Snap Reloaded ддос бота

[ekoglobul]

Kто использовал его?
Ета хорошой бот или гавно?
Спасибо за ответов



[================[ General ]==--
[ + ] Language: C++ & ASM
[ + ] actual Version: 1.3.0.1


[================[ Core ]==--

[ + ] works on every Windows-OS (including Windows 8)
[ + ] Supports native 32 & 64bit
[ + ] unicode-support for asia pcs
[ + ] no external depencies, no runtimes , no frameworks!
[ + ] bot uses no eof, has no import table, doesnt need relocation and tls section => very
good crypter support!
[ + ] Ability to work with "Roaming User Accounts".
[ + ] modularized bot structure
[ + ] Second Backup-Service watch process Activity and restart bot on failover

[ + ] IPv6 Support !

[ + ] User-Mode (ring3) r00tkit
-> [ + ] run's as a service and SPOILER himself
-> [ + ] SPOILERs&protect root process
-> [ + ] SPOILERs&protect files
-> [ + ] SPOILERs root processes
-> [ + ] SPOILERs used local&remote TCP Port(s) <- thx to jeffosz
-> [ + ] SPOILERs used local&remote UDP Port(s) <- thx to jeffosz
-> [ + ] SPOILERs used regkey's

[ + ] METAMORPHIC architecture
-> [ + ] use random legit process,file & service names
-> [ + ] generate a unique stub every run
-> [ + ] whole software gets metamorph virtualized byte per byte


[ + ] AnalyseEngine
-> [ + ] Unhooks/bypass every common Firewall
-> [ + ] Unhooks/bypass every common Antivirus
-> [ + ] detects common sandboxies, virtual os emulators and analysis tools
-> [ + ] have the ability to DELETE FW/AV permanently from Victim


OVER 99% execution Rate!
Don't waste your Victims!
a 700$ Loader like MyLoader only get's around 70-90% ! (LINK )

= 1266 sent by ExploitKit -- 1258 get's executed = 99,36%
IMAGE#1 || IMAGE#2

[================[ Webpanel ]==--
Screenshots : Overview || Listing || OS-Stats
|| Socks5 || Country-Stats

[ + ] webpanel developped with dreamweaver cs5 and own ajax framework using mysql and php
-- no ressource wasting jquery/extJS shit like kerber0s, EliteLoader
[ + ] multi theme support
[ + ] multi command support => every victim can do as many threads as you want
[ + ] reliable protocoll which creates the lowest possible server load
[ + ] modularized structure
[ + ] XSS/SQLi Prevention Firewall
[ + ] Blocks common Trackers
[ + ] dynamic ConnectionDelay => if server load raises, delay raises and you are able to host
over 25000Victims on a little VPS !


Over 1000online Victims generates on a 512MB VPS only 0.02 Load !!!
= IMAGE

[================[ Loader ]==--
Screenshot : Add Load Task
[ + ] multithreaded => multiple Tasks at once !
[ + ] selectable filter for Bot-ID's
[ + ] selectable filter for Country-based Loads
[ + ] selectable amount
[ + ] selectable droppath (exp.: %windir%/exe.exe)
[ + ] SandboxedMode ( loads file into Memory )
[ + ] visible / hidden execution
[ + ] Advanced Report tells you how much are really executed

[================[ Socks5 ]==--

[ + ] multithreaded => multiple Connections at once !
[ + ] uPNP Bypass for all common Routers
[ + ] around 10-15% Rate of Socks5
[ + ] use's randomPort
[ + ] Detailed Statistics
->[ + ] Country
->[ + ] Ping
->[ + ] Uptime

[================[ DDoS ]==--
Videos rawTCP || HangUP#1 || HangUP#2

This is the really awesome part, of this state-of-the-Art Botnet software!
DDoS Class is written in pure (m)ASM to get the maximum possible stability
and maximum possible Attack-strength/Power.
Everyone who says his Bot is stronger, LIES
There's NO WAY to get DDoS stronger!

