3 заметки с тегом

Реверс

Ботнет URI от Alinchok (Dendimirror) или как продать воздух

До последнего откладывал разбор этого около-паблика за, мать его, 20 000 рублей.

Ну вот не хотелось мне лезть в это и все, но сегодня мне переслали следующее:

[Forwarded from Dendimirror [Писать @Alinchok по установке бота]]
Низкосортная малварь...эх, а я помню, как он ещё что-то мне говорил, что я гавнокодер

Сори, бомбануло. Мало того, что человек не вник в текст поста и не понял, что речь шла о том, что отсутствие сохранения паролей в Thanatos малварьхантеры посчитали багом, так еще и на полном серьезе считает себя чуть ли не богом C#. Начинаем спускать с небес нашу пташку.

Этап первый — разбор продажника

Давайте для начала вчитаемся в то, что нам расписывает селлер этого «замечательного» продукта.

— *Автозагрузка (уникальный метод)*
Вот это достоинство, наконец то C#-кодеры научились пользоваться планировщиком задач

Настолько «уникальный» метод, что наш бог C#-кодинга не додумался запускать сразу schtasks и передавать готовые параметры — он с собой еще и cmd.exe тащит.

— *Скрытие от таких диспетчеров задач: (Стандартный, ProcessHacker, ProcessMonitor, PcHunter)*
Всё, что вам нужно знать — все без исключения «кодеры» на СНГ рынке (опять таки, не считая exploit’а) проверяют наличие диспетчеров задач с помощью ИМЕНИ, СУКА, ПРОЦЕССА среди запущенных процессов. Недобот дендика — не исключение.

— *Отправка файлов конкретному компьютеру и запуск этого файла*
— *Отправка файлов всем ботам, которые находятся онлайн и запуск этого файла*
— *Отправка файлов всем ботам из конкретной страны*
По факту это стандартный функционал лоадера, который еще и лагает — заливали установки через это «чудо» — периодически приходили повторы, причем из 100 их могло достигать 15-20. Ай-ай-ай, дендик.

— *Удаленное управление процессами на компьютере бота*
Учитывая, что байпасить UAC дендик все еще не научился, юзлес функция.

— *Получение сетевой информации о боте (ip, страна , город, область)*
Реализовано через сторонний сервис — ipinfo.io — заслуги кодера тут совершенно никакой. Написать на шарпе ридер json — ох, как же это ТЯЖЕЛО.

— *Обход проактивной защиты*
Ложь, в коде нет НИ-ЧЕ-ГО даже намекающего на попытки обойти антивирусные решения.

— *Выполнение удалённо на компьютере жертвы C#-команд, VB-скриптов, PowerShell-команд, BAT-файлов*
Опять таки, бесполезная вещь — не представляю себе сценария, в котором мне понадобилось бы выполнять C#-КОМАНДЫ(что вообще имел ввиду алинчок, когда писал это) или vb/ps/bat скрипты на машине, если у меня есть возможность залить на неё бинарник.

— *Кража Логинов и Паролей с 8 браузеров — СТИЛЛЕР*
Теперь в URI встроен тот самый легендарный стиллер
За полгода в этом недостиллере ничего не поменялось — он все так же стилит данные только из дефолтных учеток браузера:

Подробнее о разборе этого «стиллера» вы можете прочитать по ссылке: https://foxovsky.ru/all/analiz-raboty-stillera-ot-dendimirror-alinchok/

— *Кража Bitcoin-файлов с сервисов Bitcoin, Litecoin (wallet.dat)*
Собирает только по стандартным путям и имени wallet.dat. Гениально, денди, это достойно звания «лучший кодер c#».

— *Run Silient app(true)*
Скопировал с какого то другого продажника, решил не переводить даже, ибо не знает что написал. Опять таки, в коде нету даже намека на канон silient app.

Если вы до сюда дочитали и хотя бы немного разбираетесь в популярных C# open source малварях, то уже поняли, что мы имеем дело с переписанным QuasarRAT, хотя дендик это отрицает.

Этап второй — слив исходников

На этот раз я даже не буду расписывать, что через что нужно прогнать, чтобы из билда, который выдает дендик, можно было получить чистенький билд, который легко разбирается dootpeek’ом. Я правда надеялся, что за полгода этот «бог c# кодинга» хотя бы чуть-чуть поднимет свои навыки в разработке — сменит среду на C++ хотя бы. Но нет, зачем стараться, если есть контакты с админами(которые потрут все недовольные отзывы) и в .NET Framework’е все идет из коробки — просто напиши что и как должно себя вести. Я даже не хочу придираться к коду — в нем ничего с моего августвоского разбора их ТОПОВОГО(нет) СТИЛЛЕРА не изменилось. Просто держите исходники и, если вы владелец этого ПРОДУКТА, можете бежать накатывать блеки и просить манибек.

