Загрузка...

RedLine ******* is just a promoted project

Thread in Virology created by LLCPPC_inactive4415647 Aug 18, 2021. (bumped Aug 20, 2021) 22,535 views

Sort
  1. LLCPPC_inactive4415647
    Who's liked this post (50)
    LLCPPC_inactive4415647 Topic starter Aug 18, 2021 Не мир пришел Я принести на землю, но меч 245 Aug 15, 2021
    Давайте я вам покажу, за что вы действительно платите 150$ в мес.

    Этот ******* называют лучшим на рынке. Так ли это?
    Наперёд скажу, что нет - не так. В *******е очень плохая защита от отладки и плохое обнаружение виртуальной среды, так что вам придётся переплачивать за защиту кода, хотя это должны были делать разработчики, а не вы.

    Мне нравится, как они хранят данные пользователей в base64, когда их можно дешифровать, не заходя даже в .NET декомпилятор, а всего-лишь использовав любой статический base64-дешифровщик (base64dump)
    Добавлено: в новых версиях они используют base64+StringEncryption (ключ указан сразу после IP - this.key). В этой статье так же показана новая версия, и в комментариях ниже я скинул скриншот, как получить IP, отследив расшифровку.

    Что-ж, взял новенький образец *******а по тэгу "redline" из any.run.
    Я пытался пробиться в команду трафферов, чтобы получить билд, но так у меня ничего и не вышло, да и времени и интереса у меня на этого нет.
    Так что давайте разберём первый попавшийся RedLine, который гуляет в сети.

    ******* не имеет никаких адекватных проверок на виртуальную среду\ханипот.
    В обновлениях я глазком увидел, что они ещё в 2020 добавили, ближайшие доступные кряки - 08.03.2020, т.е они должны были уже включать обнаружение VM
    Однако - ни VM не обнаруживается, ни VirusTotal, ни Any Run, ни Joe Box, ничего!

    В коде RedLine используется шифрование строк, посредством вставки между ними символа\слова:
    [IMG]
    [IMG]

    Самое лёгкое - получить данные пользователя, а дальше делать с серверов всё, что захотим - поискать уязвимости, отправить в Роскомнадзор\МВД, отправить жалобу в поддержку домена, запросить данные у домена - всё, что угодно.
    Итак:
    1. Redline не способен обрубить связь в VirusTotal, или определить его по ****** = можно залить любой самый зашифрованный билд на VirusTotal или Any Run и получить данные
    2. Распаковать\деобфусцировать, и сделать дамп base64 (в новых версиях - так же нужно будет дополнительно расшифровать base64+StringEncryption, ключ указан сразу после IP):
    [IMG]


    К слову, здесь видно, как разработчики Redline не смогли установить флаги GUI для приложения, поэтому после появления консоли - они её скрывают, посредством ShowWindow() - импортировав его из kernel32 (бедняжки .NETовцы, как же вам приходится мучаться) в процедуре NativeHelper.Hide(), возможно в следующих версиях это исправлено, но это доказывает некомпетентность разработчика в .NET, его уровень знаний - низок)
    3. Просто сделать снимок памяти со строками, предварительно отключив интернет, и запустив *******. Строки расшифруются, и всё как на ладони


    Дополнительно к прочтению: https://zelenka.guru/threads/2279183 (Почему не нужно покупать вредоносное ПО на .NET)

    Доказательства, что пациент - RedLine ******* - https://www.virustotal.com/gui/file...4f98dc05d0eb2fcc5f6e65d10de1ce340a7f7c7f95ae (Был впервые загружен 10 часов назад, и определён как RedLine)


    [IMG]
    На6людатель
    По итогу, Redline ******* не имеет никаких особенностей в коде, его легко заменить любым другим *******ом на .NET с каким-то крутым названием, а то и написать себе самому *******, где адекватно зашифровать свои данные - далеко не в base64, и уйти от сигнатур, давно известных для антивирусов, Redline, Predator, и т.п

    Написал эту статью только потому, что не нашёл других тем по разбору кода этого *******а.
    Скачать и разобрать необфусцированную версию можно тут - https://dl.uploadgram.me/611c91a35812fh (Нашёл его под видом Rust-чита, был зашит в два лоадера)