[ + ] multithreaded&flowless => customizeable via Panel
[ + ] selectable filter for Bot-ID / Country-based Attacks
[ + ] selectable attack-type and port
[ + ] selectable amount
[ + ] fully customizeable Strength (Sockets/Threads/Delay)
[ + ] CPU Throttle control ! prevents Bots from going offline during to much CPU Load
[ + ] Bandwith Throttle control ! prevents Bots from going offline during to much Bandwith Usage

Just for compare ;-)
Power:
1-5 bot***8217;s can ***8220;kill***8221; little site
5-25 bot***8217;s ***8211; middle site
25-200 bot***8217;s ***8211; very big site
100-300 bot***8217;s ***8211; any site with anti-DDoS system.
1k+ bot***8217;s ***8211; no comments

Another interessting thing is, thats is the WORLDS FIRST BOT
which patches tcpip.sys/tcpstack on ALL WIN-OS(including Win8)
via DCI and Windows-own Testsigning Mode
This allows us again to use half-open connections and rawSockets!
and grant us to use things like IP Spoofing or REAL SYNFLOOD !

[================[ DDoSAttacks ]==--
[ + ] SYN-Attack
[ + ] SYN-ACK Reflection
[ + ] HTTP-Post
[ + ] HTTP-Get
[ + ] UDP
[ + ] ICMP

[ + ] rawTCP
my newest Creation -- called rawTCP
The Combiniation from rawsocketFlood and TCP Connect Flood
attacks the Server on Layer1 & 3 and breaks/bypass
every DDoSProtection with 100-200Victims
(DDoS Protections works on Layer3(Hardware) or Layer7(Software) )

[ + ] TurboSYN
turboSYN is the most efficient flood to simply take down sites ever made,
it combines the awesome Power of TCP-Attacks with SYN-ACK Reflection
and all this insanely stable, multi-threaded and flowless !

[ + ] trafficDDoS
trafficDDoS is the optimum to kick Websites/Servers permanently from WWW,
it combines fast HTTP-POST and GET Requests with slow POST/GET Requests
multi-threaded,flowless and pipelined to 1-10Connections!

 

[Left4Dead]

По описанию неплохо. А где можно скачать/купить?

 

[Ar3s]

Видел на вулнесе отзыв о том, что это один из лучших на текущий момент ботов. И там аж 9 (если не ошибаюсь) методов атаки. Сэмпл бы получить для вкуривания истины...

 

[accelerator]

Семпл версии 1.0.0.2 есть в паблике.

bin + admin Pass: cardmarket.su
bin unpacked Pass: unkn0wn.eu

В анпакнутом бинаре можно хексом поставить свои URL и т.д.
Источник

 

[DeusEx]

запустил анпакнутый билд. в процессах появился "ctfmmon". поулыбался.

 

[ekoglobul]

Спасибо все за отзиви!
Тест сделал на 1.0.0.2, админка работает хорошо на firefox 3.6,
бот пришал в админке, создал задачу для изпалнения и запустил http sniffer,
бот брал задачу но не отправляться ддос

 

[Quake3]

[ + ] User-Mode (ring3) r00tkit

Читал блог http://onthar.in/articles/snap-reloaded-bot-analysis/, там есть обзор сего чуда. Кому интересно, можете прочитать.

Меня лично порадовала вот эта фраза "а что касается руткита, его там отродясь не было, это так, для красоты описания, даже сам автор так говорит".

