Flight embedded" escribió: 07 Jul 2022, 00:57 Hola 4n0nym0us, estás a pleno en el desarrollo o modificación de estos juguetitos...   🤩 👏
Gracias, loco. Te mando un saludo. 
¡Qué fastidio son el Defender del W10 y su sandboxie!  Apenas ejecuté el cliente me lo arrancó de cuajo.  :jaja:   🤨

¿Por qué no hacemos un grupo donde cada uno podamos aportar nuestro granito de arena y las herramientas que hagamos la subimos al foro para darle vida de nuevo? Yo laburo 12h diarias pero podría sacar un poco de tiempo si nos ponemos varios de acuerdo... 
El conocimiento que no se comparte SE PIERDE...
Armadel-Nova escribió: 07 Jul 2022, 17:13
Flight embedded" escribió: 07 Jul 2022, 00:57 Hola 4n0nym0us, estás a pleno en el desarrollo o modificación de estos juguetitos...   🤩 👏
Gracias, loco. Te mando un saludo. 
¡Qué fastidio son el Defender del W10 y su sandboxie!  Apenas ejecuté el cliente me lo arrancó de cuajo.  :jaja:   🤨

¿Por qué no hacemos un grupo donde cada uno podamos aportar nuestro granito de arena y las herramientas que hagamos la subimos al foro para darle vida de nuevo? Yo laburo 12h diarias pero podría sacar un poco de tiempo si nos ponemos varios de acuerdo... 
 
 
 
Apoyo convincentemente tu moción. :ja:
Imagen
Imagen
¿Hola qué tal están? quise incluir un nuevo cambio a este RAT, ahora el algoritmo de cifrado RC4 convencional ya es inútil para revertir la configuración y las comunicaciones de este. He modificado levemente su rutina.

[Enlace externo eliminado para invitados]

Saludos 4n4les! ;)
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Flight embedded" escribió: 07 Jul 2022, 00:57 Hola 4n0nym0us, estás a pleno en el desarrollo o modificación de estos juguetitos...   🤩 👏
Gracias, loco. Te mando un saludo. 
¡Qué fastidio son el Defender del W10 y su sandboxie!  Apenas ejecuté el cliente me lo arrancó de cuajo.  :jaja:   🤨
Nada este troyano es para utilizarlo con crypters, la única ventaja es que los antivirus todavía no han desarrollado rutinas específicas para detectarlo en memoria.


Si quieren empezar a modificar otras herramientas cómo os he leído en la iniciativa, podéis abiertamente jugar con este troyano.. si hacen cambios creativos y de utilidad pueden establecer una base de avance para nuevas versiones 😉
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Voy sacando versiones como churros niños... LarryLurexRAT v0.4
  • El server.exe realiza una conexión en bucle cada vez que el cliente no se está ejecutando. Agregado para sistemas operativos Windows 10/11 (v0.4).
[Enlace externo eliminado para invitados]
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
DarkComet presenta un error peculiar, ya que cuando se elimina el recurso "DVCLAL" alojado en "RCDATA" del stub, el cliente ya no recibe la conexión del stub aunque esté enviandola, de tal manera me impide utilizarlo en inyecciones de thread (inyección de ejecutable en proceso activo tambien conocido como LoadPE) estaba echando un ojo a ver si en esta versión estaría resuelto pero veo que no es así, igual con RunPE funciona pero saltan mas alarmas haciendolo de esa forma.

Cabe mencionar que he intentado redireccionar los datos de los recursos mediante Hooks ya que al hacer un LoadPE cargaría los recursos del ejecutable original pero el valor "DVCLAL" hace algo raro que impide funcionar correctamente aún enviandole los bytes pertinentes
DarkGate escribió: 17 Ene 2023, 00:06 DarkComet presenta un error peculiar, ya que cuando se elimina el recurso "DVCLAL" alojado en "RCDATA" del stub, el cliente ya no recibe la conexión del stub aunque esté enviandola, de tal manera me impide utilizarlo en inyecciones de thread (inyección de ejecutable en proceso activo tambien conocido como LoadPE) estaba echando un ojo a ver si en esta versión estaría resuelto pero veo que no es así, igual con RunPE funciona pero saltan mas alarmas haciendolo de esa forma.

