Всем доброго времени суток!
Не ждали? А старикашка Арэс еще жив и пишет для вас, время от времени, материальчики по имеющейся малваре
Что-то, как говорится, то пусто то густо. Было время когда подряд у меня шло 4 обзора по лоадерам. Да вот время меняется. Все последние обзоры идут по стиллерам. Видать, время диктует свои условия, а рынок потребности. Очередной стриллер на призрачном столе виртуальной "D-лаборатории". Во как загнул. Сам в шоке
Итак, встречайте - FickerStealer
Официальный топик https://forum.exploit.in/topic/175885/
Краткое описание:
BEGIN
Ко мне обратился ficker@exploit.im с просьбой сделать обзор. Такая же просьба поступила и Quake.
Мы списались с последним в жабе и решили писать. Я свою часть, он свою.
За время проведения тестов я в общей сумме получил три билда. Тестировать здесь и сейчас у меня не всегда получается, а билды не всегда соответствуют моим требованиям. Ну да ладно. Это уже становится закономерностью.
В обзоре будет рассмотрен самый краний из полученных билдов.
Размер полученного файла 258,5 КиБ (264 718). md5 e032bcd6a78b50370d6ae71d805fd24f
Информация о файле:
В описании сказанно, что файл сжимается UPX почти вдвое. Качаем UPX, сжимаем и смотрим.
Полученный файл имеет размер 123,0 КиБ (125 966). Что составляет 47,85% от изначального размера.
Содержимое папки с админкой было залито на свежеустановленный Debian 10.5 minimal. После чего был запущен процесс установки.
На этом типа все готово к работе. Видим что я пытался войти в админку и получил файл в браузер... Немного офигев - задаю вопрос овнеру... Получаю комментарий о том, что на 80 порту лежит гейт. т.е. сюда стучит бот и сливает данные. А вот сама панель доступна по 8000 порту. Ну что же. Идем туда, видим стандартную форму авторизации. Вполне, кстати, узнаваемую. Но об этом позже.
Ввожу стандартное admin:admin и попадаем в админку.
Не скажу что админка навороченная, но вроде как и ничего лишнего. К тому же - не выплывают глаза от цветовой гаммы.
В сорцах админки видим использование jquery-jvectormap.css, ?family=Material+Icons, React.
Пока все соответствует описанию.
Testing
Тестирование проводилось на трех виртуалках. Win7_x64, Win8.1_x86, Win10_x64 от юзера и админа. На двух из них присутствовал русский язык. Все виртуальные машины на момент проведения тестов имели последние обновления как самой ОС так и всего ПО установленного на них.
В тесте учавствовали: Chrome, Opera, Edge/IExplorer, Firefox, Filezilla, WinSCP, Electrum, Discord
Первое что получаем - это алерт от АВ. Естественно файл я не криптовал перед тестом.
Отключаем АВ и тестируем далее. Дабы не мучать вас долгими рассуждениями - сразу публикую сводную таблицу результатов.
Архив с полученными отчетами: Скачать
В архиве вырезал все логины, пароли и часть кукисов. Архив для ознакомления с форматом присылаемых файлов.
В админке это выглядит так (все синие надписи кликабельны, с формой поиска по каждой из них):
Давайте рассматривать результаты и определимся с тем, что хорошо, а что не очень.
1. Первое, что бросилось в глаза - это не понятно в админке с какого браузера какие пароли прилетели. Мне лично не хватает колонки с указанием браузера. Пришлось смотреть в каком браузере был какой пароль сохранен и по полученным данным отмечать какой браузер успешно, а какой нет.
2. WinSCP не стиллит. Вместо пароля всякий бред. Когда кусок IP адреса, когда непонятные буквы/цифры.
3. Firefox - нет паролей.
4. Не стиллит пароли с эксплорера в win7. Не стиллит куки ни с эксплорера ни с эджа на win7 и win8.
5. Не стиллит куки с Firefox на win10. На других ОСях куки исправно ложатся в файл. В админке так же не мешало бы добавить указание с какого браузера куки прилетели.
