Foro de elhacker.net

Bien, escribo este hilo porque tengo un proyecto junto al usuario @Vaagish. El tenia una RS y yo le ayude ha mejorarla y todo eso.

Pero sucedia lo de siempre que la RS era detectada con cualquier cosa, asi que le ayude en el algoritmo de cifrado y el stud, tambien en potenciar la funcion de busqueda de offset de las funciones. El colaboro en el code en si y en alinearlo todo es su sitio.

Al principio el usuario @Vaagish contruyo su propio stud y cifrado el mismo un XOR, pero este tenia muchas detecciones como unas 5, asi que construi uno con un XOR y una rutina que no pienso decir, y para mi sorpresa la RS quedo FUD, bueno quedaron al principio 2 detecciones pero era problema de alguna cosa del linker el lo arreglo y quedo FUD.

La pregunta es que podemos hacer legalmente con todas estas cosas? El crypter y todo esto, le puede interesar alguna empresa o algo parecido, prestar nuestros servicios etc...

Igualmente la RS no es una cualquiera. Y ademas por parte mia y tambien suya, tengo muchas ideas para stud`s y cosas asi, y viendo que con el stud de 10 minutos que hice y quedo FUD, igualmente tengo muchas cosas mas complejas que se que funcionan y no las escrito todavia.

Espero vuestra colaboracion, ya vieron de que somos legales.

Un saludo.

que es RS  ?

Reverse Shell, pensaba que no se tendrian problemas para entenderlo...

Un saludo.

no puedes obviar que todos manejan tus términos igual :s (puedes hacer cualquier búsqueda y verás que no es un termino comúnmente asociado)

en general legalmente un reverse shell es complicado ya que el derecho a la privacidad en la muchos de los paises te protege incluso a nivel laboral (en la computadora de tu oficina)

una empresa que tenga sus sistemas, usará administradores remotos standard y no requiere el paso fuera de la vista del antivirus

por otro lado el crypter es un cuento diferente, ya que muchos programas legales pueden producir falsos negativos o sus dueños quieren protegerlos, para las empresas de desarrollo de software con casos de piratería hay algún chance que les pueda agradar ese tipo de cosas

Me lo suponia, pero queria asegurarme y lo puse.


Perfecto ahora seria buscar a una empresa que le interesen estas cosas, a las empresas de malware por ejemplo? Piensa que vulneremos sus productos y heuristica por mi parte en 10 min.

Un saludo.

empresas de malware? XD tal cosa no puede existir porque el malware está contra la ley, sería como decir "una empresa de narcotrafico" me refiero empresas normales de software las cuales no quieren que su software tenga falsos positivos o sea fácilmente auditado (hasta empresas se software administrativo pueden estar en este lote)

Uff menuda empanada, quise decir empresas anti-malware, y cosas asi por el estilo, bueno ahora seria encontrar alguna empresa de estas que dices que este interesada en algo asi, bueno espero mas respuestas por parte de todos.

Un saludo.

Si el crypter tiene alguna interesante tecnica para saltarte los Antivirus pueda que sí, aunque lo más probable es que no. Y me
refiero al menos como Kaspersky que para saltarte todos los modulos de protección se require un conocimiento decente de como
los Antivirus funcionan otros como Avira, Nod32, Panda son un chiste.

Bueno, de todas las cosas que tenia pensadas, probemos las mas facil, y quedo FUD.

Es muy sencillo como unas 20 lineas de ASM y un cifrado XOR como dije, por eso me sorpendio ya que gente utiliza el RC4, RC5, y aun asi tiene detecciones...

Apenas tuve que meter code "basura" en las islas del code...

El analisis lo hizo @Vaagish en una de esas paginas de escaneo que en teoria no distribuye nada, no se si el Kaspersky tendria todos sus modulos de proteccion activos, pero en teoria si, no?

Fue mi manera de pasar el stud, ua que como dije anteiormente el tenia detecciones, con el suyo.

Otra cosa ya que participaste y la verdad esperaba una respuesta tuya, el payload que probemos era muy facil una reverse shell como dije, bueno esta bastante currada no es como una cualquiera, si esta sin cifrar tenia por lo menos unas 10 - 15 detecciones creo, y luego con el suyo unas 5 y el mio que do FUD, significa que dejaria FUD cualquier cosa depende de lo complejo que sea el malware o payload no?

