Ботнет URI от Alinchok (Dendimirror) или как продать воздух

До последнего откладывал разбор этого около-паблика за, мать его, 20 000 рублей.

Ну вот не хотелось мне лезть в это и все, но сегодня мне переслали следующее:

[Forwarded from Dendimirror [Писать @Alinchok по установке бота]]
Низкосортная малварь...эх, а я помню, как он ещё что-то мне говорил, что я гавнокодер

Сори, бомбануло. Мало того, что человек не вник в текст поста и не понял, что речь шла о том, что отсутствие сохранения паролей в Thanatos малварьхантеры посчитали багом, так еще и на полном серьезе считает себя чуть ли не богом C#. Начинаем спускать с небес нашу пташку.

Этап первый — разбор продажника

Давайте для начала вчитаемся в то, что нам расписывает селлер этого «замечательного» продукта.

— *Автозагрузка (уникальный метод)*
Вот это достоинство, наконец то C#-кодеры научились пользоваться планировщиком задач

Настолько «уникальный» метод, что наш бог C#-кодинга не додумался запускать сразу schtasks и передавать готовые параметры — он с собой еще и cmd.exe тащит.

— *Скрытие от таких диспетчеров задач: (Стандартный, ProcessHacker, ProcessMonitor, PcHunter)*
Всё, что вам нужно знать — все без исключения «кодеры» на СНГ рынке (опять таки, не считая exploit’а) проверяют наличие диспетчеров задач с помощью ИМЕНИ, СУКА, ПРОЦЕССА среди запущенных процессов. Недобот дендика — не исключение.

— *Отправка файлов конкретному компьютеру и запуск этого файла*
— *Отправка файлов всем ботам, которые находятся онлайн и запуск этого файла*
— *Отправка файлов всем ботам из конкретной страны*
По факту это стандартный функционал лоадера, который еще и лагает — заливали установки через это «чудо» — периодически приходили повторы, причем из 100 их могло достигать 15-20. Ай-ай-ай, дендик.

— *Удаленное управление процессами на компьютере бота*
Учитывая, что байпасить UAC дендик все еще не научился, юзлес функция.

— *Получение сетевой информации о боте (ip, страна , город, область)*
Реализовано через сторонний сервис — ipinfo.io — заслуги кодера тут совершенно никакой. Написать на шарпе ридер json — ох, как же это ТЯЖЕЛО.

— *Обход проактивной защиты*
Ложь, в коде нет НИ-ЧЕ-ГО даже намекающего на попытки обойти антивирусные решения.

— *Выполнение удалённо на компьютере жертвы C#-команд, VB-скриптов, PowerShell-команд, BAT-файлов*
Опять таки, бесполезная вещь — не представляю себе сценария, в котором мне понадобилось бы выполнять C#-КОМАНДЫ(что вообще имел ввиду алинчок, когда писал это) или vb/ps/bat скрипты на машине, если у меня есть возможность залить на неё бинарник.

— *Кража Логинов и Паролей с 8 браузеров — СТИЛЛЕР*
Теперь в URI встроен тот самый легендарный стиллер
За полгода в этом недостиллере ничего не поменялось — он все так же стилит данные только из дефолтных учеток браузера:

Подробнее о разборе этого «стиллера» вы можете прочитать по ссылке: https://foxovsky.ru/all/analiz-raboty-stillera-ot-dendimirror-alinchok/

— *Кража Bitcoin-файлов с сервисов Bitcoin, Litecoin (wallet.dat)*
Собирает только по стандартным путям и имени wallet.dat. Гениально, денди, это достойно звания «лучший кодер c#».

— *Run Silient app(true)*
Скопировал с какого то другого продажника, решил не переводить даже, ибо не знает что написал. Опять таки, в коде нету даже намека на канон silient app.

Если вы до сюда дочитали и хотя бы немного разбираетесь в популярных C# open source малварях, то уже поняли, что мы имеем дело с переписанным QuasarRAT, хотя дендик это отрицает.

Этап второй — слив исходников

На этот раз я даже не буду расписывать, что через что нужно прогнать, чтобы из билда, который выдает дендик, можно было получить чистенький билд, который легко разбирается dootpeek’ом. Я правда надеялся, что за полгода этот «бог c# кодинга» хотя бы чуть-чуть поднимет свои навыки в разработке — сменит среду на C++ хотя бы. Но нет, зачем стараться, если есть контакты с админами(которые потрут все недовольные отзывы) и в .NET Framework’е все идет из коробки — просто напиши что и как должно себя вести. Я даже не хочу придираться к коду — в нем ничего с моего августвоского разбора их ТОПОВОГО(нет) СТИЛЛЕРА не изменилось. Просто держите исходники и, если вы владелец этого ПРОДУКТА, можете бежать накатывать блеки и просить манибек.

Исходники доступны по ссылке: https://github.com/foxovsky/Dendimirror_URI

Поделиться
Отправить
Запинить
26 сентября   Реверс