13 Antworten in diesem Thema

[sub0]

Hey Leute, vorab:
 
Problem
 
Ich bin oldschool und eingerostet, habe lange überlegt wie ich diesen thread starten kann und soll. Ob es Sinn macht und ob sich die überhaupt jemand produktiv daran beteiligt.
 
Mir ist aufgefallen, dass die meisten rum jammern, dass die (deutsche) Szene tot ist. Ich sehe das etwas anders. klar ist sie oberflächlich vielleicht abgestorben, aber deswegen ist es ja nicht so, dass die "deutsche Szene" nicht mehr existiert.
 
Die meisten haben sich wohl zurückgezogen oder schreiben ihre Ideen/Werke nicht mehr public, wegen den ganze Skiddies und Co. oder weil sie vielleicht unnötig sich ärger mit dem Gesetzt einfangen.
 
Also wenn dass hier alles ein kaputter und voll gewucherter digitaler Wald ist, brauchen wir nur ein kontrolliertes Feuer, dass den Toten Wald wieder belebt.
 
Meine Wenigkeit
 
Als Kind, fand ich VXen sogar anziehender als das "Hacking" selbst. An die Leute die zu "jung" sind und nicht wissen was VX ist. Ein VXer ist ein Virus-Programmierer (Heute würde man Malware Autor oder sowas sagen).
 
Damals hat man so was gemacht um zu zeigen wie gut man sich mit einer Programmiersprache und dem Betriebssystem auskennt. Oder wie in der Demo Szene, um ein kleinen sparsamen aber effektiven code zu schreiben. Und viele andere nicht-kommerzielle Motivationen.
 
Heute ist dass Zeug mehr Blackhat Stuff. Sind wir nicht alle ein bisschen Blackhat?
 
Idee
 
Lasst uns zusammen versuchen unsere Erfahrungen und Ideen, hier (oder in einem neuen thread) zu sammeln und durch zu diskutieren.
 
Würde mich total freuen zu sehen, welche Programmiersprachen, Techniken und Methoden ihr verwendet um Malware/Spyware zu schreiben und um nicht erkannt zu werden.
 
PS: Meine ersten newschool Gehversuche, waren hier im Forum. Ich habe damals den Prototypen für ein PHP Webpanel für den Stealer von Cube geschrieben (Inklusive XSS bug).
 
 
Sub Thread

 

• [VX] C2 Kommunikationsprotokolle

 

 

[VX] Tags? -> https://www.toolbase...rie/#entry55472

Bearbeitet von sub0, 08 November 2019 - 15:46 Uhr.

[DR.zydz]

Geile Idee! Meine Wenigkeit kann in puncto Coding leider wenig beitragen, da ich das einfach nicht kann (nur rudimentär).

 

In jeglicher abweichender Form würde ich mich gern beteiligen; wie auch immer!

Bei mir war es genau anders herum. Malware hat mich nie so interessiert, wie in andere Systeme einzudringen. Natürlich auch gern mit der Hilfe von Malware.

[sub0]

Geile Idee! Meine Wenigkeit kann in puncto Coding leider wenig beitragen, da ich das einfach nicht kann (nur rudimentär).

Das muss nichts heißen. Manchmal bringen leute die Keine Ahnung von der Materie haben, frischen Wind und inspirieren einen oder helfen die Dinge von einem anderen Blickwinkel zusehen..

In jeglicher abweichender Form würde ich mich gern beteiligen; wie auch immer!
Bei mir war es genau anders herum. Malware hat mich nie so interessiert, wie in andere Systeme einzudringen. Natürlich auch gern mit der Hilfe von Malware.

Ja mich doch auch. Nur die Sache war, dass das zu meiner Zeit noch weit entfernt von der Realität war. Heutzutage ist vieles viel einfach. Trotzdem haben die Junge Menschen aber viel mehr Probleme.

Vielleicht versinken wir in der Flut an Informationen um uns herum.

[B1nary]

Die meisten haben sich wohl zurückgezogen oder schreiben ihre Ideen/Werke nicht mehr public, wegen den ganze Skiddies und Co.

 

So schaut's aus die Szene ist hoffentlich nicht tot, sondern nur etwas eingeschlafen

Ich finde die Idee super! Mal sehen, was rumkommt

[CyberFlash]

Auch ich bin nicht so der Coder, aber bei mir wahr es wie folgt.

Anfangs wollte ich einfach ein paar Rechner Herunterfahren von Freunden somit bin ich auf Batch Scripting gekommen.

Danach fand ich den weg in die Fraud Szene -> (-.-) Dort wurde damals viel um RAT's diskutiert, was ich Anfangs ganz cool fand, und dann auch selbst anwendete.

Irgendwann hatte ich keine Lust mehr das Zeug zu Spreaden, und dachte mir, es würd mich freuen, wen meine Rats auf einer gehackten Webseite liegen und diese

dann beim Aufruf der Seite einfach geladen werden (Drive By). Somit befasste ich mich mit WebSecurity und Server Administration was mir bis heute Spass macht und ich auch dabei geblieben bin.

