Загрузка...

X-FILES ******* - всего-лишь раскрученный проект | Хуже *******а вы не найдёте

Тема в разделе Вирусология создана пользователем LLCPPC_inactive4415647 23 авг 2021. 4278 просмотров

Сортировать
  1. LLCPPC_inactive4415647
    Кому понравилось (21)
    LLCPPC_inactive4415647 Автор темы 23 авг 2021 Не мир пришел Я принести на землю, но меч 245 15 авг 2021
    Давайте разберём устройство *******а X-FILES.

    Итак, прямо из темы разработчика *******а (https://zelenka.guru/threads/2356351) вытащил хэш (b572ed0bf3030cbb18d8af16e2c7e2c2) из его скриншота AntiScan, и прогуглил его:
    [IMG]

    Получил анализ AnyRun (https://app.any.run/tasks/139fe0b6-a307-4855-9995-9c5a00737d9c), и достал образец. Сразу вижу, что проверок на AnyRun там нет, потому что он допустил подгрузку другой части по IP с сервера на машине AnyRun


    Приступим к разбору кода и вашей деанонимизации.

    Загрузчик (лоадер)
    Написан на .NET, 32-битный.
    Вес - 13 кб

    На запуске отключает Windows Defender.
    [IMG]
    Код возмутил, потому что можно было это сделать через массив, и пройтись по массиву, вызвав одну функцию. Сократил бы вес ещё больше, но видимо опыта в .NET не хватило...

    Далее создаёт ветку в реестре "user_svc" с ключом "4", что очень легко обнаруживается одним Yara-правилом. Сделано это, скорее всего, для того, чтобы пометить ПК. Сказать, что есть другие методы - ничего не сказать.
    Скачивает файл, собственно, в созданную директорию, запускает, и ждёт, пока он не закроется - непонятно зачем, видимо чтобы наплодить как можно больше процессов, ибо, как оказалось, ******* не копируется в другую папку - он так же висит, и без многопоточности собирает ПК, а загрузчик его ждёт...
    [IMG]
    Ну и если произошла ошибка - заботливо выдаёт об этом сообщение, чтобы пользователь, которого мы хотим заразить - видел, с какой ошибкой завершился *******. А, нет, загрузчик же выступает в роли GUI-приложения, тогда зачем вообще там Console.WriteLine() - загадка.


    Ну вот и всё, код можно было сократить, довести до идеала, но для этого разработчику *******а пришлось бы смотреть уроки по C#. Приступим к самому *******у.


    *******
    Написан на .NET, 32-битный.

    ******* упакован в "Acronis Installer", но это не для защиты, просто разработчик позаботился о зависимостях, и при распаковке - на ПК устанавливаются все .NET библиотеки для работы *******а, это хорошо:
    [IMG]
    (В папках x86 и x64 хранится DLL для работы с SQLite)


    После распаковки нас сразу же встречает дружок - "отладочные символы". Разработчик компилирует свой ******* в VisualStudio, в настройках для отладки - "Debug", поэтому мы лицезреем имя пользователя разработчика, путь к исходному коду, названия файлов исходного кода, и много чего другого...
    [IMG]
    [IMG]
    [IMG]
    [IMG]

    ******* абсолютно никак не защищён.
    Мы можем наблюдать абсолютно весь исходный код, все строки, IP...
    Фрагмент ниже снова показывает некомпетентность разработчика в .NET - он снова копирует строки, вместо того, чтобы сделать один цикл с вызовом Directory.Exists() и одним Directory.CreateDirectory()
    Ужасно, просто ужасно...
    [IMG]


    О многопоточности тоже речи вообще не идёт. ******* сначала запускает граббер, ждёт его, потом запускает сбор информации о ПК, ждёт его, и т.д... Отвратительно.
    [IMG]


    Ещё одно доказательство того, что код нагло скопирован из GitHub. Разработчику было лень даже вытянуть оттуда отладочные сообщения...
    [IMG]


    Думаю, достаточно. Подведём итоги:

    Загрузчик:
    Плюсы:
    - Малый вес

    Минусы:
    - Никакой защиты данных пользователя.
    - Код написан криво
    - Никакой защиты от виртуальных систем

    *******:
    Плюсы:
    - Частичная независимость от .NET библиотек (распаковываются вместе с *******ом)

    Минусы:
    - Никакой защиты данных пользователя. Хуже, чем RedLine и DC-RAT вместе взятых.
    - Полное отсутствие многопоточности
    - Кривой код
    - Сбор данных на диске
    - Никакой защиты от виртуальных систем
    - Отсутствие многопоточности



