Статья Пишем ратник с нуля и навека

[KNOWNAME]

ставил с фулгана (хttps://indy.fulgan.com/SSL/), все норм ставится, а утечки все те же.

Не пишу на делфи, инди просто в пример привел.
"Согласен, UniCode теперь рулит, хотя обхожу эти проблемы с помощью велосипедов-костылей, когда нужно" - Lol, что?).
И "Так статья не плохая, для тех кто только начинает разбираться с сокетами и мелкими школьными ньюансами в троестроении, но не на конкурс." - нет, зачем учится на плохом материале, когда есть нормальный в открытом доступе?

 

[injector1316]

инди на семерке в двух версиях идет (я про делфи лайт 7.0.....) я их при установке (галочки убираю) чтоб треш не ставить, ставил отдельно. Фулгановскую версию уже потом ставил отдельно по ману.

 

[injector1316]

при 2кк запросов, бот просто засыпал на дедиках, пока все запросы не переписал на синапс, потом индюху глянул через Eurekaa на утечки памяти, там полный завал, - ковыряться никто не будет из разрабов софта, лес дремучий, утечки большие. но после переписа на синапс софт живет неделями, и то до сбоев с нетом, которые мгновенно устранимы.

 

[DildoFagins]

Вообще я когда смотрел FreePascal, натыкался на такую библиотеку: https://github.com/fundamentalslib/fundamentals5 - много всего полезного, включая HTTP/HTTPS клиента.

 

[injector1316]

KNOWNAME можно с помощью костылей и велосипедов эту тему обойти, опять же, если есть мозг, или добро пожаловать в поиск на программерсфорум или соурсес-ру (не реклама) там уже миллион раз обмусоливали эту тему (костыль в DPR + еще фишки).​

Писать статьи на конкурс такого плана... Вы же сами видели, наверняка огромное количество аналогичных... У вас тут переменные будут другими а текст тот-же... Смысл... Пусть так. Но не нужно новому поколению шлак многолетней давности показывать, который разжеван во всех направлениях на огромном количестве сайтов десятилетиями назад, тут вобщем-то конкурс, а не помойка..

 

[X-Shar]

Вообще я понял, что статьи на самом деле нужны любые, это-же форум и ценны могут быть больше даже обсуждения, нежели сами статьи...

Поэтому лучше что-то написать, чем не писать вообще.)

Интересно, а на сколько сейчас востребованы ратники, типо дарк. комета например ?

Не знаю как у меня со временем и желанием будет, но что-то загорелся идеей сделать ратник свой, сам клиент на си написать, а сервер может на шарпе, либо на си, вообще сам сервер наверное не важно на чём писать, просто на шарпе легче гуишку делать наверное.)

Может даже потом на паблик выложу, или под конкурс...

Ну клиент хочу сделать со скрытием апи, возможно даже используя сисколы, или опционально, без CRT и т.д.

Вот и интересно на сколько это востребовано будет и не только под малварь, просто каким-то скрипткиддисам не интересно что-то делать, а под какие-то более серьезные вещи можно заморочиться, тот-же теамвивер не все хотят покупать, ну и в части безопасности свои решения по удаленному управлению было-бы не плохо иметь.

По функционалу на первых парах просто удаленное управление хочу сделать и сделать упор на безопасности, т.е. шифрование трафика и т.д., а потом можно расширить как кроссплатформенность, так и функционал...)

Ну это так, мысли в слух.

Монетезировать, если что-то будет получаться можно путем доработки чего-то там и поддержки, либо победой в конкурсе как вариант.)
В целом 5К. это не плохая цена за такой проект, наверное.)))

Но это просто размышления, если-что...)))

 

[DildoFagins]

Интересно, а на сколько сейчас востребованы ратники, типо дарк. комета например ?

Сделай клиента на веб-сервере (на том же голанге или питоне) с интерфейсом и связь клиента с сервером на веб-сокетах. Как минимум что-то новое будет.

 

[Jeffs]

Вообще я понял, что статьи на самом деле нужны любые, это-же форум и ценны могут быть больше даже обсуждения, нежели сами статьи...

Поэтому лучше что-то написать, чем не писать вообще.)

Интересно, а на сколько сейчас востребованы ратники, типо дарк. комета например ?

Не знаю как у меня со временем и желанием будет, но что-то загорелся идеей сделать ратник свой, сам клиент на си написать, а сервер может на шарпе, либо на си, вообще сам сервер наверное не важно на чём писать, просто на шарпе легче гуишку делать наверное.)

Может даже потом на паблик выложу, или под конкурс...

Ну клиент хочу сделать со скрытием апи, возможно даже используя сисколы, или опционально, без CRT и т.д.

