Кросс-пост обзора.
Последние годы рынок малвари выглядит весьма обширным, но при этом однообразным. Процентов 95 занимают разного рода шифровальщики (точнее, партнерки), оставшиеся % занимают стиллеры, и уж совсем крошечную долю другой софт. Поэтому, когда появился анонс нового лоадера, решил пореверсить что-то другое чем "поиск файлов-крипта-записка". Итак, билд представляет собой DLL размером 91.5 кб, ничем не упакован. Написан на С++, собран в Visual Studio , статически слинкован с CRT.
В разделе экспортa есть одна функция , которая обеспечивает установку софта на машину. Т.е. дллка должна быть запущена сторонним процессом, командой вида "rundll32.exe dllname.dll,InstallFunction" (или regsrv)
После запуска софт создает в %tmp% папку, и дропает туда , собственно лоадер - DLL, скачанную из админки. Юзается WinInet апи. Рабочая DLL добавляется в автозапуск с помощью планировщика задач, в зависимости от типа установки (rundll32 / regsrv) , т.е. обычный юзер (не реверсер) не должен заметить ничего в автозагрузке, а в списке процессов будет системный процесс. Собственно длл лоадера, размером 351 кб, также написана на С++. Экспортирует две функции
, впрочем с одинаковым кодом, для запуска через rundll32 / regsrv. Все остальные данные софта (строки, импорт кроме црт'шного) скрыты. Присутствует анти-песочница (защита от запуска на виртуалках и т.п.), этот момент, стоит обсуждать с автором, т.к. иногда надо потестировать перед прогрузом. Лоадер запускается, загружает в память нужные для работы системные библиотеки. Проверяет себя на повторный запуск (чтобы не работали 2 и больше копии софта одновременно), коннектится к админке для получение заданий.
(на 64 бит видно 2 системных процесса, из-за WoW64).
Админка предоставляет возможность запустить файл разными способами: с правами админа, текущего юзера (от которого выполняется бот), запуск команд CMD / PS и т.д. Тут бы хорошо было услышать мнение Ar3s .. Но что есть, то есть. Потестировал сам запуск от админа, запуск с памяти и запуск команд cmd, отработало норм. Файлы для запуска с диска копируются в папку рядом с лоадером с рендомным именем и запускаются стандартным способом. Для повышение привилегий (запуск от админа) используется трюк с runas.
Общение с админкой идет в формате base64(json), поверх пошифровано RC4, с интервалом примерно в 2 минуты. В админке видно, успешно команда выполнилась или нет.
В целом, софт неплохой, и надеюсь, займет свою нишу на рынке. По автору - видно, что человек учится, старается сделать продукт лучше. В ходе реверса была найдена ошибка на вин7, автор ее оперативно пофиксил. Хотя, в некоторые моменты мне хотелось бросить все это дело и забить на обзор.
По критике: нет внятного мануала, по тем же методам запуска; советую добавить руководство, чтобы последнему дураку было понятно, как и что использовать. За админку ничего не скажу (юзабилити и т.д.), инфу отображает и хорошо, возможно пользователи что-то захотят добавить (поиск, сортировку, етц), это уже будет видно по ходу продаж. По размеру софта - вопрос холиварный, поэтому его касаться здесь не будем, главное все же , наверное, детекты, тем более что изначальный дроппер весит вполне приемлемые 91кб. Также, как и наличие C++ STL: с одной стороны, можно обойтись, с другой - наличие оного добавляет файлу легитимности перед аверами.
Последние годы рынок малвари выглядит весьма обширным, но при этом однообразным. Процентов 95 занимают разного рода шифровальщики (точнее, партнерки), оставшиеся % занимают стиллеры, и уж совсем крошечную долю другой софт. Поэтому, когда появился анонс нового лоадера, решил пореверсить что-то другое чем "поиск файлов-крипта-записка". Итак, билд представляет собой DLL размером 91.5 кб, ничем не упакован. Написан на С++, собран в Visual Studio , статически слинкован с CRT.
В разделе экспортa есть одна функция , которая обеспечивает установку софта на машину. Т.е. дллка должна быть запущена сторонним процессом, командой вида "rundll32.exe dllname.dll,InstallFunction" (или regsrv)
После запуска софт создает в %tmp% папку, и дропает туда , собственно лоадер - DLL, скачанную из админки. Юзается WinInet апи. Рабочая DLL добавляется в автозапуск с помощью планировщика задач, в зависимости от типа установки (rundll32 / regsrv) , т.е. обычный юзер (не реверсер) не должен заметить ничего в автозагрузке, а в списке процессов будет системный процесс. Собственно длл лоадера, размером 351 кб, также написана на С++. Экспортирует две функции
, впрочем с одинаковым кодом, для запуска через rundll32 / regsrv. Все остальные данные софта (строки, импорт кроме црт'шного) скрыты. Присутствует анти-песочница (защита от запуска на виртуалках и т.п.), этот момент, стоит обсуждать с автором, т.к. иногда надо потестировать перед прогрузом. Лоадер запускается, загружает в память нужные для работы системные библиотеки. Проверяет себя на повторный запуск (чтобы не работали 2 и больше копии софта одновременно), коннектится к админке для получение заданий.
(на 64 бит видно 2 системных процесса, из-за WoW64).
Админка предоставляет возможность запустить файл разными способами: с правами админа, текущего юзера (от которого выполняется бот), запуск команд CMD / PS и т.д. Тут бы хорошо было услышать мнение Ar3s .. Но что есть, то есть. Потестировал сам запуск от админа, запуск с памяти и запуск команд cmd, отработало норм. Файлы для запуска с диска копируются в папку рядом с лоадером с рендомным именем и запускаются стандартным способом. Для повышение привилегий (запуск от админа) используется трюк с runas.
Общение с админкой идет в формате base64(json), поверх пошифровано RC4, с интервалом примерно в 2 минуты. В админке видно, успешно команда выполнилась или нет.
В целом, софт неплохой, и надеюсь, займет свою нишу на рынке. По автору - видно, что человек учится, старается сделать продукт лучше. В ходе реверса была найдена ошибка на вин7, автор ее оперативно пофиксил. Хотя, в некоторые моменты мне хотелось бросить все это дело и забить на обзор.
По критике: нет внятного мануала, по тем же методам запуска; советую добавить руководство, чтобы последнему дураку было понятно, как и что использовать. За админку ничего не скажу (юзабилити и т.д.), инфу отображает и хорошо, возможно пользователи что-то захотят добавить (поиск, сортировку, етц), это уже будет видно по ходу продаж. По размеру софта - вопрос холиварный, поэтому его касаться здесь не будем, главное все же , наверное, детекты, тем более что изначальный дроппер весит вполне приемлемые 91кб. Также, как и наличие C++ STL: с одной стороны, можно обойтись, с другой - наличие оного добавляет файлу легитимности перед аверами.