6. Не стиллит дискорд на win10.
7. На win7 не делает скриншот. Файл пуст. С скриншотами вообще бред какой-то. Расширение JPG, а по факту внутри файл BMP. Можно много места экономить если пофиксить это.
8. Раздел лога "Software" наполнен данными только на win8. На остальных ОСях там пусто.
Мириться можно со многим, но не стиллить пароли на огнелисе??? Вы серьезно??? Связался с ТС. Состоялся такой разговор:
[21:10:54] <Ar3s> на связи?
[21:11:00] <Ar3s> Есть два вопроса
[21:12:50] <Ar3s> Firefox
WinSCP
[17.09.2020 21:18:08] <Ficker> WinSCP и Firefox стиллит
[17.09.2020 21:26:54] <Ar3s> Нет не стиллит
[17.09.2020 21:27:17] <Ar3s> В архиве есть куки из firefox но нет паролей. Как нет их и в админке
[17.09.2020 21:27:28] <Ar3s> winSCP - вместо пароля абракадабра
[17.09.2020 21:27:41] <Ar3s> иногда осмысленный кусок текста типа версии ос
[17.09.2020 21:27:54] <Ar3s> иногда часть логина и цифры
[17.09.2020 21:28:13] <Ficker> Какая версия windows и winscp?
[17.09.2020 21:28:30] <Ar3s> Со всех трех операционок что я тестил - одинаково шло
[17.09.2020 21:28:37] <Ar3s> winscp самый последний
[17.09.2020 21:28:49] <Ficker> И версия firefox какая - куки 100% стиллит, nss3 модуль на OS установлен? На деб 10 он предустановлен
[17.09.2020 21:28:56] <Ficker> Ой
[17.09.2020 21:28:59] <Ficker> Пароли 100% стиллит
[17.09.2020 21:29:39] <Ficker> Если нет паролей, то 99% что не установлен nss3 модуль на системе
[17.09.2020 21:29:55] <Ar3s> про модуль на системе вы не писали
[17.09.2020 21:30:10] <Ar3s> я устанавливал при помощи sh файла
[17.09.2020 21:30:11] <Ficker> Я писал Debian 10 OS, на ней он предустановлен
[17.09.2020 21:31:37] <Ficker> Какая OS установлена на машине?
[17.09.2020 21:32:52] <Ar3s> # cat /proc/version
Linux version 4.19.0-10-amd64 (debian-kernel@lists.debian.org) (gcc version 8.3.0 (Debian 8.3.0-6)) #1 SMP Debian 4.19.132-1 (2020-07-24)
[17.09.2020 21:33:22] <Ar3s> Debian GNU/Linux 10.5.0 _Buster_
[17.09.2020 21:34:25] <Ar3s> # apt-get install nss3
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Unable to locate package nss3
[17.09.2020 21:35:02] <Ficker> У него какое-то другое название чуть, щас найду, но на деб 10 он предустановлен у всех и у всех 100% есть логи с пассами от файрфокса
[17.09.2020 21:35:51] <Ar3s> а у меня нет
[17.09.2020 21:36:16] <Ficker> libnss3
[17.09.2020 21:37:01] <Ar3s> есть такой. добавил
[17.09.2020 21:37:06] <Ar3s> буду тестить дальше
Меня смутил этот момент. Дистр установлен с minimal образа, а искомой библиотеки не оказалось... Установил ручками, но буду рекомендовать автору добавить в установочник все зависимости, даже если по умолчанию они должны присутствовать в системе. Хуже от этого не будет.
После этого я повторно провел тесты на всех ОСях. Пароли с Firefox стали прилетать. Но вот куки на Win10 - нет. Надо будет дополнительно автору обратить внимание.
Дадим слово соавтору:
==========================Quake=============================
Билд размером 259 кб, ничем не упакован, собран с помощью компилятора mingw (судя по анализатору и именам секций);
не зная предыстории, решил бы что это GCC, но автор писал код на языке Rust. Большинство строк пошифровано, как и апи (но не все).