Вот и интересно на сколько это востребовано будет и не только под малварь, просто каким-то скрипткиддисам не интересно что-то делать, а под какие-то более серьезные вещи можно заморочиться, тот-же теамвивер не все хотят покупать, ну и в части безопасности свои решения по удаленному управлению было-бы не плохо иметь.

По функционалу на первых парах просто удаленное управление хочу сделать и сделать упор на безопасности, т.е. шифрование трафика и т.д., а потом можно расширить как кроссплатформенность, так и функционал...)

Ну это так, мысли в слух.

Монетезировать, если что-то будет получаться можно путем доработки чего-то там и поддержки, либо победой в конкурсе как вариант.)
В целом 5К. это не плохая цена за такой проект, наверное.)))

Но это просто размышления, если-что...)))

Мне нравится идея. Готов вписаться по серверной части. Какая-либо монетизация меня не интересует, тут уже решай сам.

 

[X-Shar]

Мне нравится идея. Готов вписаться по серверной части. Какая-либо монетизация меня не интересует, тут уже решай сам.

Давай попробуем, правда там работы может-быть много, но можно потихоньку делать и в один из конкурсов, если будут проводится можно выложить как проект.)

Важно сделать ставку на безопасности трафика и стабильностью, функционал пока-что можно только удалённое управление + возможно скачивать/закачивать файлы на комп клиента, этого будет достаточно более-чем, при условии стабильной работы и если всё получится.)

Само шифрования трафа, можно сделать как говорил Рел:https://xss.pro/threads/40981/post-251526

А-так основная задача, если что-то получится даже не блек, мне например неочень нравится теамвивер, если было-бы решение своё по удаленному управлению компом, было-бы круто, но при условии что если всё-бы стабильно работало.)

А для блека, кому нужно можно доп. функции уже самим допилить, кейлоггер и прочее, лучше это отдельно делать, меньше детекта антивирусов будет и на стабильность негативно не будет влиять.)

Ну по серверу тоже нужно продумать безопасность, как минимум что-бы он запускался не от рута, либо работал из-под отдельной учеткой...

А-то как у нас получилось в прошлом ботнете, что из-за уязвимости скомпрометировался весь сервак.)))

 

[injector1316]

парни, клиент на питоне - я считаю лучшим вариантом, а про кейлоги, стилы, майнеры, файлграбберы и прочая нечисть - вам все это лучше сделать модульным, мое мнение.

 

[heybabyone]

парни, клиент на питоне

Зачем?

парни, клиент на питоне - я считаю лучшим вариантом, а про кейлоги, стилы, майнеры, файлграбберы и прочая нечисть - вам все это лучше сделать модульным, мое мнение.

Ты же понимаешь, что сделать удаленное управление нужно много чего: сжатие пикселей, шифрование трафика, расчет x/y координат, клики/ввод и это лишь малая часть. Взять тот же самый алгоритм, что у rdp гораздо облегчает работу, но свой писать - очень сложная хрень. Прикинь еще прокидывать трафик через тор, когда ты в РУ, а холдер в ЮСЕ и нужно оптимизировать так, чтоб все рисовалось. А то, что ты перечислил люди пишут годами, чтобы найти грамотное решение. А в случае X-Shar лучше стать блекушником, чем писать всю махину и после выложить в конкурсную статью, где сразу же обосрут по поводу синтаксиса, которые и в жизни не писали свой memory manager.

 

[heybabyone]

Интересно, а на сколько сейчас востребованы ратники, типо дарк. комета например ?

Они не очень долго живут в силу своей большой модульности и выского рантайма из-за использование задроченных методов. В основном нужны, чтоб попасть в комп к Васе из 6-А и скатать его акк гта САМП.

Ну клиент хочу сделать со скрытием апи, возможно даже используя сисколы, или опционально, без CRT и т.д.

А че плохого в crt? Базовый протекор хочешь не хочешь накроет твою наготу из винапи. Ну вес добавляет небольшой, не спорю. Канеш, можно писать свои аналоги всяким memset, strcpy, но какая гарантия, что они в тот момент будут работать? Скажем, ты копируешь строку из data1->data2. А аргументы передаешь wchar_t, а когда твоя кастомная реализация принимает только char. После будешь его переводить обратно WidetoChar и т.д. - что по объему и функционалу получется тот же самый crt со своими проверками. Хз как ты, но я больеш сконцентрирован на том, чтоб писать арихтектуру, а не тем, чтоб думать почему в куче не выделилась память например. А сисколы, скрытие апи, кастом реализация шифрование строк - имеет смысл

По функционалу на первых парах просто удаленное управление хочу сделать и сделать упор на безопасности, т.е. шифрование трафика и т.д., а потом можно расширить как кроссплатформенность, так и функционал...)