Чем дальше в лес, тем больше интересного. Раньше в описаниях просто приукрашивали, вида "20 наших ботов валят депозитфайлс!", теперь же многие кодеры откровенно врут, лишь бы толкнуть свой товар. И этот пример, и лоадер с эксплойта, который уже 5ый день обсуждается в конфе damagelab. Кто не в курсе, поясню - на эксплойте обнаружилась тема, где какой-то товарищ продает лоадер. Все бы ничего, но во-первых, вес нерезидента лоадера без обходов и дополнительных функций становит 80 кб(!), а во-вторых - автор, не моргнув глазом, заявляет, что написано сие чудо на Ассемблере. Я уверен на 99%, что никакого Асма там и в помине нет, ибо нереально набить 80кб на нем, хоть бы какой тупой кодер не был (а спецом делать такой размер в лоадере - это надо быть идиотом). Просто в глазах обывателя Асм это круто, это Илитно, вот и написали такое в описании.

Большой минус многих форумов в том, что нет нормальных проверяющих. На большинстве ресурсов проверка малвари не проводится вообще или проводится на уровне юзера. Т.е. проверяющий берет виртуалку, запускает там бот, смотрит, стучит ли он/шлет данные и пишет что-то вида "проверка пройдена! все ок! товар отвечает заявленному функционалу". Это все приводит к тому, что любой дурак, освоивший компоненты, может клепать говнософт с любым описанием "обход всех аверов!" "руткит технологии" "один наш бот валит контакт и не грузит систему!" - таких объявлений много, и всем пофиг на это. Вот в чем большой плюс damagelab, что тут малварь грамотно проверяют, т.е. какой-то шлак продать тут не удастся.

 

[KraZz]

Quake3 пишет:
Большой минус многих форумов в том, что нет нормальных проверяющих. На большинстве ресурсов проверка малвари не проводится вообще или проводится на уровне юзера.
Вот в чем большой плюс damagelab, что тут малварь грамотно проверяют, т.е. какой-то шлак продать тут не удастся.

Ну почему onthar, нормальный "реверс" сделал (там больше и не надо, чтобы понять уровень кодера, который сделал Snap Reloaded)
А вообще там достаточно посмотреть и сравнить вот это:

File Name: Snap.exe
File Size: 118788 bytes
Compiler: Dev-C++ Compiler
MD5: 8727c19eaea0f72bb1a18975aa8008cc
SHA1: 47b32250deaf1807644a8c347ea8696d478a5d3e
PE Time: 0x4BE861F7 [Mon May 10 19:43:51 2010 UTC]
Sections (5):
Name Entropy MD5
.text 6.01 31ac19383eae6d545733f8ef8bdb8125
.data 0.34 684740c4098b413aad423eb3a4c78685
.rdata 4.86 2824f1302a2328d5c110627d8f02cc9f
.bss 0.0 d41d8cd98f00b204e9800998ecf8427e
.idata 4.0 4ba9a67c78a55ebafcd028cd879e5d7f

File Name: snap1.4.exe
File Size: 118784 bytes
Compiler: Dev-C++ Compiler
MD5: ab1ce649f850d47e9fc8205e92076d74
SHA1: c532d0972e4606a4ad4d6ca86e6aadd2e427fbb4
PE Time: 0x4BE861F7 [Mon May 10 19:43:51 2010 UTC]
Sections (5):
Name Entropy MD5
.text 6.01 31ac19383eae6d545733f8ef8bdb8125
.data 0.34 684740c4098b413aad423eb3a4c78685
.rdata 4.85 6021923021608f7eb6998739d527cee0
.bss 0.0 d41d8cd98f00b204e9800998ecf8427e
.idata 4.0 4ba9a67c78a55ebafcd028cd879e5d7f

File Size: 118788 bytes
File Size: 118784 bytes

Name Entropy MD5
.text 6.01 31ac19383eae6d545733f8ef8bdb8125
.data 0.34 684740c4098b413aad423eb3a4c78685
.rdata 4.86 2824f1302a2328d5c110627d8f02cc9f
.bss 0.0 d41d8cd98f00b204e9800998ecf8427e
.idata 4.0 4ba9a67c78a55ebafcd028cd879e5d7f