Un saludo.

Buenas! El kaspersky esta incluido, unos 32 av's.. yo creo que el metodo tiene cosas novedosas,, y otra cosa que lo hace bueno es la simplicidad y rapidez.. gracias por las respuestas!

Saludos!

supongo que si hacen un software anti ingenieria inversa que tiene sus similitudes con un crypter habria gente interesada , la shell remota si le ponen una interfaz grafica de por medio con opciones predeterminadas  lo pueden vender como software de administracion remota(por ejemplo algo estilo teamviewer o control de cafe internet)

es cuestion de adaptarlo un poco xD

En realidad el escaneo que hacen paginas como VirusTotal, etc. no realmente te dice que evades totalmente el Antivirus, es simplemente a la hora de
escanear el archivo, Antivirus como Kaspersky hacen más que sólo escanear, ponen el archivo en entorno aislado y es ejecutado virtualmente
analizado cada acción, etc. la única manera de saber si esta evadiendo por completo es ejecutándolo en un sistema con el Antivirus e incluso a la hora
de escanear no recomiendo fiarse al 100% de los resultados de paginas de escaneo ya que podrían no mostrar el verdadero resultado, las razones son
varias algunas paginas tiene un 'time out', desactualización de base de datos/versión, configuración del Antivirus y hay más, esto lo he comprobado
incluso con VirusTotal.

En realidad esto debería de ser de esa manera si realmente estas evadiendo el Antivirus completamente, aunque también podría afectar un mal diseño
del malware por ejemplo uno que escriba constanmente al disco, registro o creando procesos, hilos , etc. cualquier acción que sea interceptada por
el Antivirus podría afectar al malware en tiempo de ejecución. Por eso un error muy común que la gente hace es cifrar algún programa dummy
luego de que el RunPE es ejecutado y el Antivirus no lo detecta ya suponen que el cualquier malware será indetectable en tiempo de ejecución, eso
es falso.

Al final si encuentran un método que realmente funciona mi consejo es que olviden ir por el 'buen' camino, tendrían que estar realmente en el
área de seguridad informática y tener algo 'grande' sino sucederá lo más probable simplemente obtendrán un feedback, la venta o servicio de
ofuscación de programas contra prorgramas de seguridad no es un delito si saben hacerlo bien.

Bueno pues tocara instalar Kaspersky.



No es por tirarnos flores, pero la RS creo que esta bien diseñada. El crypter es "Runtime" asi es como lo llaman.



Bueno en principio yo no soy programador de Malware ni mucho menos, simplemente me gusta la criptografia, ya lo sabes, como bien dije al principio ayude desinteresadamente al usuario @Vaagish en su RS, salio este problema y le dije que a lo mejor podria ayudarle, y para mi sorpresa sucedio que se quedo FUD, con una simple rutina para el stud (desde mi punto de vista) y un simple XOR, por eso abri esto hilo, no es mi idea abrirme camino por el mundo de la seguridad y AV´s, simplemente dije lo de las empresas por si cae algo y para ser legales, ni mucho menos hacernos famosos xD.

A medida de que estudio ASM, no solo las instrucciones si no la aquitectura de la CPU, tengo mas ideas sobre esto, bueno y en todo en general, se instalara Kaspersky, si resulta detectado no me importa, tengo muchas mas ideas, y en realidad este no es mi campo, tengo cosas en mente pero esto de los crypters no.

Un saludo.

Hi! La heuristica y sandbox del avast y el avg se las salteo,, hoy voy a hacer mas pruebas a ver que pasa.. Saludos!

EDIT: Entonces un crypter en si, no es ilegal?

EDIT2: Kaspersky no detecta nada.. Podríamos afirmar al 100% que es FUD?  ;D

Saludos!

Bien, como dijimos instalariamos el Kaspersky y hariamos las pruebas, segun el usuario @Vaagish es totalmente FUD, instalo la ultima version de el AV activando todos sus modulos de proteccion y la ultima base de firmas.

Con esas condiciones es posible que interese alguna empresa, o compañia todo legal claro.

Un saludo.