Cabe mencionar que he intentado redireccionar los datos de los recursos mediante Hooks ya que al hacer un LoadPE cargaría los recursos del ejecutable original pero el valor "DVCLAL" hace algo raro que impide funcionar correctamente aún enviandole los bytes pertinentes
Muy interesante el dato, lo desconocía totalmente. Yo lo he utilizado junto a mi crypter Insanity Protector, consiguiendo hacer evasión antivirus al 100% a la siguiente lista:
  • McAfee
  • Avast Professional
  • AVG Professional
  • NOD32 Internet Security
  • Avira Professional
  • Avira Free
  • Windows Defender 7, 8.1 and 10
NOD32 era el único que ha desarrollado rutinas de detección por comportamiento basadas en ciertas funcionalidades de este troyano, son muy buenos y rápidos en detectar las variantes de mi crypter.

El crypter funciona con un método RunPE shellcode modificado por mí.. además desarrollé un método Bypass AntiRunPE que conseguía saltarse la comprobación de las cabeceras.

Por ahora el único recurso diferente es el que guarda la configuración del troyano. El otro que comentas lo he visto, pero por ahora no había necesitado hacer nada con él.

Un saludo!
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us escribió: 17 Ene 2023, 01:42
DarkGate escribió: 17 Ene 2023, 00:06 DarkComet presenta un error peculiar, ya que cuando se elimina el recurso "DVCLAL" alojado en "RCDATA" del stub, el cliente ya no recibe la conexión del stub aunque esté enviandola, de tal manera me impide utilizarlo en inyecciones de thread (inyección de ejecutable en proceso activo tambien conocido como LoadPE) estaba echando un ojo a ver si en esta versión estaría resuelto pero veo que no es así, igual con RunPE funciona pero saltan mas alarmas haciendolo de esa forma.

Cabe mencionar que he intentado redireccionar los datos de los recursos mediante Hooks ya que al hacer un LoadPE cargaría los recursos del ejecutable original pero el valor "DVCLAL" hace algo raro que impide funcionar correctamente aún enviandole los bytes pertinentes
Muy interesante el dato, lo desconocía totalmente. Yo lo he utilizado junto a mi crypter Insanity Protector, consiguiendo hacer evasión antivirus al 100% a la siguiente lista:
  • McAfee
  • Avast Professional
  • AVG Professional
  • NOD32 Internet Security
  • Avira Professional
  • Avira Free
  • Windows Defender 7, 8.1 and 10
NOD32 era el único que ha desarrollado rutinas de detección por comportamiento basadas en ciertas funcionalidades de este troyano, son muy buenos y rápidos en detectar las variantes de mi crypter.

El crypter funciona con un método RunPE shellcode modificado por mí.. además desarrollé un método Bypass AntiRunPE que conseguía saltarse la comprobación de las cabeceras.

Por ahora el único recurso diferente es el que guarda la configuración del troyano. El otro que comentas lo he visto, pero por ahora no había necesitado hacer nada con él.

Un saludo!
 
 
Mismamente había desarrollado un Crypter pero dejé el proyecto ya que con diferentes softwares el bypass suele fallar con algunos Avs ya que mi método clave solo funciona en lenguajes nativos con aplicaciones que no requieren usar recursos, intenté pasar los recursos mediante hook pero viendo como se comportó DarkComet lo dejé a un lado, ademas últimamente se utiliza bastante .NET cosa así que antes que ofrecer un producto con debilidades no lo lanzo.

Respectivamente con Avast/AVG has comprobado que al reiniciar siga todo en pie? Esos 2 Avs(que son lo mismo) suelen actuar también cuando se reinicia la máquina
DarkGate escribió: 17 Ene 2023, 02:08
4n0nym0us escribió: 17 Ene 2023, 01:42
DarkGate escribió: 17 Ene 2023, 00:06 DarkComet presenta un error peculiar, ya que cuando se elimina el recurso "DVCLAL" alojado en "RCDATA" del stub, el cliente ya no recibe la conexión del stub aunque esté enviandola, de tal manera me impide utilizarlo en inyecciones de thread (inyección de ejecutable en proceso activo tambien conocido como LoadPE) estaba echando un ojo a ver si en esta versión estaría resuelto pero veo que no es así, igual con RunPE funciona pero saltan mas alarmas haciendolo de esa forma.