    Читайте так же:
    * Ревёрс-инжиниринг *******а RedLine -> https://zelenka.guru/threads/2866730/
    * Ревёрс-инжиниринг DC-RAT -> https://zelenka.guru/threads/2878088/
    * Ревёрс-инжиниринг *******а X-FILES -> https://zelenka.guru/threads/2884957/
    * Пишем полиморфный код на ассемблере с шифрованием (обход VirtualBox, AnyRun, дампа памяти, 5 блоков кода) -> https://zelenka.guru/threads/2881723/
    * Ревёрс-инжиниринг MarsStealer -> https://zelenka.guru/threads/2888161/
    * Ревёрс-инжиниринг SHurk Steal -> https://zelenka.guru/threads/2889104/
     
    23 авг 2021 Изменено
  2. Лапки
    Кому понравилось (8)
    Лапки 23 авг 2021 t.me/redactor_js 40 045 12 дек 2017
    Хороший бизнес план однако, смотрим 2-3 видоса по .NET от индусов, создаём ******* из сурсов с гитхаба за неделю и продаем на лолзе за 1.5к :stonks_up:
     
    23 авг 2021
    1. wDude
      Лапки, не первый год такой бизнес на лолзе прокатывает, каждый год названия разные, стили разные, а код зачастую спащщеный.
      23 авг 2021
  3. MrMystery
    Кому понравилось (3)
    MrMystery 23 авг 2021 $$$ FREE MONEY $$$ - https://youtu.be/klfT41uZniI
    со сборки в Debug очень сильно посмеялся... если автор не знает, как переключить компилятор в Release режим, то покупать такое поделие явно не стоит...
     
    23 авг 2021
  4. wDude
    wDude 23 авг 2021 Боюсь быть не там и не тем. 3667 14 авг 2017
    Опять же, интересная тема как для чтения, так и для отложения деталей в памяти, для дальнейшего использования или недопущения подобного рода ошибок.
    Было бы интересно почитать статью с рекомендациями и методами реализации каких-либо функций и действий например на ЯП в разделе "Программирование" -> "C#" или "C/C++".
     
    23 авг 2021
  5. foxeds
    foxeds 23 авг 2021 Легендарный ловец уников 2335 13 июл 2021
    ТС молодец.+rep Не думал самому написать свой ******?
    ___
    ****** конечно проигрывает редлайну и Dcrat'у. Но и цена меньше
     
    23 авг 2021
    1. Лапки
      foxeds, 1 месяц этой хуйни - 500р, 2 месяца дкрат - 600р, не особо она и меньше (если навсегда, то конечно в 3 раза дороже, но за этот месяц ты спокойно поймёшь что ******* говно)
      23 авг 2021
    2. LLCPPC_inactive4415647 Автор темы
      Лапки, foxeds,
      Разница в 200 рублей, за то DC-RAT очень сильно к ПК привязывается, распространяется по файлам, плагины свои есть, функционал тоже помимо *******а очень большой, шифрование тоже есть. 200 рублей...

      (А, ну темболее даже DC-RAT дешевле, если на месяц покупать)
      23 авг 2021
    3. foxeds
      LLCPPC_inactive4415647, ну может автор x-files будет развивать свой софт, фиксить все минусы, тем более после твоей темы, и цена будет оправдана, если нет, то вы правы, лучше докинуть бабла ...
      23 авг 2021
    4. Посмотреть следующие комментарии (3)
  6. foxeds
    foxeds 24 авг 2021 Легендарный ловец уников 2335 13 июл 2021
    24 авг 2021
    1. LLCPPC_inactive4415647 Автор темы
      foxeds, Видел его. Он малопопулярный, невозможно найти билд
      24 авг 2021
    2. CryptService_inactive4049110
      24 авг 2021
  7. CoderVir
    CoderVir 24 авг 2021
    Это братан, забей. Когда не знаешь о Costura, которая в один клик тебе библы за минуту подключает в 1exeшник
     
    24 авг 2021
    1. cyclik1337
      @CoderVir, ну вместо Costura лучше уже юзать dnMerge, а лучше вообще писать без зависимостей. Что тебе нужно для *******а? Сбор и отправка, берешь NET 4.0 и сбор в памяти с помощью System.IO.Compression и отправка на свой мега хостинг - WebClient и вот он убийца редлайна (нет)
      [IMG]
      4 окт 2021
    2. CoderVir
      cyclik1337, а можно вообще проще подключать
      4 окт 2021
  8. felix_gg
    felix_gg 25 авг 2021 19 21 апр 2020
    Какой же ты ахуенный:press_f:
    Благодарю за тему:cool_bun:
     
    25 авг 2021
Загрузка...
Top