Crypters (kriptovane aplikacije) su softwerske aplikacije koje hakeri koriste da prodju neprimeceni pored antivirusa, a da pritom' sakriju viruse, trojance, RAT, kayloggers-e i druge izvrsne (.exe) hakerske alate kako bi dosli do podataka na nasem racunaru. U vecini slucajeva takvi alati prodju neprimetno pored antivirusa jer su ubacene u slike, dokumente, videoformate i dr. Najcesci razlog zasto antivirusni program ne prepoznaje ovakve kriptovane aplikacije je taj sto nemamo placenu licencu za antivirus, tako velike kompanije koje prodaju antivirus programe i licence stite svoje prihode.
Najosnovniji pojmovi u kriptovanju:
Za razumevanje i izradu kriptovanih aplikacija, hakeri moraju da znaju odredjene termine i sigurno mnogi od vas vec znaju za mnoge termine, ali je dobro da se svi podsetimo. Termini su poredjani od pocetnog do profesionalnog nivoa kriptovanja.
FUD ili UD. Fully undetectable (FUD) znaci potpuno neprimetno, odnosno da vas virus nece detektovati nijedan antivirus program, dok UD oznacava da poneki antivirus moze ipak detektovati kriptovanu aplikaciju. Kriptovana aplikacija ili dokument koji u sebi ima virus ako se deli na internetu moze najvise izdrzati 2 do 3 dana dok ga prvi antivirsni program ne pocne registrovati, kada se to desi veoma brzo krece potpuno razotkrivanje. Zato ukoliko pravite kriptovane viruse koristite ih retko, ciljano i anonimno kako bi vam sto duze ostali neotkriveni.
STUB. Mali deo KODA je u stvari STUB koji sadrzi jednu funkcionalnost koja omogucava vrsenje jedne operacije i ona se uvek koristi iznova. Obicno se programira u Java-i ili kao header u C (koja vec ima odredjene definisane strandardne funkcije). STUB obicno simulira vec postojece kodirane operacije na vasem racunaru. STUB olaksava prenosivost kripotovane aplikacije i zato se ne treba brisati iz kompletnog koda.
Objasnicu vam to na najjednostavnijem primeru, recimo da pisemo kod koji pretvara bajtove u bitove, i posto znamo da ce formula ili konverzija bajtova u bitove biti nezavisna od masine, nas STUB bi igledao nalik na:
>>>>>>>>>>>>>>>>>>>>>>>>>>>
BEGIN
totalBits = calculateBits(inputBytes)
Compute totalBits = inputBytes * 8
END
>>>>>>>>>>>>>>>>>>>>>>>>>>>
Recimo da cemo sada da unesemo brojke koje ce samo proci kroz kod i izvrsiti konverziju bajta u bite, iako ce se ta konverzija izvrsiti, osnove koje smo uneli ce ostati iste. Napomena: Dosta puta se dogodi da smo preuzeli neki keylogger koji ne radi, jedini razlog za to je upravo STUB. Tako da dolazimo do zakljucka ako preuzimamo neki keylogger ili kriptovani dokument uvek moramo da proverimo da li u njoj postoji STUB, ako ne postoji STUB nemojte ga ni preuzimati jer je sigurno gubljenje vremena ili neki virus.Preporucujem da nikada ne koristite hakerske alate na vasoj stvarnoj masini, uvek imajte virtuelnu masinu za testiranje i koriscenje ovih alata.
USV. (unique stub version) Jedinstvena verzija STUB-a je deo kriptovane aplikacije koja generise jedinstvenu veziju stuba, koja se razlikuje od njegove prethodne verzije stuba na koji nacin ga cini jos nevidljivijim za antivirus programe. Ono sto je dobro za one koji projektuju USV je da antivirus kompanijama treba mnogo vremena da uvrste novi virus u svojoj bazi jer i one moraju sa svojim inzinjerima da menjaju svoj STUB kako bi bio prilagodljivi novom USV. Savet: Unique stub generation (USG) ne treba upisivati u STUB, zato sto ce se prilikom podele zrtvama lako razotkriti, najbolje je ako se "spakuje" u glavni kod jer ce tako dugo ostati FUD.