Name Entropy MD5
.text 6.01 31ac19383eae6d545733f8ef8bdb8125
.data 0.34 684740c4098b413aad423eb3a4c78685
.rdata 4.85 6021923021608f7eb6998739d527cee0
.bss 0.0 d41d8cd98f00b204e9800998ecf8427e
.idata 4.0 4ba9a67c78a55ebafcd028cd879e5d7f
Чтобы увидеть разницу между сэмплами, да и вообще не только на одной дамаге рассказывают правду и истину.. да и проверяющие как бы есть, только у каждого свои интересы...
Сейчас народ уже давно на другую иглу подсел, стучат и просят сделать проверку на соответствие заявленному функционалу ПО...
Когда пишу что это не из дешевых удовольствий - пишут в ответ: (в основном) «цена не имеет значения»
У народа есть деньги и ищут большинство только качественное ПО...
С одним заказчиком общался, так он сказал, что заказ анализа очень выгоден, так как помогает избежать потерь, ну вернее вложений в "качественный" трафф, крипт и т.д. которые потом убиваются некачественным ПО.. хз. понятно написал или нет, по-другому я писать не умею (не знаю, может он и прав)
Как-то этот предварительный анализ, уже превратился в отдельную услугу и стал довольно востребованным...

Quake3 пишет:
Все бы ничего, но во-первых, вес нерезидента лоадера без обходов и дополнительных функций становит 80 кб(!)
ибо нереально набить 80кб на нем, хоть бы какой тупой кодер не был (а спецом делать такой размер в лоадере - это надо быть идиотом).

Ну почему-же, взять к примеру тот же Keylogger Detective, там кода из функционала ~5-7kb, а все остальное (~20kb, а если быть более точным то и все ~70kb) это рега
Причем он походу, немало времени убил на кодинг этой реги, а лучше бы потратил это время на улучшение функционала кейллогера
Поэтому реально там и 300kb сделать на асме, если заюзать (к примеру) для защиты от реверса какую-нибудь мини-ВМ...
ЗЫ: хорошее ПО врятли станут выкладывать в паблик (так как после "релиза" оно станет пАлицца и юзать уже станет его труднее или даже невозможно ну и т.д. короче все это понимают), большинство выкладывает потому, что считаю, что их наебали и не предоставили "обещанного", короче - ИМХО

 

[Quake3]

Ну почему onthar, нормальный "реверс" сделал (там больше и не надо, чтобы понять уровень кодера, который сделал Snap Reloaded)

onthar да, но таких, как он, не так уж и много на разных форумах. Например, на экплоите, проверка малвари практически не проводится. За моей памяти, ею занимались Prosto и jen140 (когда были проверяющими), а в другие времена - все глухо. В теории, можно взять и продавать там что угодно, расписав красиво, все равно проверок нет.

Ну почему-же, взять к примеру тот же Keylogger Detective, там кода из функционала ~5-7kb, а все остальное (~20kb, а если быть более точным то и все ~70kb) это рега

Какая именно рега? Что это означает? регистрация где-то?

Поэтому реально там и 300kb сделать на асме, если заюзать (к примеру) для защиты от реверса какую-нибудь мини-ВМ...

В теории да, но:
1. Там цена 50 долларов, вряд ли за такие деньги продают какую-то антиотладку или т.п. фишки;
2. Как бы там не было, это лоадер. Ладно уже кейлоггер, ддос бот и т.д. Но лоадер же грузят часто со связки, там надо чтобы он был максимально компактным, успел загрузится на комп юзера. 80кб это не есть гуд, и не у всех есть счас норм. инеты (это к вопросу, что какой-то % людей будет потерян).

 

[Apocalypse]

Какая именно рега? Что это означает? регистрация где-то?