Исходники доступны по ссылке: https://github.com/foxovsky/Dendimirror_URI

26 сентября   Реверс

Анализ работы стиллера от Dendimirror (Alinchok)

Недавно мне перепал семпл инфостиллера, продающегося на андеграундных СНГ форумах с ценником в 3000 рублей. Грех было не разобраться, что да как тут работает.

Первичный анализ

Вес: 36.5 KB
Хеш SHA1: 96b8f20a7aeb3cc4773ebcc0e34d22e671749002899b1fe64939a28e230d131e

Зная СНГшных кодеров, первым делом я полез проверять удачу попыткой открыть билд в dotPeek’е и я ни капли не удивился, когда тот разобрал по-полочкам даже не обфусцированный толком (sic!) код:

#Разбор тела
В билде используется встроенный компилятор .NET, который компилирует вложенный код (который запакован, кстати, в base64):

Взяв самую длинную строку и дважды прогнав через онлайн-декодер base64, был получен код лоадера (логин владельца копии стиллера пришлось прикрыть):

Разбор лоадера

Почему лоадера? Всё просто — малварь авторизовывается на удаленном сервере, получает в ответ код самого стиллера (без обфускации!) и компилирует его уже известным нам System.CodeDom.Compiler. Собираем из декодированного кода проект и отправляемся в Visual Studio.

Достаем код стиллера

Для следующего шага я создал новый проект C# Console Application и скопировал вытащенный из base64 код лоадера.

Сколько нужно лампочек строчек, чтобы выгрузить код самого стиллера с сервера? Столько (не бейте, я давно не писал на C#):

исходный код инфостиллера за 3к, вы восхитительны! Шутка, еще не конец.

Анализ кода стиллера

Если вы думаете, что на этом выгрузка файлов с сервера завершена, то вы ошибаетесь.

На этот раз нас ждет подгрузка рабочих DLL. Режем весь код стиллера и оставляем только саму загрузку необходимых файлов:

Получаем следующие файлы:

Идем в наш любимый DotPeek и декомпилим Decrypt.dll:

А вот теперь мы слили код стиллера.

Итог

Вот такую низкосортную малварь продают в наше время — не зная ровным счетом ничего об этом стиллере, буквально за пару минут был получен исходный код. В самом коде ничего занимательного не нашел — стилить данные из браузеров можно куда более простым путем. Моя субъективная оценка: троечка по десятибальной.

Ссылки

Исходный код билда, лоадера и стиллера на GitHub: Dendimirror_Stealer

2017   Реверс

Вскрываем привязку чита WinX Private в одну строчку

Сегодня мы с вами вскроем привязку достаточно популярного чита для Counter-Strike: Global Offensive — WinX Private.

Данная статья появилась ввиду просьбы моего знакомого «поковырять» привязку на предмет уязвимостей.

Анализ
Для начала нам необходимо понять, как работает привязка. Запускаем Wireshark.

Надеюсь вы уже работали с Wireshark, т. к. объяснять основы не очень хочется.

Запускаем наш приватный чит

Вводим рандомные данные — я ввел admin / admin.

Естественно, прилетела ошибка. Но на этом шаге мы узнали с вами кое-что интересное:

Адрес сервера, на который летят данные при авторизации. Разберем их.

Параметр Описание
user логин пользователя
pass пароль пользователя
security неизвестно
hwid hardware id — псевдо-уникальный идентификатор компьютера
version версия чита

Помимо этого, мы с вами узнали, что чит периодически отправляет этот запрос для перепроверки авторизации.

Так-же методом тыка было выяснено, что при успешной авторизации сервер отвечает hwid’ом.

Отсюда и периодично повторяющаяся авторизация — если другой пользователь на другой машине запустит чит, то hwid на сервере изменится и при ближайшей авторизации прошлого пользователя выкинет из программы.

Пишем фейковый сервер

На самом деле название слишком громкое — в итоге всё уместится в одну строчку.

Веб-сервер

Для начала нам необходим веб-сервер. Я использую Denwer.
Поднимаем, создаем внутри сервера домен ezcheats.ru

Обработчик

Собственно сам ответ нашего фейкового сервера авторизации
Создаем директорию /private/ и внутри неё скрипт form60.php:

<?php  echo $_GET[“hwid”]; ?>

Всё. Я серьезно. Мы просто отвечаем читу hwid’ом, который он нам только что прислал.

Как видим, чит успешно авторизовался и нашел запущенную CS:GO.

Информация предоставлена для ознакомления.

2016   Реверс