Загрузка...

X-FILES ******* - just a promoted project | You won't find a worse styler

Thread in Virology created by LLCPPC_inactive4415647 Aug 23, 2021. 4268 views

Sort
  1. LLCPPC_inactive4415647
    Who's liked this post (21)
    LLCPPC_inactive4415647 Topic starter Aug 23, 2021 Не мир пришел Я принести на землю, но меч 245 Aug 15, 2021
    Давайте разберём устройство *******а X-FILES.

    Итак, прямо из темы разработчика *******а (https://zelenka.guru/threads/2356351) вытащил хэш (b572ed0bf3030cbb18d8af16e2c7e2c2) из его скриншота AntiScan, и прогуглил его:
    [IMG]

    Получил анализ AnyRun (https://app.any.run/tasks/139fe0b6-a307-4855-9995-9c5a00737d9c), и достал образец. Сразу вижу, что проверок на AnyRun там нет, потому что он допустил подгрузку другой части по IP с сервера на машине AnyRun


    Приступим к разбору кода и вашей деанонимизации.

    Загрузчик (лоадер)
    Написан на .NET, 32-битный.
    Вес - 13 кб

    На запуске отключает Windows Defender.
    [IMG]
    Код возмутил, потому что можно было это сделать через массив, и пройтись по массиву, вызвав одну функцию. Сократил бы вес ещё больше, но видимо опыта в .NET не хватило...

    Далее создаёт ветку в реестре "user_svc" с ключом "4", что очень легко обнаруживается одним Yara-правилом. Сделано это, скорее всего, для того, чтобы пометить ПК. Сказать, что есть другие методы - ничего не сказать.
    Скачивает файл, собственно, в созданную директорию, запускает, и ждёт, пока он не закроется - непонятно зачем, видимо чтобы наплодить как можно больше процессов, ибо, как оказалось, ******* не копируется в другую папку - он так же висит, и без многопоточности собирает ПК, а загрузчик его ждёт...
    [IMG]
    Ну и если произошла ошибка - заботливо выдаёт об этом сообщение, чтобы пользователь, которого мы хотим заразить - видел, с какой ошибкой завершился *******. А, нет, загрузчик же выступает в роли GUI-приложения, тогда зачем вообще там Console.WriteLine() - загадка.


    Ну вот и всё, код можно было сократить, довести до идеала, но для этого разработчику *******а пришлось бы смотреть уроки по C#. Приступим к самому *******у.


    *******
    Написан на .NET, 32-битный.

    ******* упакован в "Acronis Installer", но это не для защиты, просто разработчик позаботился о зависимостях, и при распаковке - на ПК устанавливаются все .NET библиотеки для работы *******а, это хорошо:
    [IMG]
    (В папках x86 и x64 хранится DLL для работы с SQLite)


    После распаковки нас сразу же встречает дружок - "отладочные символы". Разработчик компилирует свой ******* в VisualStudio, в настройках для отладки - "Debug", поэтому мы лицезреем имя пользователя разработчика, путь к исходному коду, названия файлов исходного кода, и много чего другого...
    [IMG]
    [IMG]
    [IMG]
    [IMG]

    ******* абсолютно никак не защищён.
    Мы можем наблюдать абсолютно весь исходный код, все строки, IP...
    Фрагмент ниже снова показывает некомпетентность разработчика в .NET - он снова копирует строки, вместо того, чтобы сделать один цикл с вызовом Directory.Exists() и одним Directory.CreateDirectory()
    Ужасно, просто ужасно...
    [IMG]


    О многопоточности тоже речи вообще не идёт. ******* сначала запускает граббер, ждёт его, потом запускает сбор информации о ПК, ждёт его, и т.д... Отвратительно.
    [IMG]


    Ещё одно доказательство того, что код нагло скопирован из GitHub. Разработчику было лень даже вытянуть оттуда отладочные сообщения...
    [IMG]


    Думаю, достаточно. Подведём итоги:

    Загрузчик:
    Плюсы:
    - Малый вес

    Минусы:
    - Никакой защиты данных пользователя.
    - Код написан криво
    - Никакой защиты от виртуальных систем

    *******:
    Плюсы:
    - Частичная независимость от .NET библиотек (распаковываются вместе с *******ом)

    Минусы:
    - Никакой защиты данных пользователя. Хуже, чем RedLine и DC-RAT вместе взятых.
    - Полное отсутствие многопоточности
    - Кривой код
    - Сбор данных на диске
    - Никакой защиты от виртуальных систем
    - Отсутствие многопоточности



    Читайте так же:
    * Ревёрс-инжиниринг *******а RedLine -> https://zelenka.guru/threads/2866730/
    * Ревёрс-инжиниринг DC-RAT -> https://zelenka.guru/threads/2878088/
    * Ревёрс-инжиниринг *******а X-FILES -> https://zelenka.guru/threads/2884957/
    * Пишем полиморфный код на ассемблере с шифрованием (обход VirtualBox, AnyRun, дампа памяти, 5 блоков кода) -> https://zelenka.guru/threads/2881723/
    * Ревёрс-инжиниринг MarsStealer -> https://zelenka.guru/threads/2888161/
    * Ревёрс-инжиниринг SHurk Steal -> https://zelenka.guru/threads/2889104/
     
    Aug 23, 2021 Edited
  2. Лапки
    Who's liked this post (8)
    Лапки Aug 23, 2021 t.me/redactor_js 40,045 Dec 12, 2017
    Хороший бизнес план однако, смотрим 2-3 видоса по .NET от индусов, создаём ******* из сурсов с гитхаба за неделю и продаем на лолзе за 1.5к :stonks_up:
     
    Aug 23, 2021
    1. wDude
      Лапки, не первый год такой бизнес на лолзе прокатывает, каждый год названия разные, стили разные, а код зачастую спащщеный.
      Aug 23, 2021
  3. MrMystery
    Who's liked this post (3)
    MrMystery Aug 23, 2021 $$$ FREE MONEY $$$ - https://youtu.be/klfT41uZniI
    со сборки в Debug очень сильно посмеялся... если автор не знает, как переключить компилятор в Release режим, то покупать такое поделие явно не стоит...
     
