Статья Обзор стиллера Taurus Project

[wade1337]

Ar3s, спасибо за обзор. Как же приятно читать твои старые-добрые обзоры =)

По теме - речь идет о софте за 100$ (!). А, как известно, клиентские требования и функционал пропорциональны цене. Пока цена такая, на многие вещи вполне можно закрыть глаза. Apocalypse прав.

Напоминаю, обзоры Ar3s'а пишутся за спасибо и для вас. Ни авторы, никто другой ему не оплачивает работу и потраченное время. Поэтому, если вы хотите увидеть следующий обзор, не забываем о donate ©:

ничего себе вы тут поддерживаете друг друга) но думаю обзор все же не сподвигнет кого то на донат

 

[ficker]

3. Проанализировать php скрипт сможет половина участников форума. Пусть бегло, пусть не профессионально. Проанализировать же бинарник такого размера не захочет никто. Слишком большой размер. А значит, что вы вполне можете собирать ботнет из серваков. Или даже получать копии всех отчетов себе. Повторюсь, это ВОЗМОЖНОЕ ПРЕДПОЛОЖЕНИЕ. Ибо никто в здравом уме не полезет это реверсить.

Не выступаю в защиту автора стилера, понятно, что проект очень сырой, но смысла реверсить веб панель нет, достаточно промониторить сетевую активность данного приложения, сравнить сколько байт оно высылает кому-либо, при разном кол-ве логов, в идеале это чтоб был только один запрос при запуске на условный license server, и дальше чтоб панель никуда не стучала больше, и обладать какими-либо сверхнавыками для этого не надо, по сути тоже самое, что и проанализировать обычный php скрипт, а по сути даже легче

 

[dort]

А меня тоже бесит автоматизация установки бекенда современных малваре-писателей, которая далеко не всегда работает исправно и в итоге больше времени тратишь, на разбирательство, что-же пошло не так в скрипте установки, нежели на ручную установку БД и всего необходимого ПО для панели, ну и прав.

 

[Haunt]

А меня тоже бесит автоматизация установки бекенда современных малваре-писателей, которая далеко не всегда работает исправно и в итоге больше времени тратишь, на разбирательство, что-же пошло не так в скрипте установки, нежели на ручную установку БД и всего необходимого ПО для панели, ну и прав.

Докеро-неосиляторы. Давно существуют технологии, способные автоматизировать развертывания чуть ли не до пары кликов. Не интересует как сделать лучше.

 

[ficker]

Докеро-неосиляторы. Давно существуют технологии, способные автоматизировать развертывания чуть ли не до пары кликов. Не интересует как сделать лучше.

Многие предпочитают сэкономить и избавиться от "оверхеда" докера в несколько мб на контейнер, но зато напишут свой мега крутой скрипт развертки, который будет работать только в четверг и только в полнолуние. Да и при использование докера отпали бы сразу все вопросы, что админка чет в системе мутит, стучит скрытно куда-либо и прочее

 

[akenov]

Всем хорошего времени суток!

Давненько я уже взялся за написание обзора по стиллеру Taurus. Да все затягивалось это дело. Но чаша терпения переполнилась. Поехали.
05.052020 меня упомянули в топике по продаже нового стиллера. Форум мне тут же выдал уведомление, а я, после ознакомления с темой, выразил согласие написать обзор данного продукта.
Итак, смотрим описание на момент моего ознакомления с темой:


Часть первая. Секас...

12.05.2020 я получил от сэллера билд панели. Панель была версии 1.2, заточенная под debian.
Смотрим что в архиве:
Посмотреть вложение 12516

Бинарник размером 12.1 мегабайта!!! Нихера себе, сказал я себе. И это панель!!!
Ну да ладно. Берем чистую виртуалку Debian и пытаемся установить панель. Получаем ошибку

Создаю указанный файл - фиг. Пляшу с правами - фиг.
Пишу саппорту и выясняется, что у меня в архиве отсутствует файл установщик.
Получаю новый архив. С заветным файлом.
Посмотреть вложение 12517

А к нему описание

Подождите, это же под винду описалово! Ладно. Бывает. Мы не глупые, справимся. Запускаю файл установщика - получаю опять проблемы. Оно не ставится. Пытаюсь понять почему... А все просто.
В Debian же замениил Mysql на MariaDB. И, несмотря на то, что имена пакетов оставили прежними, автоматизация установщика пошла в разнос.

После некоторых разбирательств выяснилось, что проблема в авторизации под рутом.
Из консоли я могу войти под рутом в БД выполнив При этом нажав энтер на запросе пароля. А вот ни панель, ни инсталлятор так не умеют. Затем выяснилось что выданная мне панель собрана с защитой от СНГ. Затем еще что-то было...
Внимание! К этому времени было уже начало июня и вышла версия 1.3. Которую мне и выдали.
В ней сталкиваюсь ровно с той же проблемой, что и ранее.
С горем-пополам ставлю админку.
Использовал что-то типа такого

Посмотреть вложение 12518 Посмотреть вложение 12519 Посмотреть вложение 12520 Посмотреть вложение 12521 Посмотреть вложение 12522 Посмотреть вложение 12523 Посмотреть вложение 12524
Здесь я успел снять дамп запуска админки. Хотел посмотреть, а не стучит ли она куда на лево... Скачать: pcap1 pcap2
Но.... оказался нерабочим билд... Что только не делали. Не работал хоть ты тресни.

