как бы если кто то не на виндовс, а на маке например, то тогда гг
Последнее редактирование:
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Разработка стилера, обсуждение.
- Автор темы Jeffs
- Дата начала
Это уже всем известно давно и сто раз обсуждалось. Ты же заточишь под 1 версию, а у юзера может быть другая
Наверн хэвэнс гэйт лучший варик)
KasperWAF
Гость
На каком маке? Мы же тут обсуждаем разработку под Windows.
На маке ты в силу ограничений операционной системы без серта (если я не ошибаюсь) ничего не сделаешь.
Алгоритм расшифровки и на никсах и на винде будет один, а нсс на линукс можно в виде пакета поставить.
KasperWAF
Гость
Это невозможно. Алгоритм там один везде (ну или почти везде, хз на счет старых версий)
Да, точно. Забыл об этом варианте.
Ужасный костыль, да. Хотя, если работает..но , если допустим на машине профиль лисы остался, а дллок нет, тогда грустно. Понятно, что это мелочь, но софт должен стремиться к идеалу.
что как грузить? Берем файлы лисы из профиля, logins.json , key4.db и что там еще, и грузим по обычному хттп. Это же не хром, в лисе нет DPAPI.
Ну и что? На сервере можно хоть 1000 дллок поставить.
KasperWAF
Гость
Кстаааати. Где-то видел пок под считывание паролей то ли с хрома, то ли фф путём скана памяти, oни же хранятся в менеджере паролей и происходит их дешифровка браузером после запуска.
Принцип +- такой же как у POS грабберов, кто то пробовал такое?
Последнее редактирование модератором:
вот у нас выкладывали https://xss.pro/threads/68370/ , я лично не пробовал. Теоретически, вполне реально, практически - 1) вопрос инжекта; 2) хром может пофиксить это, банально сделав какой-то cryptprotectmemory.
KasperWAF
Гость
1) https://modexp.wordpress.com/
2) Не может, иначе ему прийдется вырезать функционал менеджера паролей. Можем представить, что пароли будут зашифрованными до отображения в менеджере, однако что мешает нам запустить скрытый инстанс хрома и открыть менеджер самому?
LoadLibraryExW работает через проецирование файла в виртуальное адресное пространство, а это объект ядра, так, что там syscall, фактически без дедика в виде серва не обойтись
Я говорю про гейт, если ты будешь расшифровывать пароли лисы на сервере, то гейт у тебя - дедик. Если гейт дедик - значит что бы к нему подключится нужен windows. Так вот если у тебя не виндовс, то как ты к нему подключишься например на маке? Вроде никак. А вот красиво же если гейт будет на php. С любой ос подключишься тогда
KasperWAF
Гость
Шта?
Что обьект ядра? Адресное пространство процесса? Ты что-то где-то не там прочитал и видимо не понимаешь, о чем говоришь.
Почему дедик, а не, например, впс? При чём подключение к серверу? Ты о чём вообще.
Не везде. Попробуй скачать старые алгоритмы расшифровки с гит хаба. Скачай ту версию файрфокс под которую заточен этот алгоритм с гитахаба. Не удивительно - работает. А теперь попробуй скачать новый файрфокс - облом не работает
Причем тут все это? Какие сисколы.. не надо о винде, покупаете линукс впс самую дешевую, устанавливаете nss3 (или копируете .so файлы с линукса), и все , есть серверный декрипт.
ну тогда берите кастомную реализацию, подскажу - lazagne на гитхабе, там на питоне, можно сразу админку сделать. Я же ее переписал на РНР, берет все ФФ, от самого первого до самого нового.
Если это реально работает, то зачем тогда колупаетесь с dllками лисы? И почему тогда на php переписали, а не на C? Была бы расшифровка на клиенте, да и все и не надо грузить эти бд на сервер
KasperWAF
Гость
Ты походу вообще не врубился, о чем речь. Квейк запилил враппер над нсс либой на сервере, чтобы декриптить пароли через высокоуровневый интерфейс, а не подтягивать нсс на заражённый ПК и 100500 зависимостей от неё.
Алгоритм заключается в работе с зашифрованными блобами без участия длл и библиотек лисы, а не хз с чем через хивенсгейты.
Проще реализация. С дллками выходит, грубо говоря, 50 строк кода, а кастомная - 500.
Админка на РНР.
В малваре лишний код = лишние вызовы апи = лишние детекты (есть к чему прицепиться аверу). Ну и серверный код всяко проще. Даже взять кастомную реализацию, имею ввиду самому декриптить (без NSS). Одно дело кодить на РНР или питоне, где у тебя сколько угодно библиотек, места, и не надо думать о памяти, и другое - в боте, где все ограничено.
На маке есть встроенный петон, его можно использовать как, допустим, павершелл на венде, в том числе и условный шеллкодец запустить.
По сабжу: делайте стиллер в виде шеллкода, инжектируйте в процесс лисы, там будет уже загруженная nss, плюс проактивка не будет эрегировать на то, что процесс лисы читает профиль пользователя. Конечно, придется следить, чтобы инжект не палился, но есть много вариантов в паблике.
да инжект по любому придется кодить. как вижу, аверы ругаются на чтение данных браузера; но я все же склоняюсь к мысли, что ШК должен собрать файлы и отправить на сервер; чем меньше кода в боте, тем лучше.
Можно мб инжект через dll hijacking, будет ли детектится?
Если лиса закрыта, то надо открывать) если открывать ее скрывая окна, то хз как их норм скрывать без детектов. Если по простому, то ShowWindow вряд-ли сработает
Зависит от авера и от dll. Если в твоей длл все экспорты будут форварженные (а таким образом проще всего сделать длл для хайджекинга), то скорее всего будет порядочно детектов, тк такая ситуация в легитимном софте мало вероятна.
Ну зависит от модели работы стиллера, по большому счету ничего не мешает повисеть внутри какого-нибудь эксплорера и подождать запуска браузера пользователем, в том числе и несколько перезагрузок системы переждать. Инжект уже есть в такой модели, персистанс тоже может пригодиться в будущем.
К слову, в лисе есть антиинжект, не знаю как там сейчас, но году в 2018 были защиты; в хроме вроде тоже.
Понятно, что это все опенсорц , да и не опенсорц можно отдебажить, но все же.
Понятно, что это все опенсорц , да и не опенсорц можно отдебажить, но все же.
а как аверы реагируют на доступ к файлам с эксплорера? Потому как туда проще заинжектится.