Cabe mencionar que he intentado redireccionar los datos de los recursos mediante Hooks ya que al hacer un LoadPE cargaría los recursos del ejecutable original pero el valor "DVCLAL" hace algo raro que impide funcionar correctamente aún enviandole los bytes pertinentes
Muy interesante el dato, lo desconocía totalmente. Yo lo he utilizado junto a mi crypter Insanity Protector, consiguiendo hacer evasión antivirus al 100% a la siguiente lista:
  • McAfee
  • Avast Professional
  • AVG Professional
  • NOD32 Internet Security
  • Avira Professional
  • Avira Free
  • Windows Defender 7, 8.1 and 10
NOD32 era el único que ha desarrollado rutinas de detección por comportamiento basadas en ciertas funcionalidades de este troyano, son muy buenos y rápidos en detectar las variantes de mi crypter.

El crypter funciona con un método RunPE shellcode modificado por mí.. además desarrollé un método Bypass AntiRunPE que conseguía saltarse la comprobación de las cabeceras.

Por ahora el único recurso diferente es el que guarda la configuración del troyano. El otro que comentas lo he visto, pero por ahora no había necesitado hacer nada con él.

Un saludo!
 
Mismamente había desarrollado un Crypter pero dejé el proyecto ya que con diferentes softwares el bypass suele fallar con algunos Avs ya que mi método clave solo funciona en lenguajes nativos con aplicaciones que no requieren usar recursos, intenté pasar los recursos mediante hook pero viendo como se comportó DarkComet lo dejé a un lado, ademas últimamente se utiliza bastante .NET cosa así que antes que ofrecer un producto con debilidades no lo lanzo.

Respectivamente con Avast/AVG has comprobado que al reiniciar siga todo en pie? Esos 2 Avs(que son lo mismo) suelen actuar también cuando se reinicia la máquina
Para darle soporte a .Net, descargué y modifiqué un malware que permitía la invocación desde código nativo (Hosting CLR) se llama la técnica. Finalmente lo adapté y quedó así, funcionando perfectamente con Quasar RAT.

[Enlace externo eliminado para invitados]
Sí, conseguí hacer byppas a ambos motores (ya que son lo mismo) de manera sencilla. Mi crypter incorpora un delay de descifrado en memoria antes de ejecutarse. Cuando estos antivirus analizan la memoria no encuentran nada malicioso.. después se descifra el malware y se lanza.
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Bl4ckV escribió: 17 Ene 2023, 16:44 Gran modificación 4n0nym0us!
Probado en Windows 10 x64 sin problemas.
Gracias por el testing! ¿Alguien sabe dónde puedo encontrar la lista de plugins de DarkComet? 
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
4n0nym0us escribió: 18 Ene 2023, 13:59
Bl4ckV escribió: 17 Ene 2023, 16:44 Gran modificación 4n0nym0us!
Probado en Windows 10 x64 sin problemas.
Gracias por el testing! ¿Alguien sabe dónde puedo encontrar la lista de plugins de DarkComet? 
 
 
Recuerdo que hace tiempo vi un par de hilos en Hack Forums de esto.
- Desactivar luces de la cámara web
- Descargar y ejecutar
No se si te servirán
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
Imagen
Bl4ckV escribió: 18 Ene 2023, 18:46
4n0nym0us escribió: 18 Ene 2023, 13:59
Bl4ckV escribió: 17 Ene 2023, 16:44 Gran modificación 4n0nym0us!
Probado en Windows 10 x64 sin problemas.
Gracias por el testing! ¿Alguien sabe dónde puedo encontrar la lista de plugins de DarkComet? 
 
Recuerdo que hace tiempo vi un par de hilos en Hack Forums de esto.
- Desactivar luces de la cámara web
- Descargar y ejecutar
No se si te servirán
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
Muchas gracias! tienen ejemplo de código y todo! le echaré un vistazo =)
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Responder

Volver a “Troyanos y Herramientas”