 

Vielleicht kommt ja nun mal einer der auch richtig Coden kann

 

Grüsse

Bin gespannt was noch so kommt hier.

[C4shin0ut]

Ich bin ja der absolute python freak daher auch hier: Python

aber warum genau jetzt python warum nicht c++ oder c# oder vb?

ganz einfach: Python kann man mit wenig aufwand für jede plattform kompilen. Es ist kompakt, schwehrer zu reversen als vb und c#, besitzt keine Abhängigkeiten wie z.B. NET(wir reden vom kompilten zustand) Außerdem lässt es sich einfach ergänzen mit librarys für die zielplattform.

Außerdem ist es eine sehr schöne sprache da egal wie beschissen man was coded das AV python malware nicht auf dem schirm hat(siehe meinen firefox stealer) So kommt man nicht nur durch gute sicherheitssysteme wie z.b. das firmen AV sondern kann auch eine mange an automatischen schritten einleiten durch web configs. So kann man unter anderem per pastebin und json Kommandos schicken und so über whitelisted domains die Malware steuern.

Außerdem bin ich einfach n fanboy

[sub0]

Ich finde die Idee super! Mal sehen, was rumkommt

 

Wenn wir alle unser wissen reinstecken und uns gegenseitig motivieren, könnte schon was gutes dabei raus kommen. Ne art Blackhat-Schwarm-Intelligenz

 

 

Irgendwann hatte ich keine Lust mehr das Zeug zu Spreaden, und dachte mir, es würd mich freuen, wen meine Rats auf einer gehackten Webseite liegen und diese dann beim Aufruf der Seite einfach geladen werden (Drive By). Somit befasste ich mich mit WebSecurity und Server Administration was mir bis heute Spass macht und ich auch dabei geblieben bin.

 

Genau, Exploit-Kits, entweder programmiert man selbst etwas, oder kauft es sehr teuer ein. War auch einer der Gründe warum ich angefangen habe Webpanels zu programmieren.

 

Die oldschool Variante "Server beim Victim und Client beim Angreifer" (z.B Sub7) oder spätere newschool Variante "Client beim Victim und reverse-connecting zum Server" (heutige gängie RATs), hatten mich gestört, damit kamen viele OpSec Probleme und dann ist man schnell Hops genommen.

 

Also ein Webpanel oder noch besser ein Reverse Proxy/Redirector war/ist ein MUSS. Das ist auch die Methode wie die meisten APTs arbeiten.

 

 

Ich bin ja der absolute python freak daher auch hier: Python

aber warum genau jetzt python warum nicht c++ oder c# oder vb?

 

Du hast es auf dem Punkt gebracht. Es gibt kein Grund sich zu "schämen" wenn man einer diese Sprachen verwendet. Es gibt APTs die haben Teile ihres Codes in Lua geschrieben.

 

Worauf ich hinaus will: Je, nach Ziel sucht man sich die Sprache aus (falls man verschiedene beherrscht).

 

Alles andere Python spezifische mit Cross-Plattform und AV-Detection können wir dann in Sub-Threads ausdiskutieren, freue mich schon darauf.

Bearbeitet von sub0, 04 November 2019 - 10:15 Uhr.

[C4shin0ut]

Ich habe darunter gesagt warum Python nicht wie die mainstream Medien zitate zusammenschnippeln
: P

Bearbeitet von C4shin0ut, 04 November 2019 - 16:28 Uhr.

[C4shin0ut]

Ich kann hier aber auch schon schön ankündigen das ich über die weinachtlichen feiertage plane eine fud malware zu coden die extra auf das umgehen von netzfiltern in firmen und einrichtungen ausgelegt ist(keine remote verbindungen zu unseriösen ips oder proxys)

werde diesbezüglich hier auch sicher mal was fragen

[B1nary]

gibt's eigentlich grade einen guten Crypter? Vielleicht wäre das auch mal eine Idee als Community-Projekt

[sub0]

Weiß zwar nicht was die Admins und Mods dazu sagen, aber wie wäre es wenn wir neue Threads erstellen und es mit [VX] taggen.

 

Und am besten schön nach Kategorien. z.B:

 

[VX] C2 - HTTP/S Kommunikation

[VX] Persistent Methoden für Windows 7/8.1/10

[VX] FUD - Tipps und Tricks unentdeckt zu bleiben

 

Die können wir dann oben in mein ersten Eintrag pinnen oder sowas.

 

Ich kann hier aber auch schon schön ankündigen das ich über die weinachtlichen feiertage plane eine fud malware zu coden die extra auf das umgehen von netzfiltern in firmen und einrichtungen ausgelegt ist(keine remote verbindungen zu unseriösen ips oder proxys)

werde diesbezüglich hier auch sicher mal was fragen

Super, alleine die Idee ist schon Wahnsinn. Gefält mir.

