- Автор темы
- Добавить закладку
- #21
Пока что нет времени, работаю
Но в планах есть частичная деобфускация бинарника, мб получится перенести стилак на другой домен, но я в этом не уверен
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья LummaC2 research & reverse PART 1
- Автор темы xChimera
- Дата начала
Но в планах есть частичная деобфускация бинарника, мб получится перенести стилак на другой домен, но я в этом не уверен
- Автор темы
- Добавить закладку
- #22
Malloc - функция выделения память, а дальше идет то что у нее под капотом:
Поиск по хешу адреса, вызов RtlAllocateHeap
Не кешируется нигде RtlAllocateHeap и другие функции, я бы сказал немного сложнее реверсить - нельзя поставить бряк на RtlExitUserProcess и посмотреть дамп RW секции не предмет адресов
Интерестно было бы глянуть реверс того что в админку уходит - раз он так обфусцирован хорошо возможно там и была зарыта собака - ломанули их как раз через обработчики которые принимают со стиллака данные.
Очень сильно сомневаюсь, так как такой вектор атаки уж слишком минимален и сценарий с дырявой панелькой кажется более вероятным. Хотя, вроде-бы взлома вообще не было, а майкрософт по просьбе федералов изьяли инфраструктуру на которой это всё хостилось. Думаю, что кто-то просто не хотел прятать айпи сервера под тор и думал что зелёным такое не интересно.
- Автор темы
- Добавить закладку
- #25
Сомневаюсь, но тоже было бы интересно глянуть как шифруются данные, посмотреть хоть формат и тд
Статья хорошая, единственное что может сам люмма прокоментировать?
ему походу сейчас не до этого
а разве нельзя посавить брейк поинт внутри ntdll на сам вызов функци RtAllocateHeap?
гуд джоб менчик
Читал на зарубежных ресерчах что они с памяти процесса куки, пароли достают