее: Все накрыто, но это не конец. Мы можем разобрать некоторые моменты самого ратника. Попробуем воспользоваться одним из самых популярных .NET деофбуфскаторов. Просто берем и закидываем файл прямо в экзешник данной утилиты. Получаем clean версию. Закидываем уже cleaned в dnspy и продолжаем анализ, только уже в чуть более понятном разборе, где прослеживаются хотя бы функции. Но для начала следует сказать, что сам зверек использует следующие средства безопасности против своего анализа. 1) Это как мы узнали вначале проверка ип-адреса на хостинг-провайдера. 2) Очень колхозную проверку на виртуальные машины по типу Vmware/virtualBox 3)Ну и попытка обнаружения SbieDll, она используется, допустим, в том же Sandboxie. Немного отвлечемся от темы. Сразу хочется дополнить, что Sandboxie это не гарантия безопасности и использовать ее для исследования чего либо не стоит, вот тому доказательства. Уже куча *******ов/ратников нашли методы "выпрыгивать из нее" прямо во время анализа.Других методов борьбы я не нашёл, но я думаю это самые основные из них, если вы будете самостоятельно его разбирать - дополните в теме, будет интересно прочесть. Можно сказать, что софт имеет плохую защиту в памяти, что в последстствии можно оголить функции обычным паблик деобфускатором. Также следует сказать, что расшифровка происходит прямо в памяти процесса, что подставляет под угрозу саму панель и ее 14-летнего юзера. Можно спокойно достать айпишник, в следствии через тот же check-host.net узнать ISP, а в дальнейшем и написать на abuse mail определенного провайдера, либо обратиться в опрделенные органы. А реализованный анти-вм - вообще нахуй меня убил)) На этом все, статья прям говно, потому что паблик, попытался разогреться и приспособиться (Учитывая, что я этим занимаюсь недавно). Если я в чем-то не прав, либо вы хотите дополнить пишите под топик. Спасибо за прочтение.
Также хочу сказать, что хотелось бы запустить небольшой марафон по анализу как раз таки разного рода малвари. Поэтому следующий будет смоук, если есть желающие, напишите в лс
поэтому нехер качать всякую хрень с ютуба. это уже понятно, но дибилов ради "бесплатные читы майнкрафт 1.16.5 анархия взлом" готовы на все. поиграл с читами и все. гг. а для обхода проверки на вм дашь другие машинки? или через триагу проверять каждый файл? там вроде только по корпопочте пускает, не?
антивм взят из асинкрата (либо дкрата с гита). чек на сэндбокси тоже )0)) хворм - просто переработанный нжрат, который хкодер впаривал по 1к американских рублей ;)
chasek, на самом деле xworm это хуйня, смоук посерьезнее будет и интереснее. Да и тут паблик инфа, я уверен, что не первый разбираю этот билд, ну и нашел его я самым первым по поиску YARA
renameduser_7617806, также еще они выходят из говно-положения вот таким калхозом, не знаю насколько он рабочий, но как по мне это ваще пиздец. Чисто суют sfx с вбской, которая путь копирования ратки добавляет в исключение дефендера. А то что авер это все видит - всем похуй
arimans, я тоже пожалел, что узнал, такое дерьмо продается, чтоб ты понимал, я также и новый билд вытащил, там нихуя не поменялось)
Это стандартная проверка, тащемта: проверка по реестру и/или WMI. Её использует подавное большинство в виду простоты реализации. Ну и стоит учитывать, что это дотнет, а с ним в плане всяких чеков на песочницы и виртуальные машины не особо-то и разбежишься. Из более смешных чеков можно попробовать на дотнете реализовать парсинг сетевых адаптеров, cpuid, чекать хост на наличие гипервизора в системе (тут могут быть фолз позитивы, аккуратнее) и ещё многого чего. Всё зависит от знаний. Потому что обфускация заключалась только в ренейминге классов и методов. Чутка труднее будет если обфускация значительно затронет control flow, но решает трассировка и более глубокий анализ. Конечно же, всякие деобфускаторы можно ломать (как и дизассмблеры). Хз что ещё писать, пока что не очень статейка. Старайся в реверс нативных бинарей, там может и веселее будет (хотя практически вся малварь весьма посредственно написана и разбирать её не особо весело, натив в том числе).