Регистрация серийника в проге =)

 

[KraZz]

Quake3 пишет:
За моей памяти, ею занимались Prosto

Этот что ли..
https://exploit.in/forum/index.php?showtopic=57365
да и для меня exploit.in и не был никогда интересным/авторитетным сайтом, тем более проверки там проходить (я уже писал где-то, что там единственный jen140 который почти всегда (ИМХО) писал только в тему и интересные посты), exploit.in такой же, как и васм - достаточно раз в месяц-два зайти и спросить: - кто я?, - где я?
там насколько я помню в последнее время часто юзаемый раздел про блэки и кидал (ну и флеймовый про "весеннее обострение") и актуальным вопросом будет, - сколько блэков в день рассматривают?, поэтому ты как бы, неудачный (а может и удачный - это смотря с какой стороны посмотреть) пример для сравнения привел
ЗЫ: сейчас опять "кто-то" может "сказать", что я только минусы вижу - но для меня это не минусы, а реальность... (разбор блэков уже стал значительной частью контента exploit.in - ИМХО). Ну, или на мой один минус, можно найти десять плюсов аргументов...

Quake3 пишет:
Какая именно рега?

Та рега которую Apocalypse сломал, чтобы те кому нужен этот кейлоггер могли бесплатно юзать...
Рега такая же, как и у всех шараварных прог - ввел ключег и юзаешь, ничего интересного...

Quake3 пишет:
1. Там цена 50 долларов

А че ты от него еще хочешь - какая цена такое и... (по цене-же понятно че за... (нормальный лоадер не может стоить 50 баксов (ИМХО), это надо реально понимать))

Quake3 пишет:
2. Как бы там не было, это лоадер. Ладно уже кейлоггер, ддос бот и т.д. Но лоадер же грузят часто со связки, там надо чтобы он был максимально компактным, успел загрузится на комп юзера. 80кб это не есть гуд, и не у всех есть счас норм. инеты (это к вопросу, что какой-то % людей будет потерян).

Ну это да, нужно стремиться к меньшему, но как бы 8-10kb для лоадера это уже предел - ИМХО
Но там он мог просто все свои модули засунуть в один exe/dll (че у него там юзается, я просто хз. че за лоадер) просто может он не знал/не догадался что модули потом можно загрузить (как делают большинство), после инстала... - отсюда и размер такой
Да и вообще большинство ПО пишется примерно по следующей схеме:
Берется код из паблика и вкуриваецца что конкретно он делает и как работает, возьмем для примера то, что сейчас большинство юзает и то, что запостил очень давно в своем блоге учитель el-
Конечно печально что он убил свой блог, много интересного там было, да и вообще как было сказано:

salamandra пишет:
Очень интересно всё о чём ты пишешь.Если нет обсуждений и комментов,ещё не означает,что информация не нашла своего слушателя.Быть может просто нечего сказать.

Topic: oficla/myloader inject

не считая какой то хитро... обход через COM word.application, мне понравился инжект отлично работает в виндов севен, к тому же до сих пор что то там обходит
pvoid map;
pvoid mem;
STARTUPINFO si;
PROCESS_INFORMATION pi;
ulong addr = 0;
ulong size = 0;
LARGE_INTEGER lint;
char path[MAX_PATH + 1];

map = CreateFileMapping(INVALID_HANDLE_VALUE,0,PAGE_EXECUTE_READWRITE,0,0x1000,0);
mem = MapViewOfFile(map,FILE_MAP_WRITE,0,0,0);

/*
это типа шелкод который должен погрузить и настроить
необходимый код, в данном случае просто:
__asm int3
__asm int3
__asm int3
__asm int3
*/
*(pulong)mem = 0xCCCCCCCC;
UnmapViewOfFile(mem);

ExpandEnvironmentStrings("%programfiles%\\Internet Explorer\\iexplore.exe",path,MAX_PATH);

memset(&si,0,sizeof(STARTUPINFO));
CreateProcess(path,0,0,0,0,CREATE_SUSPENDED,0,0,&si,&pi);

memset(&lint,0,sizeof(lint));
NtMapViewOfSection(map,pi.hProcess,(PVOID*)&addr,0,0,&lint,&size,ViewShare,0,PAGE_EXECUTE_READWRITE);