Открываем файл в IDA. Пропускаем CRT'шные процедуры , переходим к основной логике. Тут меня ждал сюрприз - процедура на 4.5к строк в декомпиляторе, Ида немного даже подвисла на анализе. По словам автора, так генерит код LLVM , впрочем оно и логично, врядли кто из кодеров в здравом уме так бы писал.
Импорт динамический, заполняет программа его не сразу, а постепено. Сначала подгружает (точнее, ищет в памяти, но в коде используется loadlibrary) адрес кернел32, далее ищет адреса функций CreateMutex , GetUserDefaultLocaleName, GetLastError. Декриптит строку (уникальная для каждого билда), создает мьютекс (проверка на повторный запуск). Дальше получает текущую локаль юзера, сверяеет ее со списком стран СНГ , и завершается в случае совпадения. Если же машина прошла проверку, начинается работа. Создается сокет, идет подключение к админке. Что интересно - попытки законнектится идут также на ipv6 адрес. В случае удачного коннекта (и только так) программа в несколько потоков (у меня на вм было 4, не считая сети) собирает данные пользователя и постепенно отправляет в админку. Тут особо сказать нечего, все как обычно - поиск файлов по маске, в определенных папках и так далее.
Из интересного:
1. Апи и строки декриптятся не сразу все, как оно часто бывает в малваре, а постепенно. Идет граббинг паролей IE - идет декрипт VaultXX апи и соответствующих строк, идет поиск файлов - аналогично , получается строка маски (скажем, *.dat) и FindХ api.
2. Код щедро разбавлен левыми вызовами апи, левыми строками и структурами.
Очень сложно в таком копаться, т.к. неясно, что реально нужно, а что нет. Скажем, процедура получения скриншота разбавлена еще какими-то вызовами GDI и обращениями к структурам. Т.е. обфускация кода присутствует.
Пообщался с кодером, ответил на все вопросы, в целом видно, что хорошо разбирается в программировании. Единственное - советовал бы скрывать все таки все апи и все строки, т.к. допустим мне весьма упростил реверс наличие в импорте винсок. А так, впечатления от кода весьма хорошие.
==========================/Quake=============================
Немного моего мнения о продукте:
1. Автор адекватен, хорошо ориентируется в linux. Быстро вносит правки в код продукта.
2. Приятная админка, быстрая установка, легкий перезапуск, небольшой вес билда, хороший набор софта который граббится.
3. Из неприятного хочу отметить куки на дефолтном браузере винды и пароли на winscp. Не идут.
4. Отдельно хотелось рассказать про форму первого логина. Оказывается там я ЗАДАВАЛ логин и пароль. И даже не понял этого. Поговорили с ТС и договорились, что форма изменится для большего удобства.
5. Как и в Таурусе - мне не импонирует запускать бинарники на linux из-под рута. Я знаю, что это становится тенденцией, но напрягаюсь по этому поводу как админ.
6. Хочу предложить автору почитать на XSS (damagelab) статью Rubicon о взломе админки (threads/38851). Особенно в части детектов малвари через форму авторизации. Понимаю, что ее хочется сделать красивой и удобной. Но проблема действительно есть. Идентифицировать малварь уже давно научились и по авторизации. А значит домены с малварью, при наборе популярности, будут улетать в блэк даже без запусков билдов.
7. По следам обзора, надеюсь, автор быстро поправит найденные недочеты.
8. Немного завышена, на мой взгляд, цена аренды. Это не АТМ малварь. Тем более на сервере заказчика все крутится... Подумайте над снижением стоимости и увеличением количества подписчиков.
В остальном остался доволен продуктом.
Выражаю благодарность Ficker за предоставленный материал.
Благодарочка Quake за помощь в обзоре.
Огромнейшая благодарность всем тем кто читает мои обзоры. Спасибо что вы есть.
By Ar3s cпецифльно для damagelab.
Ну что Крутые парни. С прошлого обзора я получил 0 доната. Посмотрим побью ли я рекорд в этот раз: BTC 1KujvCXi5XWn4hiJPWE5DzPukEvRHFsnSm или ДРУГИЕ способы.
