Ripter External Post-exp Rat

[Niter]

Версия 0.1 — это первая версия после beta тестирования. Данный продукт будет усовершенствоваться если ему позволят. Функционал не большой но достаточен для хорошей атаки.
Полностью модульная система. В основном билде практически нет кода, весь функционал реализуется в памяти из шеллкодов и взаимодействует по SMB.

Спойлер: Функционал

Удаленный CMD менеджер
Удаленный файловый менеджер

• Загрузить файл
• Выгрузить файл
• Удалить
• Создать

Получение информации о ПК

• Ip адрес
• Локальный адрес
• Имя процессора
• Количество памяти
• Архитектура ОС
• Имя компьютера
• Версия ОС
• Установленные версии .NET Framework

Менеджер процессов
Обратный прокси
Повышение прав до администратора (Только х64 версия пейлоада)
Дамп процесса Lsass.exe
Скриншот удаленной машины
Инъекция шеллкода
Поднятие от администратора до системы через стил токенов
Преобразование PE файлов в шеллкод
Автоматизация запуска шеллкодов на удаленной машине

В ручную настраивается протокол соединения с интернетом. По этому рантайм очень зависит именно от вас. Comodo и Sophos проверил лично, dyncheck видимо считает палевность некоторых АВ по алертам.


Рантайм всего функционала: https://dyncheck.com/scan/id/284abbb178d2a67cdb5af2375f765c9c

Продажа в несколько рук, гарант приветствуется.
Цена: 3 000$
jabber: ripter_dev@thesecure.at

Спойлер: English

English Version:



This program was created to test the security of personal systems.
Version 0.1 is the first version after beta testing. The program will be updated and supported.
The program consists of many modules (fully modular system).
There is practically no code in the main assembly, all the functionality is implemented in memory from shellcodes and interacts via SMB.

Спойлер: Func

Спойлер: Func

Functional:

1) Remote CMD manager
2) Remote file manager (Upload, create, download and delete files)
3) Get PC information (IP address, local address, processor name, memory size, architecture OS, computer name, version OS, installed versions of the .NET Framework)
4) Process manager
5) Reverse proxy
6) Bypass UAC (x64 payload)
7) Dump the Lsass.exe process
8) Remote machine screenshot
9) Shellcode injection
10) Stealing system process tokens and elevating rights from administrator to system
11) Port scanner
12) Converting PE files to shellcode
13) Automating the launch of shellcodes on a remote machine

The Internet Connection Protocol is manually configured. So "runtime detect" is up to you. Comodo and Sophos personally checked and found nothing.

Runtime scan:

Report #284abbb178d2a67cdb5af2375f765c9c | Dyncheck.com

dyncheck.com

Price: 3 000$
jabber: ripter_dev@thesecure.at
Sale in several hands, surety is welcome.

Отзывы с другого борда: https://forum.exploit.in/topic/183873/

 

[Pent]

Там закрыл тему, тут открыл, на основе Empire написан?

 

[Niter]

Было одно место последнее. Тема закрыта примерно на месяц. Извиняюсь что так вышло.

 

[Niter]

Все идет не плохо, по этому возьму еще пару человек в команду (сейчас нас 7). На жабу в шапке прошу не писать (была взломана. уже восстановлена но пока на резервной).
Цена пока прежняя, рантайм тоже.
Обнова по функционалу установлена на 01.03.2021.
ripter_develop@thesecure.at

 

[Niter]

Ответ на предыдущий вопрос: Нет, с Empire связи ни какой нет. Написан с нуля. Если искать связь, то наверное модель общения больше похожа на cobalt strike.

 

[Niter]

Актуально. Еще 2 места. В марте продаж не будет скорее всего