Если напишешь свою реализацию удаленного управления с красивым сервером и холдером, который рисует без черных точек - вряд ли выложишь в паблик. Тебе легеч будет тут открыть комерс акк, договорится с гарантом и продать за 10-15к бачей минимум

Монетезировать, если что-то будет получаться можно путем доработки чего-то там и поддержки, либо победой в конкурсе как вариант.)
В целом 5К. это не плохая цена за такой проект, наверное.)))

Смешные бабки за ратник как даркомент или его аналоги.

 

[injector1316]

сам в питоне не особо силен, но читал очень много статей от очень многих авторов, что это лучшее в плане поддержки очень больших ботнетов. В плане гибкости вообще не говорю. Но писать всю архитектуру... пикселизация и т.п. действительно гемор, если нет готовых проектов, у которых можно было бы взять кусочек кода.
Кстати, думаю, аналоги даркомет и прочего похожего можно найти на гите, но там обычно POC, который нужно допиливать и допиливать.

 

[heybabyone]

который нужно допиливать и допиливать.

допиливать?) Не смеши) Перепиливать. Например история с тем же hvnc у многих - переделка tinynuke

сам в питоне не особо силен, но читал очень много статей от очень многих авторов, что это лучшее в плане поддержки очень больших ботнетов. В плане гибкости вообще не говорю. Но писать всю архитектуру... пикселизация и т.п. действительно гемор, если нет готовых проектов, у которых можно было бы взять кусочек кода.

В целом петон хорошо для бекенда - готовые либы, асинхронность, библиотеки, удобный синтаксис. Не поспоришь.
Но если vnc-hvnc думаю лучше шарп/qt

 

[X-Shar]

А че плохого в crt?

Сложнее реверсить без crt и легче обойти антивирусы.

А аргументы передаешь wchar_t, а когда твоя кастомная реализация принимает только char.

Не понял, если ты работаешь с wchar_t зачем делать реализацию для char и использовать WidetoChar, ты можешь вообще сделать универсальную реализацию библиотеки, без использования этих апи.)

Смешные бабки за ратник как даркомент или его аналоги.

Возможно, я незнаю цены в блеке, но во первых нужно всё ещё это сделать, пока-что это мысли в слух и слова на форуме...)

А во вторых, я уже писал что блек это не моё, да возможно с точки зрения закона делать такой софт, лишь косвенное участие в атаках, но потом доказывать это оперативникам у меня желания нет...)))

К тому-же, ну-блин блек это стрёмно, что мне денег что-ли нехватает, что-бы идти в блек ? Да, хочется чего-то большего, но я убежден что могу зарабатывать достойно и в вайт сфере, не вижу смысла рисковать свободой, репутацией, за непонятные чёрные деньги...

Которые нужно ещё вывести, как-то отмыть и т.д. Вот смысл ?

Зачем делать в паблик ?

Как минимум лишняя реклама не повредит, лишний опыт тоже, к тому-же проектом кто-то может заинтересоваться и выступить спонсором, почему нет ?

Тут на форуме не только блеки, думаю много кто и из вайтов есть, поэтому делать что-то в паблик имеет смысл...

Да и даже неплохо занять призовое место в конкурсе, даже 1К. это для меня хорошие деньги.)

 

[heybabyone]

Сложнее реверсить без crt и легче обойти антивирусы.

Почему же? Твои аргументы в студию, выслушаю, прост интересно.

К тому-же, ну-блин блек это стрёмно, что мне денег что-ли нехватает, что-бы идти в блек ? Да, хочется чего-то большего, но я убежден что могу зарабатывать достойно и в вайт сфере, не вижу смысла рисковать свободой, репутацией, за непонятные чёрные деньги...

Ну эт да, твое право...

Которые нужно ещё вывести, как-то отмыть и т.д. Вот смысл ?

Как что-то прям сложное

Тут на форуме не только блеки, думаю много кто и из вайтов есть, поэтому делать что-то в паблик имеет смысл...

Из вайтов тут походу ток Рел (ну из которых знаю и общался) и пару (ники не скажу!)

Да и даже неплохо занять призовое место в конкурсе, даже 1К. это для меня хорошие деньги.)

Твои готовые паблик решения типа бота - как свежий глоток воздуха для скрипткиддсов.

А так, раньше почитывал твои статьи на сфере) Новшество не приносишь, но есть что-то интересное)

 

[X-Shar]

Почему же? Твои аргументы в студию, выслушаю, прост интересно.

Ну на тот-же memcpy например можно легко поставить брейкпоинт, а если у тебя будет например кастомная реализация, тут нужно ещё попотеть понять, что это именно мемкопи, а не что-то ещё, это первое...

