Идеальный стиллер

[Jeffs]

В общем продублирую топик с экспы. Идеальный стиллер - какой он? Интересует Ваше мнение. Какой функционал должен обязательно быть, какая должна быть админка и тд.
Какие фильтры должны быть, помимо:
- ID
- GUID
- IP
- Country
- Date from/date to
- Passwords/cookies/cards/autofills/crypto
- Link in passwords
- Link in passwords and cookies
Так же во многих стиллерах видел функционал подсветки "важных линков" (important links, domains detect, intrested links), сортировка по группах этих самых ссылок, думаю тоже реализую.

 

[doggi]

Дак они вроде все с примерно одинаковым функционалом, какой смысл придумывать еще мильён функций...Главное отстук, стабильность.. имхо.

 

[w00du]

нерезидентный,fileless техника, грабинг кук, грабинг wallet.dat с пассом из памяти, угон облаков и vpn, методы обхода современных средств защит, постоянный fud статик/дианмика и etc

 

[tilekvj]

автомат чекер wallet.dat. Там изи, просто смотришь в файле значение name, берешь адрес бтс и делаешь get запрос на обозреватель битка и получаешь баланс

 

[w00du]

автомат чекер wallet.dat. Там изи, просто смотришь в файле значение name, берешь адрес бтс и делаешь get запрос на обозреватель битка и получаешь баланс

https://habr.com/ru/company/group-ib/blog/252963/ смотри, там круто реализовано кража валета с пасом, трабла мб , что кошель зашифрован и есть решение по этому поводу

 

[tilekvj]

https://habr.com/ru/company/group-ib/blog/252963/ смотри, там круто реализовано кража валета с пасом, трабла мб , что кошель зашифрован и есть решение по этому поводу

еба, годно, как не заметил...

 

[Jeffs]

https://habr.com/ru/company/group-ib/blog/252963/ смотри, там круто реализовано кража валета с пасом, трабла мб , что кошель зашифрован и есть решение по этому поводу

Елка на рантайме гарантирована

 

[Jeffs]

нерезидентный,fileless техника, грабинг кук, грабинг wallet.dat с пассом из памяти, угон облаков и vpn, методы обхода современных средств защит, постоянный fud статик/дианмика и etc

> грабить wallet.dat с пасом из памяти
> фуд рантайм
Не совсем понимаю, зачем vpn клиенты собирать?

 

[X4Crow]

Do not forget a good memory scraper!
Its a good idea to log T1 and T2

 

[Jeffs]

Do not forget a good memory scraper!
Its a good idea to log T1 and T2

Главное ещё hvnc, веб-инжекты, формграб не забыть, стиллер же пишем, хули

 

[X4Crow]

The main thing is also hvnc, web injections, do not forget the formgrab, we write the stealer, huli

We are already talking about a bot. it escapes the function of a Stealer a little, but of course, nothing prevents it.

 

[tilekvj]

Главное ещё hvnc, веб-инжекты, формграб не забыть, стиллер же пишем, хули

хули, от тебя ожидают, чтоб после того как напишешь, стилак в гит выложишь. И кому не лень сконпелирует и пользоваться будет как с Вашим модульным резидент ботом.

 

[Jeffs]

Подниму, интересно услышать любые идеи.

 

[MercuryOxide]

>fileless методы работы зверька,
>Возможность работы через память GPU (В принципе это вполне выполнимо, учитывая что она связана с оперативкой)
>Грабинг печенек ( Так же дешифровка криптоконтейнеров, которые не так давно вроде гугловские парни анонсировали, взамен куков)
> Настраиваемый грабинг файлов с системы
>Открытый код или полноценный морфинг (Было бы круто еще и учесть работы с сигнатурами)
>Встроенный загрузчик?
>Панель в onion
>Сборка лога в оперативке
>Защита от песочниц
>Написан на низкоуровневом языке. Ассемблер?

За софт подобного класса не плохо было бы и хорошую сумму отвалить.

 

[Jeffs]

>fileless методы работы зверька,
>Грабинг печенек ( Так же дешифровка криптоконтейнеров, которые не так давно вроде гугловские парни анонсировали, взамен куков)
> Настраиваемый грабинг файлов с системы
>Встроенный загрузчик?
>Сборка лога в оперативке

Уже реализовано, по след. пунктам есть вопросы:

>Возможность работы через память GPU (В принципе это вполне выполнимо, учитывая что она связана с оперативкой)

Чем не устраивает ОЗУ?

>Открытый код или полноценный морфинг (Было бы круто еще и учесть работы с сигнатурами)

Это к функционалу самого софта не относится.

>Панель в onion

Напрямую с клиента стучать в тор не стоит. В любом случае нужны какие-либо прокладки, с них можно уже в тот же тор слать.

 

[DildoFagins]

Чем не устраивает ОЗУ?

Ну многие аверы могут сканировать память, в этом случае основные преимущества fileless отпадают. Можно канеш поизвращаться всякими индеклавами, переодическим анмапом и тд, но практичного алгоритма противодействия этому я чет не припомню.

 

[MercuryOxide]

Вот именно поэтому и был заведен разговор относительно gpu, ибо ни один из аверов не способен сканить этот вид памяти, что дает ну прямо не хилое преимущество перед малварями, работающими исключительно в оперативе.

 

[MercuryOxide]

Ну так ничего и не стоит это сделать. Это в тему прокладок. Вообще, раз у вас там крутецкий софт, можно и уже на физический сервак разорится. Проявите оригинальность. Вон, помню давнеча читал, как чувак упоролся настолько, что поставил на малину свой скам софт, а к той малине замутил панели солнечные для его питалова и модем для сети. Lold. В конце концов, ради приколдеса, можно из зараженных машин делать эти самые прокладки

 

[Jeffs]

Ну многие аверы могут сканировать память, в этом случае основные преимущества fileless отпадают. Можно канеш поизвращаться всякими индеклавами, переодическим анмапом и тд, но практичного алгоритма противодействия этому я чет не припомню.

Ну это понятно, но как это относится к стиллеру? Что увидит там авер в памяти? БД браузеров?)

 

[Jeffs]

Ну так ничего и не стоит это сделать. Это в тему прокладок. Вообще, раз у вас там крутецкий софт, можно и уже на физический сервак разорится. Проявите оригинальность. Вон, помню давнеча читал, как чувак упоролся настолько, что поставил на малину свой скам софт, а к той малине замутил панели солнечные для его питалова и модем для сети. Lold. В конце концов, ради приколдеса, можно из зараженных машин делать эти самые прокладки

Можно и на своей машине поднять веб-сервер, как делают юзеры одной шляпы на шарпе)) Зато не заблокируют!