Bien, ¿Qué realmente hace el ejecutable que probaron? ¿Han considerado en probar un simple malware? Yo ejemplo un simple
downloader: Inyectarse en explorer o zombificar algún otro ejecutable de confianza luego conectarse a algún servidor para
descargar un playload y cargarlo desde memoria. si pasa la prueba eso seria un buen inicio.

Hii! La primera prueba fue con una Shell remota como decía @cpu2, yo tengo un downloader empezado, curiosamente fue lo segundo que se intento y es también tu opinión que tiene que pasar esa prueba  :D
También tengo algo de inyección, pero tendría que adaptarlas a esta forma nueva..

En cuanto termine el downloader y la inyección habrá noticias nuevas.. A lo mejor, inyectar un downloader? Seria una buena prueba?

Saludos! Gracias por el interés!

Me falto esto:
Bueno,, sin entrar en todos los detalles.. hace lo que cualquier RS tiene que hacer.. una conexion, puedo aclarar que es reverse, y que hasta que no hay conexion se queda en estado de reconnect.. o sea que se deberia de conseguir la shell siempre
Abre un puerto y redirecciona la consola..  :silbar:

Inyección y luego descarga del payload estaría bien no olviden que el Antivirus puede enviar las pruebas a los servidores
si son descuidados todo el esfuerzo seria para nada.

Vaya, no sabia eso de los servers, gracias por el interes, ya informaremos.

Un saludo.

Quiero dar mi opinión, pero sólo lo haré con respecto al primer post, pues fueron las preguntas principales y quiero pensar que son las más importantes igual.

Qué pueden hacer legalmente con todas esas cosas? El crypter pueden venderlo, no es ilegal; como dijo engel lex, es bastante útil para quitar "falsos" en programas realmente útiles y limpios. La mejor forma de hacerlo, yo creo que es proporcionando un nombre de usuario y contraseña a la persona que lo compre e incorporar ese sistema a su software, sin embargo, si quieren venderlo ya como un producto como tal, para lucrar con el y todo eso, van a tener que estarlo reprogramando -creo yo- diario. Mucha gente paga por crypters solo para cifrar malware y eso les puede representar una desventaja grande, pues empezarían a detectarlos. Además de que al ser un programa de paga y no tener código abierto, la gente lo crackeará y así ustedes dejarán de tener ganancias.

En cuanto al RS, yo ni haría el esfuerzo de "promocionarlo". Porqué? Porque si ya vimos que gente que sabe de informática como aquí (ya sea en uno u otro campo pero lo saben) no sabían qué significa RS (me incluyo).. creen que un dueño de una empresa o un alto cargo que tuviese el poder para contratarlos o comprarle su producto lo haría? Yo creo que no.

Una cosa más, sé que están orgullosos de su trabajo y eso, sobretodo cpu2, pero no hablen de su proyecto como si fuese la gran cosa, que hay personas que logran lo que ustedes sin rebuscar tanto en sus métodos como ustedes lo hacen. No digo que esté mal, sólo que es algo que hay que tomar más relajadamente.

Tienen muchas ideas y demás? Si saben que no las van a usar de momento, compártanlas, obviamente si no quieren, pues no, pero recuerden que ustedes han aprendido gracias a gente que no se ha guardado su conocimiento a pesar de que le pudieron sacar mucho dinero ;)

Emmm.. si lo que están buscando es dinero, yo recomiendo que metan un currículum con cosas que saben hacer a una empresa o negocio, puede resultar mejor porque así ustedes ofrecen sus habilidades, no productos que un empresario no sabe para qué sirven.

Espero que les haya servido de algo mi opinión. Saludos y sigan aprendiendo, eso los hace cada vez más humanos :3

Si el crypter es para ser usado en malware 'crackearlo' para hacerlo disponible para todos no tiene sentido, las salidas siempre seran
detectadas y se necesitará actualizarlo incluso uno que genere código dinamico en cada salida como debería ser, eso sólo funcionaria si la
finalidad del programa fuese independiente.

Buenas!!

Echa la prueba del downloader con Kaspersky (Sin inyección, download & Execute). Un éxito! El Crypter como tal funciona perfecto.. sobre la inyección quería preguntar si vale la pena, cuanto se gana inyectando el código?
Aparte que para una aplicación "legitima" es un poco raro inyectarse.. entiendo el porque se puede precisar un crypter, (por ejemplo, evadir el reversing) pero la inyección ya me parece mas especifica del malware.. (Supongo)

Bueno, el proyecto avanza.. gracias por las respuestas!