 

gibt's eigentlich grade einen guten Crypter? Vielleicht wäre das auch mal eine Idee als Community-Projekt

Bin da zu eingerostet. Aber wenn wir einen hier haben, der es drauf hat, wäre 'ne coole Sache.

[C4shin0ut]

 

Super, alleine die Idee ist schon Wahnsinn. Gefält mir.

 

Freu dich nicht zu früh das projekt wird dann mal verkauft ich muss auch geschenke bezahlen ; )

[Rogerlopensio]

Ich interessiere mich auch sehr für das Projekt, wenn ich auch wohl nicht viel dazu Beitragen kann da ich noch eher ein Anfänger bin. Fällt mir allerdings etwas nennenswertes ein, so poste ich dies natürlich

[IRET]

Ich bin ja der absolute python freak daher auch hier: Python

aber warum genau jetzt python warum nicht c++ oder c# oder vb?

ganz einfach: Python kann man mit wenig aufwand für jede plattform kompilen. Es ist kompakt, schwehrer zu reversen als vb und c#, besitzt keine Abhängigkeiten wie z.B. NET(wir reden vom kompilten zustand) Außerdem lässt es sich einfach ergänzen mit librarys für die zielplattform.

 

Ich liebe Python und verwende es für 70% meiner Sachen, aber leider muss ich dir doch widersprechen.

 

Es ist nicht kompakt. Es wird der Python-Interpreter (aka Python Environment) reingepackt + die Abhängigkeiten. Und das bei der guten Variante, Py2Exe kopiert alle installiertne Libs dazu (auch wenn sie nicht referenziret sind). Nur zur Info, bei der Malwareprogrammierung geht es um KBs (früher überhaupt um Bytes um auch in Code Caves reinzupassen). 300kB für eine Malware ist schon groß, da werden stattdessen dann Loader verwendet, weil 300kb zu groß sind.

Aber auch wenn die Python-Files als kompilierte Files (.pyc) reingepackt werden, kann man die leicht dekompilieren (

Please Login HERE or Register HERE to see this link!

).

 

C#/VB.Net sind ganz nett und du kannst eigentlich alles damit machen. Bei Sachen wie Native RunPE/native Injection wird es etwas komplizierter, aber auch das ist kein großes Problem. Ich finde es nur schirch und fehleranfällig im managed Bereich mit unmanaged Daten zu hantieren. Genaues Wissen was im Hintergrund passiert, wann sich was ändert und vorallem die managed und unmanaged Datentypen sind da sehr wichtig. Aber für 0815-malware super und einfach (gibt auch viele Bots in .Net). Und das .net-Framework 2.0 ist ab Windows XP Service Pack 3 installiert.

 

C/C++ bzw. native Sprachen ohne Runtime Library (Visual Studio ist hier als nicht dynamisch gelinkt) sind einfach noch am nähesten. Wenn man für ein Usermode Rootkit oder Formgrabber jetzt eine API/DLL hooken will, dann schreibt man einfach die Jumps in Assembler rein und muss sich um nichts kümmern. Man kann ganz einfach die Adresse von zB dem PE-Block auslesen und daraus die Adresse der Kernel32.dll suchen und so ohne Windows Loader auf die API zugreifen (zB für Shellcode). Durch Prozesser-Anpassungen sind auch die Try-Catch-Blocks super maschinennah mit dabei, sprich super Exception-Handling. Und wenn du Datentypen falsch verwendest, dann kriegst halt komische Daten raus. Solange du die Größe deiner Arrays kennst und schreiben begrenzt (Stichwort strcpy vs strncpy) ist es recht angenehm. Allerdings ist das Hantieren mit der Windows-API, die noch reiner C-Style ist, etwas anstrengender. Hier muss man halt die Rückgabewerte prüfen und etwas mehr Code in Exception-Handling reinstecken. Aber dafür kann man ja eigene assert-Funktion schreiben. Bzw. wenn du eh jeden Fehlerfall in deinem Code behandelst, dann läuft er viel stabiler.

 

 

Bzgl. dem VX-Tag, lieber nicht. Außer ihr wollt allen demonstrieren dass ihr keine Ahnung habt. VX steht für Virus Exchange und hat damit gar nichts zu tun. Packer haben mehr mit VX zu tun. Bzw. manche Obfuscators haben auch Code-Caves (Technik aus VX) verwendet.

 

 

Was cool wäre wenn man die Viren wieder belebt. Allerdings wird man mit den alten Techniken wenig Spaß haben, da heutiger Code von Schadsoftware zu groß dafür ist (bzw. zusätzliche Sections und so erkannt werden). Aber es gibt da etwas das nennt sich auf Windows TLS-Callback. Damit kann man Code vorm Entrypoint ausführen lassen.