    Aug 23, 2021
  4. wDude
    wDude Aug 23, 2021 Боюсь быть не там и не тем. 3667 Aug 14, 2017
    Опять же, интересная тема как для чтения, так и для отложения деталей в памяти, для дальнейшего использования или недопущения подобного рода ошибок.
    Было бы интересно почитать статью с рекомендациями и методами реализации каких-либо функций и действий например на ЯП в разделе "Программирование" -> "C#" или "C/C++".
     
    Aug 23, 2021
  5. foxeds
    foxeds Aug 23, 2021 Легендарный ловец уников 2335 Jul 13, 2021
    ТС молодец.+rep Не думал самому написать свой ******?
    ___
    ****** конечно проигрывает редлайну и Dcrat'у. Но и цена меньше
     
    Aug 23, 2021
    1. View previous comments (3)
    2. Лапки
      foxeds, ну там билд конца марта, все могло уже поменяться (но в истории обновлений ничего про переписывание 99% кода нет, так что шанс этого около нулевой)
      Aug 23, 2021
    3. Лапки
      foxeds, да и зачем, и так схавают же
      Aug 23, 2021
    4. LLCPPC_inactive4415647 Topic starter
      Лапки, Да чего там поменялось, автор про циклы не знает, не знает как компилировать в Release, не знает, как убрать отладочные символы, и отладочные сообщения.. Тут нужен не месяц, а год, как минимум, на изучение C#

      Вот список обновлений из официальной темы:
      Code
      Список обновлений:
      
|18.03.2021|
      
Добавлено:
      
1. Уведомление о новых логах
      
2. Проверка на дупликат (больше не будет 999 ***** от 1 пк)
      
3. Скриншот экрана
      
4. Сбор файлов с рабочего стола (.Doc .Txt)
      

      
|20.03.2021|
      
Добавлено:
      
1. Название ***** это страна и IP ([Страна]IP)
      
2. Кнопка удаления всех ***** через бота
      

      
|22.04.2021|
      

      
Добавлено:
      
1. Админ панель в браузере (файловый менеджер для удаления и скачивания *****)
      
Изменено:
      
1. Внешний вид лога (много мелких дополнений которые особо не важны, но делают использование *******а приятнее)
      
 
      
|13.05.2021|
      

      
Добавлено:
      
1. Браузеры (Opera, Firefox)
      
2. Сбор данных от серверов с FileZilla
      
 
      
|15.05.2021|
      
Добавлено:
      
1. Сбор файлов Steam и .txt файл с ссылками на профили Steam
      

      
|16.05.2021|
      
Добавлено:
      
1. Информация о логе в Telegram (IP, Country, Logins, Cookies)
      

      
|18.05.2021|
      
Добавлено:
      
1. Криптокошельки (Exodus, Jaxx Liberty)
      
Дополнено:
      
2. Информация о логе в Telegram (теперь показывает количество банковских карт и ZIP код)
      

      
|28.05.2021|
      
Добавлено (Панель с логами):
      
1. Кнопки удаления и скачки всех ***** одновременно
      
2. Фильтрация ***** по дате (сверху самые новые)
      
Изменено (Панель с логами):
      
1. Дизайн панели
      

      
|29.05.2021|
      
Добавлено:
      
1. Сбор файлов Telegram
      
 
      
|8.06.2021|
      
Добавлено (Панель с логами):
      
1. Конвертер JSON
      
 
      
|3.08.2021|
      
Добавлено:
      
1. Создание билдов с тегами
      
 
      
|5.08.2021|
      
Добавлено:
      
1. Криптокошельки (Zcash, Armory, Bytecoin, Ethereum, Electrum, Atomic, Guarda, Coinomi, Litecoin, Dash)
      О шифровании, защите кода, защите данных, обнаружении виртуальных машин - молчок. Только и делают, что добавляют поддержку браузеров, и криптокошельков... (копируют с чужих проектов)
      Aug 23, 2021
  6. foxeds
    foxeds Aug 24, 2021 Легендарный ловец уников 2335 Jul 13, 2021
    Aug 24, 2021
    1. LLCPPC_inactive4415647 Topic starter
      foxeds, Видел его. Он малопопулярный, невозможно найти билд
      Aug 24, 2021
    2. CryptService_inactive4049110
      Aug 24, 2021
  7. CoderVir
    CoderVir Aug 24, 2021
    Это братан, забей. Когда не знаешь о Costura, которая в один клик тебе библы за минуту подключает в 1exeшник
     
    Aug 24, 2021
    1. cyclik1337
      @CoderVir, ну вместо Costura лучше уже юзать dnMerge, а лучше вообще писать без зависимостей. Что тебе нужно для *******а? Сбор и отправка, берешь NET 4.0 и сбор в памяти с помощью System.IO.Compression и отправка на свой мега хостинг - WebClient и вот он убийца редлайна (нет)
      [IMG]
      Oct 4, 2021
    2. CoderVir
      cyclik1337, а можно вообще проще подключать
      Oct 4, 2021
  8. felix_gg
    felix_gg Aug 25, 2021 19 Apr 21, 2020
    Какой же ты ахуенный:press_f:
    Благодарю за тему:cool_bun:
     
    Aug 25, 2021
Loading...
Top