FUD и с чем его едят

Storage

Original poster
Banned
Сообщения
22
Реакции
13
Посетить сайт
Please note, if you want to make a deal with this user, that it is blocked.
FUD crypter 2012 wildhacker.jpg
FUD для дураков


  • >Сколько продержится FUD?
  • Один из самых тупых и надоедливых вопросов клиентов крипторов. Клиент дает файл, мы его

    Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

    , убеждаемся на чекерах, что он ФУД; проверяем на Virtual Box, как правило на х64 Windows 7 -10 и х86/х64, даже Windows XP, что он работает (если встроена защита от VM – смотрим что крипт отрабатывает без проблем) и передаем закриптованный файл. Дальнейшие очевидные действия клиента – постановка на траф или обновление существующего ботнета. Причем на всем вашем трафе или ботнете будет находиться один и тот же файл – с одинаковой

    Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

    . Сигнатура, как правило,
  • может быть выделена антивирусным программным обеспечением на многих этапах.
  • Этапы возможного выделения сигнатур файла антивирусным ПО, по порядку использования:
  • Выделение сигнатуры на этапе использования не надёжной связки или при обновлении ботнета;
  • Непосредственно на целевой машине, при подозрениях с точки зрения эвристики и поведенческих аналализаторов, защищаемого софта;
[Здесь не рассмотрена возможность анализа файлов загружаемых извне в чистом не зашифрованном виде на Облачном уровне корпоративными системами раннего обнаружения вирусной угрозы и подобными системами провайдеров]

После обнаружения подозрений, файл, как правило передается в АВ – контору для исследований и его сигнатура добавляется в базу, после чего АВ – конторы иногда обмениваются между собой информацией или просто воруют друг у друга. Все файлы вашего ботнета с момента обновления базы становятся частично детектируемыми (PD), а со временем практически полностью детектируемыми (FD). Тем не менее, если использовался

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

криптор, данная проблема может быть решена как правило вовремя элементарным рекриптом без чистки.


Рекомендации:

  • На этапе разработки применение модульности, обеспечивать максимальную скрытность основного модуля софта. Или при покупке софта – смотреть не только на его функционал но и на количество детектов и чем детектится новый билд, а так же на отсутствие специфики файла, например таких как оверлей; обращать особое внимание на «криптуемость» файла;
  • Передавать не закриптованные и закриптованные файлы только в архивах с не тривиальным паролем;
  • Использование обязательного динамического шифрования данных при обновлении ботнета;
  • Использование только «надёжных» связок при прогрузах, т.к. она сама по себе может «спалить» файлы;
  • Самое оптимальное, что может быть – использование встроенного в Админ – панель автоматического криптора/апдейтера, с возможностью криптования на лету, так что бы на каждой машине ботнета файл был с уникальной сигнатурой.
  • > Так что велком на крипт, только те кто в теме

    Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


  • Лирическое отступление:
    Т.к. данная статья была написана сравнительно давно, нужно отметить:

    Со времен применения полиморфизма/пермутации и метаморфинга в стабах, которые были задуманы как панацея от статического сканирования и сигнатурного выделения/обнаружения появились новые технологии обхода рантайм эмуляторов aka песочниц AV. Продолжение следует...
 
Последнее редактирование:
Название темы
Автор Заголовок Раздел Ответы Дата
UnderD0g Продажа .NET FUD крипта файлов OR полную версию криптора. Продажа софта 0
F Ransomware Builder | FUD, BSOD,PANEL,LOADER | Anarchy Builder Продажа софта 0
#~Shinigami~# Продам Крипт файлов FUD Runtime/Scantime 0 Detect Malware, эксплойты, связки, крипт 0
ev0ra Проверено Ev0ra Encryption Service | SCANTIME-RUNTIME FUD | .NET and NATIVE | FUD GUARANTEED Malware, эксплойты, связки, крипт 1
Kalash Интересно Криптую APK файлы FUD Ищу работу. Предлагаю свои услуги. 0
CriptoBot Крипт файла FUD Malware, эксплойты, связки, крипт 3
Z Проверено [СЕРВИС] TitanCrypt.ws - Automatic FUD native crypts - $25/crypt Malware, эксплойты, связки, крипт 0
tronc Проверено FUD (0/26) | Уникальный крипт | 600р | Без зависмостей | .doc Malware, эксплойты, связки, крипт 0
1 Проверено Криптор-сервис Private FUD [C / C ++ / ASM] Malware, эксплойты, связки, крипт 0
grilder Сryptix Fud Encrypt [ANONYMOUS] Вирусология 1
Azaar Криптуем наш вирус в 100% FUD Полезные статьи 3
R Autoit Downloader FUD by Youssef Вирусология 1
Khan «Пандемия вымогателей»: с чем связана волна атак хакеров и как она отразится на биткоине Свободное общение и флейм 0
R ЗАБУГОР 46к Приват забугор на валид чекать не чем Полезные статьи 0
VipRin1 Как за 3 часа успевать больше, чем другие успевают за 3 дня Способы заработка 1
Wlofer На чем начать программировать? Вопросы и интересы 19
hiller1234 В Москве более чем на 20 млн рублей ограблен покупатель биткоина Новости в сети 0
Admin Twitter, распространение больше, чем просто идеи Уязвимости и взлом 0
GhosTM@n Интересно Что такое Wazuh? Для чего его используют? Уязвимости и взлом 0
LegolasGL Интересно Биткоин пережил сайт, первым объявившим о его «смерти» Новости в сети 0
LegolasGL Интересно YouTube заблокировал аккаунт СТО Ripple Дэвида Шварца, посчитав его самозванцем Новости в сети 0
Admin Как узнать данные о человеке и его местоположение [Seeker] Анонимность и приватность 9
Stefann Обнаружение вирусного кода в файликах, даже когда антивирус его не замечает. Полезные статьи 2
Admin Что такое WiFi Pineapple и как его используют для беспроводного перехвата WiFi/Wardriving/Bluejacking 4
R RSocks - самый крупный МаркетПлeйс PROXY в СНГ и за его пределами! Дедики/VPN/соксы/ssh 0
A Взбесил один шнырь. Как заставить его страдать? Вопросы и интересы 5
Sasha3I8I2 Легчайшая накрутка Instagram (и не только его) Другие ЯП 8
Y Незаметный обход пароля Windows без его смены или сброса Софт для работы с текстом/Другой софт 5
Flappy1 Фейк магазин и его продажа| online | серое | Способы заработка 4
Areot Спам и его виды Полезные статьи 0
K У андроид приложения защищённое соеденение https как обоити его? Вопросы и интересы 0
thewixkw скрипт,его правильное использование Вопросы и интересы 4

Название темы