    Читайте так же:
    * Ревёрс-инжиниринг *******а RedLine -> https://zelenka.guru/threads/2866730/
    * Ревёрс-инжиниринг DC-RAT -> https://zelenka.guru/threads/2878088/
    * Ревёрс-инжиниринг *******а X-FILES -> https://zelenka.guru/threads/2884957/
    * Пишем полиморфный код на ассемблере с шифрованием (обход VirtualBox, AnyRun, дампа памяти, 5 блоков кода) -> https://zelenka.guru/threads/2881723/
    * Ревёрс-инжиниринг MarsStealer -> https://zelenka.guru/threads/2888161/
    * Ревёрс-инжиниринг SHurk Steal -> https://zelenka.guru/threads/2889104/
     
    Aug 18, 2021 Edited
  2. Solo2
    Who's liked this post (4)
    Solo2 Aug 18, 2021 1901 May 17, 2018
    Так сделай ******* лучше редлайна и я куплю его
     
    Aug 18, 2021
    1. View previous comments (10)
    2. LLCPPC_inactive4415647 Topic starter
      Ljopv91rdewr, Уже писал, у него есть вероятность коллизий, тогда уже AES512, чего мелочиться?
      Я, кстати, тебя не позвал на свой CrackMe, ты же тоже интересная личность))
      Aug 21, 2021
    3. renameduser_471445
      LLCPPC_inactive4415647, ты же понимает, что это смешно звучит? либо ты не искал, либо просто не хочешь писать *******
      Aug 27, 2021
    4. EtZeta
      Oct 25, 2021
  3. Ex0rcist_inactive4371684
    Ex0rcist_inactive4371684 Aug 18, 2021 ДЕДИКИ/ОПЛАТА ПО ДНЯМ - lolz.guru/threads/3004015 182 Jul 29, 2021
    У тебя картинки битые
     
    Aug 18, 2021
    1. LLCPPC_inactive4415647 Topic starter
      Ex0rcist_inactive4371684, Да, вижу. Не знаю, как исправить. Но если перейти на неё, то можно будет увидеть нормальную картинку
      Aug 18, 2021
    2. Лапки
      Aug 18, 2021
    3. LLCPPC_inactive4415647 Topic starter
      Лапки, Спасибо,сейчас перезалью
      Aug 18, 2021
  4. ASAP_CROCKY
    ASAP_CROCKY Aug 18, 2021 Banned 391 Mar 28, 2020
    В следущий раз когда будешь копировать статью полностью, указывай источник
     
    Aug 18, 2021
    1. View previous comments (3)
    2. TJersy
      LLCPPC_inactive4415647, Ну насчёт цены для месяца норм, но платить 800$ за лайфтайм оно не стоит того, цена была 500$ стало 800$, что поменялось что цена выросла) Стаб почистили и усё
      Aug 18, 2021
    3. Лапки
      TJersy, ему цена - 10$ в месяц, не больше
      Aug 18, 2021
    4. Ivanhai
      Aug 23, 2021
  5. Бабёр_inactive4382115
    Бабёр_inactive4382115 Aug 18, 2021 2 Aug 2, 2021
    Редлайн не хранит айпи в одном base64.
    Тем более смысл заморачиваться над шифрованием айпи, если можно закинуть на дедик и через http debugger увидеть куда идут запросы?
     
    Aug 18, 2021
    1. LLCPPC_inactive4415647 Topic starter
      Бабёр_inactive4382115, Смысл в выигрыше шанса обнаружить отладку, просмотреть окружение
      Aug 18, 2021
    2. LLCPPC_inactive4415647 Topic starter
      Бабёр_inactive4382115, Насчёт одного base64 - правда.
      Они потрудились, и используют StringEncryption .NET, а ключ всунули максимально на видном месте, рядом с IP.
      [IMG]
      Aug 18, 2021
  6. Лапки
    Лапки Aug 18, 2021 t.me/redactor_js 40,045 Dec 12, 2017
    Это почти никто не использует, в 90% ты увидишь это (мб конечно старая версия)
    [IMG]
    Да и смысла от этого шифрования нет, когда он шлет xml без какого-либо шифрования по http. Про веб сервер на .NET тоже промолчу :interesting:
     