Второе, все эти интерфейсные функции по факту тянут часто "опасные для детекта Api", типо-там OpenFile, можно заменить своей кастомной реализацией поиска апи по хешу, или вообще за сисколы, что может значительно уменьшить детекты проактивок...

В частности можно собрать в итоге зверька без единого API в импорте, а что-бы реверсеру или антивирусу не было скучно можно разбавить всё это дело фейковым импортом.)))

Вот это уже более серьезный подход, для построения малвари.

 

[heybabyone]

Ну на тот-же memcpy например можно легко поставить брейкпоинт, а если у тебя будет например кастомная реализация, тут нужно ещё попотеть понять, что это именно мемкопи, а не что-то ещё, это первое...

Как будто memcpy напишешь вообще другим образом?) Кончено индуский-авер буде пыхтеть сидя на тем, что делает твой кастом memcpy, но там и смотреть нечего. Согласен, если будет щедро разбалвен всякими апишками, сбитием графа, но для грамотного реверсера - дело времени.

Второе, все эти интерфейсные функции по факту тянут часто "опасные для детекта Api", типо-там OpenFile, можно заменить своей кастомной реализацией поиска апи по хешу, или вообще за сисколы, что может значительно уменьшить детекты проактивок...

Да уж лучше сисколами.

В частности можно собрать в итоге зверька без единого API в импорте, а что-бы реверсеру или антивирусу не было скучно можно разбавить всё это дело фейковым импортом.)))

Без единных данных из таблицы иморта - гарантированный детект без запуска. Если разбалять - то да, пройти можно)

Вот это уже более серьезный подход, для построения малвари.

Не думаю. Более или менее серьезная малварь уже юзает все это

 

[Jeffs]

Давай попробуем, правда там работы может-быть много, но можно потихоньку делать и в один из конкурсов, если будут проводится можно выложить как проект.)

Важно сделать ставку на безопасности трафика и стабильностью, функционал пока-что можно только удалённое управление + возможно скачивать/закачивать файлы на комп клиента, этого будет достаточно более-чем, при условии стабильной работы и если всё получится.)

Само шифрования трафа, можно сделать как говорил Рел:https://xss.pro/threads/40981/post-251526

А-так основная задача, если что-то получится даже не блек, мне например неочень нравится теамвивер, если было-бы решение своё по удаленному управлению компом, было-бы круто, но при условии что если всё-бы стабильно работало.)

А для блека, кому нужно можно доп. функции уже самим допилить, кейлоггер и прочее, лучше это отдельно делать, меньше детекта антивирусов будет и на стабильность негативно не будет влиять.)

Ну по серверу тоже нужно продумать безопасность, как минимум что-бы он запускался не от рута, либо работал из-под отдельной учеткой...

А-то как у нас получилось в прошлом ботнете, что из-за уязвимости скомпрометировался весь сервак.)))

Да думаю по шифрованию трафика не стоит сильно заморачиваться. Алгоритма как у нас в боте был - вполне достаточно. Была мысля использовать RSA: генерировать пару ключей на сервере, боте. Публичным ключём сервера шифруем данные от бота, публичным ключём бота - ответы сервера.
Было бы интересно реализовать что-то по типу VNC (не скрытого), только на своих костылях. Подглядывать за ботом прямо из админки - звучит прикольно.

 

[X-Shar]

Без единных данных из таблицы иморта - гарантированный детект без запуска. Если разбалять - то да, пройти можно)

Почему, не будет никаких детектов.)

Как что-то прям сложное

Не сложно, всё относительно легко выводится, но при условии относительно небольших сумм и редкой частоты выводов, иначе легко может обратить внимание наоговая служба, как минимум и придется объяснять от куда эти средства.)

Не думаю. Более или менее серьезная малварь уже юзает все это

Хрен его знает, так-то думаю большинство селлеров этого форума, даже это не юзает.)
К сожалению качество софта оставляет желать лучшего, не знаю как-там у супер-команд, но никто не заморачивается в блеке, главное продать.

Да думаю по шифрованию трафика не стоит сильно заморачиваться. Алгоритма как у нас в боте был - вполне достаточно. Была мысля использовать RSA: генерировать пару ключей на сервере, боте. Публичным ключём сервера шифруем данные от бота, публичным ключём бота - ответы сервера.
Было бы интересно реализовать что-то по типу VNC (не скрытого), только на своих костылях. Подглядывать за ботом прямо из админки - звучит прикольно.

Для начала конечно нужно основной функционал запилисть, а шифрование добавить потом, особой проблемы в шифровании трафика нет, единственное может немного замеддлить обработку данных, но не думаю что это критично.)