Саппорт некоторое время пытается решить проблему, я снимаю видео того, что делаю. Он психует и выдает мне виртуалку с Ubuntu.
И тут происходит магия. Все ставится с пол-оборота. Аминь, сказал я и приступил к тестированию билда. А билд все-так же не работал...

Вторая часть марлезонского балета.
К этому времени вышла версия 1.4. Мне саппорт обновил админку, выдал новый билд. Кстати, билд размером 249,9кб.
Посмотреть вложение 12528 Посмотреть вложение 12529 Посмотреть вложение 12530 Посмотреть вложение 12531 Посмотреть вложение 12532 Посмотреть вложение 12533
Начал я тестировать... Не буду размусоливать, но вот, что вышло.
Посмотреть вложение 12537

На семерке билд не запускался от слова совсем. Снес виртуалку. Заново все установил. MSDN образ юзал. Нифига.
На 8.1 из-под юзера вообще не запускалось. Билд крашился. На админе еще работало...
Посмотреть вложение 12535 Посмотреть вложение 12538
Десятку не дотестил даже.
Саппорт утверждал, что все окей. Что вот у него куча народу грузит билд и везде отстуки есть.

Давайте заглянем хотя бы в полученный отчет.
Посмотреть вложение 12536
Скачать: Пример отчета

Что это за нафиг? - спросите вы...
Да я сам охерел - отвечу я.

Не, что касается браузеров - тут все норм. В отдельном каталоге история, куки, сохраненные пароли. Тут все отлично. Даже какие-то типа данные форм сохранены.
А вот все остальное... Я чет не понял. Это точно стиллер паролей? Это же просто архив с нужными файлами.
т.е. я, получив такой архив, должен где-то найти софт, много софта, под разные тулзы, что бы достать пароли из файлов.
Ага, давайте уточним. Это стиллер паролей или файл-граббер? Хотя, это гибрид. Часть паролей-то он выдергивает.

На этом мои тесты окончились. Пока я ждал новый билд - сервак у меня забрали "для другого срочного теста". Сказали скоро вернут. До сих пор вот ждал... Да забил.

Эпилог:

1. Это не стиллер. Это поебень по Чехову. Стиллит он только браузеры. Все остальное тупо запаковывает в архив и шлет в админку.
2. Админка - 12 мегабайт бинарного кода запущенного под рутом! 12 МЕГАБАЙТ Карл! Да на php эта админка 300-500 кб. вместе с либами заняла бы! А тут 12 мегабайт БИНАРНОГО! Да туда можно хоть черта лысого всунуть. В таком размере - хрен кто что найдет. Учитывая рута - там может быть целый зоопарк всего, что угодно душе. А работа под рутом - это вообще атас. Неужели было так сложно положить конфиг nginx для проксирования запросов и научить работать под обычным пользователем? Включая Mysql. Там рут нужен только для открытия 80 и/или 443 порта.
3. Билд 249 кб. Вы серьезно? Что там может иметь такой размер? Оно же нихрена пароли стиллить не умеет. Пройтись по стандартным путям пользователя. Скопировать и заархивировать файлы и отправить архив в админку. Народ! Там от силы должно быть 6 кб.
4. Никаких обходов тут и в помине нет. Я даже понимаю почему Quake до сих пор не выдал результата. Там нечего исследовать. А материться он не любит, как и пустозвонить.
5. Очень радует скрин проактивной проверки. Вы помните прикол про неуловимого Джо? Ну когда спрашивают, а почему он неуловим, а ответ прост. Он НАХЕР никому не нужен. Проход по стандартным пользовательским каталогам. Ни шагу в сторону. Тут агриться не на что по-большому счету. Лоадер же 100% сделан на стандартном URLDownloadToFile.
6. Вот что хочется отметить - так это админку. Она действительно приятна глазу. Это единственное, на мой взгляд, над чем действительно потрудились.
7. Цена адекватна, если вам нужна красивая админка...
8. Саппорт отвратительный. Приходилось неделями ждать ответов на простые вопросы. Что в ПМ, что в жабе. В телегу к ним не ходил. Уж увольте. Продаете на хак форуме софт - будьте любезны юзать местные способы общения.
9. Технический специалист оставляет желать лучшего. Когда он мне написал о том, что на локально-установленную админку на ip адресе 192.168.50.17 отправил отчет со своей виртуалки - я выпал в осадок. А когда пришлось объяснять, что это "серый" адрес, а меня не сразу поняли - я подумал, что это полный абзац.

Спасибо Taurus Seller за предоставленные на тест материалы.
Спасибо всем кто прочитал данный обзор.

by Ar3s специально для damagelab
Поддержать автора btc: 1AEK4aMepE3ZpRTgQQx1Km6XUGZ1p1CEFv

админка написана на go. там файл на выходе минимум 6-8 мб