Vrste kriptovanja:
Kriptovanje bazirano na spoljnom STUB-u. Ako koristite javne crypters-e onda je svaka zalba da ih anitvirusi jako otkrivaju suvisna jer one nikako ne mogu ostati dugo FUD. Crypters koje su bazirane na pomenutom spoljnom stubu upravo su i zavisne od njega jer ako se on izbrise Crypters postaju neupotrebljive. Vecina antivirusa upravo izvrsi ovu funkciju - izbrise stub. Ove vrste crypters-a sadrze dva fajla jedan je client.exe, a drugi je stub.exe. Stub sadrzi glavne procedure, a Client sadrzi opste procedure koje pokrecu glavne procedure.
Kriptovanje bazirano na internom (ugradjenom) STUB-u. Crypters koji sadrzi samo jedan exe file (client.exe) upravo spada u ovu kategoriju. U client.exe je ugradjen STUB koji moze da se razdvoji RCE-om (reverse code engineering), ali to nije preporucljivo.
Napomena: Eksterni ili interni STUB ne cini neku veliku razliku u otkrivanju od strane antivirusa, mada je interni u blagoj prednosti.
"Run time ckrypters" su oni ckrypters-i koji ostaju neotkriveni u memoriji za vreme njihovog pokretanja, i one su najtrazenije ckypters, i mogu biti i sa internom i sa externom varijantom.
"Scan time ckrypters" ce ostati neotkrivene dok se radi enkripcija fajla, ali ce se otkriti kada se fajl generise. Jedan od najgorih jer smo ulozili vreme da ga napravimo, a otkriven je cak od strane losih antivirusa.
Recimo da cemo sada da unesemo brojke koje ce samo proci kroz kod i izvrsiti konverziju bajta u bite, iako ce se ta konverzija izvrsiti, osnove koje smo uneli ce ostati iste. Napomena: Dosta puta se dogodi da smo preuzeli neki keylogger koji ne radi, jedini razlog za to je upravo STUB. Tako da dolazimo do zakljucka ako preuzimamo neki keylogger ili kriptovani dokument uvek moramo da proverimo da li u njoj postoji STUB, ako ne postoji STUB nemojte ga ni preuzimati jer je sigurno gubljenje vremena ili neki virus.Preporucujem da nikada ne koristite hakerske alate na vasoj stvarnoj masini, uvek imajte virtuelnu masinu za testiranje i koriscenje ovih alata.
USV. (unique stub version) Jedinstvena verzija STUB-a je deo kriptovane aplikacije koja generise jedinstvenu veziju stuba, koja se razlikuje od njegove prethodne verzije stuba na koji nacin ga cini jos nevidljivijim za antivirus programe. Ono sto je dobro za one koji projektuju USV je da antivirus kompanijama treba mnogo vremena da uvrste novi virus u svojoj bazi jer i one moraju sa svojim inzinjerima da menjaju svoj STUB kako bi bio prilagodljivi novom USV. Savet: Unique stub generation (USG) ne treba upisivati u STUB, zato sto ce se prilikom podele zrtvama lako razotkriti, najbolje je ako se "spakuje" u glavni kod jer ce tako dugo ostati FUD.
Vrste kriptovanja:
Kriptovanje bazirano na spoljnom STUB-u. Ako koristite javne crypters-e onda je svaka zalba da ih anitvirusi jako otkrivaju suvisna jer one nikako ne mogu ostati dugo FUD. Crypters koje su bazirane na pomenutom spoljnom stubu upravo su i zavisne od njega jer ako se on izbrise Crypters postaju neupotrebljive. Vecina antivirusa upravo izvrsi ovu funkciju - izbrise stub. Ove vrste crypters-a sadrze dva fajla jedan je client.exe, a drugi je stub.exe. Stub sadrzi glavne procedure, a Client sadrzi opste procedure koje pokrecu glavne procedure.
Kriptovanje bazirano na internom (ugradjenom) STUB-u. Crypters koji sadrzi samo jedan exe file (client.exe) upravo spada u ovu kategoriju. U client.exe je ugradjen STUB koji moze da se razdvoji RCE-om (reverse code engineering), ali to nije preporucljivo.
Napomena: Eksterni ili interni STUB ne cini neku veliku razliku u otkrivanju od strane antivirusa, mada je interni u blagoj prednosti.
"Run time ckrypters" su oni ckrypters-i koji ostaju neotkriveni u memoriji za vreme njihovog pokretanja, i one su najtrazenije ckypters, i mogu biti i sa internom i sa externom varijantom.
"Scan time ckrypters" ce ostati neotkrivene dok se radi enkripcija fajla, ali ce se otkriti kada se fajl generise. Jedan od najgorih jer smo ulozili vreme da ga napravimo, a otkriven je cak od strane losih antivirusa.
0 коментара:
Постави коментар