QueueUserAPC((PAPCFUNC)addr,pi.hThread,0);
ResumeThread(pi.hThread);
CloseHandle(map);

Потом рисуем блок-схему как должно работать ПО (ну примерно ту которую выкладывал грибодемон), кодим как-нибудь
Потом модишь этот паблик код под свое ПО и бежишь продавать, пишешь что обходит "все" (обычно, когда в паблике появляются новые обходы, так сразу на базе этого кода как грибы начинает расти новое ПО (крипторы, лоадеры и т.д.))
Далее, у кого "мозга побольше" и которые наивно надеются на лучшее.. начинают модить код, чтобы обходить че-то там.. короче изобретать велосипед заново...
Обычно то, что сами пишут, имеет массу бажного кода...
Все пипец.., вот и вся технология в образе, любой у кого есть "минимальные" знания может так сделать (все это утрировано, но примерно так практически все и делают...)
Да в принципе я думаю, что ты уже это давно и сам понял...

Quake3 пишет:
Но лоадер же грузят часто со связки

Ну, вот если бы у тебя был качественный лоадер, ты бы с даркнес не попал бы так
Сделал бы прогруз, проддосил жертву и тебе было бы пох, умрет этот бот через день или нет, главное чтобы инсталы лоадеров живы были, потом всегда можно будет еще раз подгрузить даркнес для новой атаки
Главной задачей лоадера является как можно дольше жить на пробитой машине и.. и...
А проверить качество на уровне юзера ты и сам можешь без всяких там проверяющих, достаточно запустить несколько тулуз и посмотреть спалят они или нет, этот лоадер
Суть в том, что если жертва "чувствует" что система как-то не так работает, то сразу бежит на форум к аверам и орет, - "помогите нах убивают"
Там первое, что советуют прислать отчеты с.. с... autoruns, AVZ, ... и т.д. (это аверам позволяет сделать быстрый анализ) вот если эти проги "не видят" лоадер (его инстал) значит, есть "большая" перспектива у этого ПО, если видят - это значит рано или поздно (а скорее всего очень быстро) этот лоадер попадет в базы...

 

[Quake3]

KraZz

любой у кого есть "минимальные" знания может так сделать (все это утрировано, но примерно так практически все и делают...)
Да в принципе я думаю, что ты уже это давно и сам понял...

В общем-то да, понял. Да можно и без обходов, главное реклама хорошая, качественный пиар компенсирует любые обходы. Пример тому - бездарные боты типа армагеддона/гбот, которые продавались на факаве благодаря качественной рекламе со стороны вип-мемберов.

Ну, вот если бы у тебя был качественный лоадер, ты бы с даркнес не попал бы так
Сделал бы прогруз, проддосил жертву и тебе было бы пох, умрет этот бот через день или нет, главное чтобы инсталы лоадеров живы были, потом всегда можно будет еще раз подгрузить даркнес для новой атаки

С одной стороны да. С другой - к сожалению, сейчас не только лоадер все решает. Можно иметь суперсофт, но его убьет кривой крипт и некачественные лоады. Я зимой купил бот от Smoke - написан на асме, есть обходы, и т.д. , в общем небо и земля по сравнению с оптимой и т.п. ботами. И что с того? Толку с обходов, если после крипта палит виндовс фаервол или бот тупо сигнатурно палится аверами? Это уже надо и крипт самому кодить/искать в приватах,и лоады где-то брать. А где их брать, тоже загадка - недавно один знакомый брал в аренду очень известную связку (называть не буду, чтобы не говорили, что делают черный пиар). Лили на нее траф - итог, пробивает лишь древнее гуано с ие6-7, домен связки в блек листах, сплоиты палятся аверами. В общем,я сделал вывод, что в наше время недостаточно иметь хорошую малварь - нужно иметь еще способы распространения этой малвари (команду или разносторонние знания по взлому сайтов/дорвеестроительству/крипту/эксплоитах).