Saludos!

PD: Al ejecutarlo una vez, se agrega a la lista de archivos de confianza, asi que no se analiza dos veces..  ;)  :silbar:

el tema es ESET

NAA.. te parece?? Antes lo usaba yo, pero al ir haciendo pruebas, con el paso del tiempo me di cuenta que no detectaba un pomo la heuristica.. puedo probar a ver que pasa.. pero dudo muchísimo que sea mejor que la del kaspersky..

PD: La inyección esta en camino..

Saludos!

Si el cripter funciona a un 100%, seguro lo pueden vender, abrían muchos interesados, si no consiguen que alguna empresa se interese en esto, me atrevo a decir que esto  interesaría mucho en los dark markets

Buenas! Hay novedades!  ;D

Probada la inyección, descarga y ejecución de código en Kaspersky.. Todo sale bien, podría considerarse FUD?
El método utilizado es muy rápido, y a esta altura me animo a decir que puede pasar cualquier heuristica realizando cualquier acción..

Que les parece? Donde o como se podría promocionar?

Gracias! Saludos!

Bien a parte de probar la inyeccion en un proceso previamente creado, lo testeamos en un procsso como chrome.exe, y todo salia a la perfeccion ningun tipo de deteccion en analisis estatico y dinamico, y con todos los modulos de proteccion.

Creo que es un buen inicio, como continuamos?

A quien le interesa este tipo de cosas, y donde puedo encontrar a ese tipo de gente?

Todo legal por supuesto.

Un saludo.

P.D: Testeado en explorer.exe, y todo perfecto.

P.D.2: Hay alguna posibilidad de vender el code solo? Sin ninguna interfaz ni nada eso.

Si quieren saber si es completamente FUD debe de probarlo con todos los Antivirus más decentes que existen: Kaspersky, Bitdefender, etc.
que evada el Kaspersky no quiere decir que lo sea al 100% pero lo que si estan seguros es que otros como Avira, Nod32  no tendran problemas
en la deteccion en tiempo de ejecución.

Esta bien, probaremos el Bitdefender, alguno mas?

Y despues de eso, seguramente que ya sea FUD, pero el code no le interesa a la gente no? Quieren un crypter de un click xD.

Un saludo.

Kaspersky, Bitdefeder, Norton, AVG, Avast, DrWeb, y pueda que olvide uno pero ellos son para detección el tiempo de ejecución.

Yo no soy quien para definir eso, no sé ningun detalle acerca del metodo usado: dependiente de architectura, version de Windows, etc.
Ustedes deben de tener claro para qué será usado el código, pero si ganar dinero quieren, hagan un crypter y vendando es lo unico que puedo decirles.

Es un palo tener que instalar esos AV xD, bueno esas pruebas las hace el usuario @Vaagish, creo recordar de que de dijo que el AVG no lo detecto.


Como dije anteriormente, simplemente hera una cosa didactica y de estudio, nada mas, pero ahora salio el tema de que hay gente que se lucra con estas cosas, y me parcecio buena idea, no hacerme rico pero sacar algo al menos.

La arquitectura fue probada en x86 y x64 y bien, version del Windows probemos el XP y el Seven y todo perfecto.

El crypte en si solo son 20 lineas de ASM como diije, y un simple cifrado XOR. Pero vamos que no es el tipico.

leal EPO, %eax
movl $EPO, %eax

Un saludo.

Tengo algunos programas para hacer pruebas se los mando por MP si gustan.

Vale, pasalos cuando puedas.

Que son inyeccion y cosas asi? Bueno mejor al usuario @Vaagish es el encargado de esas tareas, yo soy mas de Unix xD, bueno es igual pasalo a los dos, no le dije nada pero supongo que aceptara.

Un saludo.

Buenísimo! Mande nomas, que las pruebas ayudan..

Gracias!

PD: El crypter esta en camino.. no es que sea difícil.. es que estoy perezoso jaja

Saludos!

Diré mi opinión, he esperado días a ver como evolucionava éste tema y ahora que se está convirtiendo en un tema "Como ganar dinero" daré mi opinión.

Hacer un crypter FUD no es una gran proeza, no le den tantas vueltas a algo que hace centenares de personas al dia. Espero que no se convierta en un hilo de promocion para vender copias del crypter a 5 euros.