    Aug 18, 2021
    1. View previous comments (2)
    2. LLCPPC_inactive4415647 Topic starter
      Лапки, Да всё равно не поможет, я такое уже где-то видел - вечно натыкаюсь на странные зашифрованные запросы у вирусов на VirusTotal. Может это и есть, кстати, обновлённые RedLine'ы, надо будет вытащить как-нибудь, посмотреть. Но .NET, это, конечно, провал.
      Aug 18, 2021
    3. Лапки
      LLCPPC_inactive4415647, мамонты ведутся и покупают, пиар идет, зачем им что-то делать :finger_up:
      Aug 18, 2021
    4. LLCPPC_inactive4415647 Topic starter
      Лапки, А я нашёл связь))
      Раньше они по приколу хранили, потом начали в base64, а потом добавили к base64 - StringEncryption (выше ответил человеку)
      Ну или они сразу в StringEncryption. Короче, у тебя старая версия

      Как они прикольно с каждым обновлением по одной строчке добавляют))
      Aug 18, 2021
  7. Вкусно
    Who's liked this post (1)
    Вкусно Aug 18, 2021 311 Jan 5, 2021
    Раскарученный или нет, но ред дал всем хлеб и деньги
     
    Aug 18, 2021
    1. View previous comments (2)
    2. LLCPPC_inactive4415647 Topic starter
      Вкусно, "всем" это как раз из-за того, что он раскручен ситуацией с Telegram-installer'ом. На его месте мог быть любой .NET *******
      Aug 18, 2021
    3. Вкусно
      LLCPPC_inactive4415647, ну лично мне похуй, отстук с норм криптом в принципе хороший, интерфейс приятный и понятный, все разложено по полочкам. В принципе ******у более ничего и не надо
      Aug 18, 2021
    4. LLCPPC_inactive4415647 Topic starter
      Вкусно,
      "Отстук хороший"
      Это может быть и правда, часто это слышу про RedLine, но доказательств так и не видел, ровно так же отсылает, как и любой другой *******, на мой взгляд
      Крипт - нет
      "Интерфейс приятный, всё разложено по полочкам - *******у больше ничего и не нужно"
      Ну странное у тебя понятие *******а

      Как и любой другой вирус, он должен иметь хорошую защиту данных внутри. Универсальную защиту. Ну и что свойственно для *******а - быстрый сбор, а главное - сколько, и чего он соберёт для тебя, и только потом уже - быстрая отправка
      Aug 18, 2021
  8. Nagato_inactive4052099
    Who's liked this post (1)
    Nagato_inactive4052099 Aug 18, 2021 Banned 19 Apr 1, 2021
    А мне похуй на все 100 скамил на траффе когда Scallymilano ссал под стол
     
    Aug 18, 2021
  9. FAT32
    Who's liked this post (5)
    FAT32 Aug 18, 2021 :sueta: 1296 May 17, 2018
    Спокойно могут наценку в 1.5 раза на месячную подписку делать. Хомяки, выставляющие лайн как что-то "уникальное" в своей помойной тиме ( ни разу не было и вот опять ) схавают.
     
    Aug 18, 2021
  10. throwyourfears
    throwyourfears Aug 18, 2021 Banned 386 Apr 8, 2021
     
    Aug 18, 2021
    1. View previous comments (1)
    2. throwyourfears
      Aug 18, 2021
    3. LLCPPC_inactive4415647 Topic starter
      throwyourfears, С несколькими ключами всё намного сложнее. Легче будет сделать хэширование логин+пароль в SHA512, и проверять наличие хэша на сервере, другую часть программы разместить на сервере, и выдавать клиенту при удачном совпадении хэшей. И вот уже основная работа сузилась - SHA512 ****ить долго, коллизий мало, остаётся только достать где-то успешный логин+пароль, и получить другую часть программы, или чтобы кто-то эту часть дал.
      Вторую чась лучше писать на ассемблере, защитив оболочкой из саморасшифровывающегося кода - (блок выполнился)->(расшифровать следующий)->(зашифровать предыдущий) - лучше делай xor+rol+shr -> shl+ror+xor, или придумай что-нибудь своё
      Между блоками вставлять функции
      Далее тебе остаётся только придумать привязку (чтобы загруженная вторая часть программы запускалась только у одного челоека. Тут тоже очень много вариантов), и защиту от отладчиков, чтобы ревёрсеру было трудно делать пошаговую отладку, и восстановление кода из блоков
      Aug 18, 2021
    4. throwyourfears
      LLCPPC_inactive4415647, огромное спасибо за такую полезную информацию
      Aug 18, 2021
  11. Foxzy
    Who's liked this post (1)
    Foxzy Aug 18, 2021 5 Aug 12, 2021
    Расписал по фактам, ребят, не покупайте это говно
     