Jajajajajaja Igual me gusto el aporte..

Por que los programadores "se ofenden" por las ventas de otros?? Acaso son panaderos y el software es un hobby de fin de semana? O no tienen cuentas que pagar? El día que el estado no me cobre impuestos, yo regalos mis programas..


Pero si te fijas, es lo que mas piden los usuarios del foro..  :silbar:

Saludos!

¿Te preguntaste porque motivo nadie ha vendido ni compartido un crypter al publico , si todos lo piden , ni tiene mucha ciencia realizar uno?

Con respecto a ¿Por que los programadores "se ofenden" por las ventas de otros?... y quizas envidian tu inteligencia , quizas se molestan por tu falta de etica, quizas les molesta el hecho de que fomentes el mercado negro y los script-kiddies por 5 euros , no lo sabemos.

No me ofende, pero espero que vendas tu gran versión FUD por 300 euros dando el codigo fuente y sin distribución de mas copias del mismo codigo, no como hacen muchos de vender algo FUD a 200 personas por 5 euros ya que al cabo de 1 semana ya no será FUD.

Eso si, como vendas el crypter (sea a 300€ o a 5€) a alguien de éste foro te voy a poner un ban de los mozos, y por favor que quede como un avíso y no para empezar una discusión porque no creo que tengas las de ganar si llegas a ir en contra de las normas del foro.

Ya veo que este hilo esta tocado, lo sacaron todo de contexto la verdad, no me esperaba esta clase de cosas. Por mi parte no participare mas en este hilo, ya que algunos de vosotros nos contestan como si fueramos unos mercenarios, que lo unico que queremos es sacar dinero a toda costa, que pena que lo entendieran asi.

No abri el hilo para presumir de nada ni mucho menos, pero hay gente lo entendio asi, tampoco vengo hacerme rico, tampoco queremos vender nada en el mercado negro, es que acaso no se leyeron el hilo completo?


Acaso se dijo algo del mercado negro? Te molestaste si quiera a leer la primera pagina? Acaso dijimos algo de vender copias a 5 euros?

Bueno lee la primera pagina, ya no te digo nada mas... Eso del mercado negro si que me molesto, mira que lo dejemos claro en el primer mensaje, y en la pag 1.


Lo mismo, quien dijo nada de vender 200 copias... Me referia a hacerlo todo legalmente, que hay crypter's legales, pero bueno es igual, ni se molestaron a leer, porque tendria que hacerlo yo en contestar.

Ya llevo un tiempo en el foro, ayudando y aportando unos pocos de codes, no se a que viene todo esto, ni que fuera un user de 3 mensajes... Y el lo mismo.

Un saludo.

skapunky, podes publicar algunos de los centenares de crypters que evadan Antivirus como Kaspersky, BitDefender, Norton?
Sino pues lo unico que has visto son esos crypters que dicen ser 'FUD scantime and runtime' pero lo unico que muestran es un
resultado de analisis estatico 0/37 - 0/55. De esos puede programarlo cualquier personas: ir a google escribir algo como 'crypter
source code', copiar y pegar ese código prehistorico, compilar y listo ya tienen su propio crypter.

Acerca de ese tal @Nitimur In Vetitum, ignorenlo, él debe ser sólo un scriptkiddie que no tiene el valor de usar su propia cuenta
para publicar sus chorradas.

Bueno, termino siendo lo de siempre.. tampoco vengo a discutir, y en ese sentido pienso lo mismo que cpu y x64, si sigue así el hilo se termino.

Hay respuestas que me molestaron, pero las voy a ignorar.. algo que también pueden hacer aquellos que no les interese el hilo, es muy simple..

Saludos!

Pido disculpas si ofendi , simplemente es mi opinion y la sigue siendo. ¿Si opino diferente soy el script-kiddie par excellence?Gran logica. Ignorare el tema para no generar conflictos ni desviarlo.

Saludos.

La misma logica para decir que programar crypters no es etico, joven.


Y por cierto, los crypters de 5 euros deben ser de esos incompetentes programando malware en VB6/.NET/Java.
Los buenos crypters se venden en 10-40 usd por cada archivo cifrado o un servicio semanal 200-400 usd en foros privados.