    Aug 18, 2021
  12. LLCPPC_inactive4415647
    LLCPPC_inactive4415647 Topic starter Aug 20, 2021 Не мир пришел Я принести на землю, но меч 245 Aug 15, 2021
    @MembeR
     
    Aug 20, 2021
  13. MembeR
    MembeR Aug 20, 2021
    LLCPPC_inactive4415647, "любой другой" это не альтернатива, похуй что там в коде у них, главное что ******* удобный и функциональный, пока нету других нормальных *******ов 90% это скам который пиздит **** 10% мусор, пока не сделают ******* который по функционалу лучше редлайна все будут юзать его
    The post was merged to previous Aug 20, 2021
    Для тимы варианта удобнее нету, даже не зная никакого яп можно открыть тиму
     
    Aug 20, 2021
    1. View previous comments (15)
    2. MembeR
      LLCPPC_inactive4415647, да пусть выдает, похуй, меня бесят эти заявки, у меня мало времени чтобы их принимать
      Aug 20, 2021
    3. MembeR
      Aug 20, 2021
    4. LLCPPC_inactive4415647 Topic starter
      @MembeR, Телеграмом не пользуюсь, лучше в личные сообщения форума пиши
      Aug 20, 2021
  14. Ljopv91rdewr
    Ljopv91rdewr Aug 21, 2021 443 May 4, 2019
    Реверс не накрытого *******а = гениально, какая потрясающая работа
     
    Aug 21, 2021
    1. LLCPPC_inactive4415647 Topic starter
      Ljopv91rdewr, Не понял... А мне нужно типа не снимать лоадеры, и копаться в говне, тогда я был бы тРуЪ

      Какой-то неадекватный.. Здесь разбор кода *******а, мне нужно было получить необфусцированный образец. В чём проблема, паренёк?
      Aug 21, 2021
  15. СЛОН
    Who's liked this post (2)
    СЛОН Aug 22, 2021 411 Jul 4, 2017
    Хорошая статья, буду ждать ещё статьи от тебя.
     
    Aug 22, 2021
  16. CoderVir
    CoderVir Aug 22, 2021
    Вообще согласен. Эта залупа сильно распеарина. Думал тоже сделать тему, мне недавно кидали билд этой херни, по итогу не криптуется, просто крашит как среднестатистический майнер при RunPE иньекции.
     
    Aug 22, 2021
    1. CoderVir
      @CoderVir, а вообще да. Сбор в памяти так себе сделан. Кстати раньше ip адрес(месяц назад ещё) в открытом виде светился в коде. Так чт забейте. Пиар, реклама сделали своё дело.
      Aug 22, 2021
  17. Perfectly_W
    Perfectly_W Aug 22, 2021 No fake niggas in my circle 5071 Oct 9, 2016
    Aug 22, 2021
    1. LLCPPC_inactive4415647 Topic starter
      Perfectly_W, Я не использую Telegram, напиши мне в лс, выдам временный ToxID
      Aug 22, 2021
    2. Perfectly_W
      LLCPPC_inactive4415647, отпиши мне по юзернейму в телеграм, пожалуйста.
      Aug 22, 2021
  18. MembeR
    MembeR Aug 22, 2021
    Обнова вышла
     
    Aug 22, 2021
    1. View previous comments (5)
    2. MembeR
      Лапки, зачем велосипед изобретать...
      Aug 22, 2021
    3. MembeR
      Лапки, это же представляешь какая ебля, сколько этих холодок ебаных
      Aug 22, 2021
    4. Лапки
      @MembeR, [IMG] это из пред ласт обновы, никто же не запрещает части пиздить
      Aug 22, 2021
  19. Лапки
    Who's liked this post (2)
    Лапки Aug 22, 2021 t.me/redactor_js 40,045 Dec 12, 2017
    Круто то как написали, а что на самом деле...

    [IMG]
    ... а на самом деле переход на net.tcp без какого-либо шифрования (ну или они ОПЯТЬ будут в 100 обновах добавлять шифрование, тогда зачем писать то, что ещё не готово) :interesting:
     
    Aug 22, 2021
    1. LLCPPC_inactive4415647 Topic starter
      Лапки, А когда они уже научаться ставить GUI-флаги на приложение?
      Зачем делать, чтобы при запуске появлялась и резко скрывалась консоль?

      (Кстати, в этой версии тоже самое - base64+StringDecrypt)
      Aug 23, 2021
Loading...
Top