Ekipa - комплексное DOCX/XLL/PUB решение для целевых атак. Ekipa - complex docx/xll/pub targeted attacks system.

[Ekipa]

Ekipa - комплексное решение для целевых атак.
Ekipa представляет из себя одноразовые MS WORD макросы/XLL надстройки/PUB макросы работающие с включенным AMSI (нет обхода ASR)+нерезидентный лоадер с функциями файлового браузера.


Функционал

А)VBA макрошаблоны:
Сбор информации о целевой системе:
+Имя потока (возможность создавать потоки с разными именами для разных целей)
+IP
+Страна/Город
+Версия и разрядность Windows
+Разрядность MS Word/Excel
+Домен и имя пользователя
+Список процессов
+Список установленного антивирусного ПО, его статус и актуальность обновлений
+Производитель и модель CPU
+Производитель и модель GPU
+Объем RAM
+Суммарный объем накопителей и свободного места на них
+Файловый браузер:
+Просмотр файлов и директорий на целевом ПК
+Скачка файлов и папок с целевого ПК в виде .zip архива размером до 2ГБ
+Закачка файлов на целевой ПК
+Удаление, переименование и перемещение файлов на целевом ПК
+Запуск исполняемых файлов .exe, .dll, etc.
+Выполнение произвольных комманд коммандной строки
+Интерактивная консоль (backshell)
Б)Одноразовые .docx/.xll/.pub документы с подгрузкой VBA макрошаблона


Особенности

[Одноразовые документы]​

Документы отрабатывают в системе только 1 раз.
Документы отрабатывают с включенным AMSI (нет обхода ASR).
При повторном открытии документа сервер отклоняет запрос на скачку макро-шаблона и все последующие запросы на инсталляционные действия.

[Серверная панель управления]​

Написана на PHP+PDO.​

Все входящие данные фильтруются, защита от Path Traversal и MySQL injections.​

[Билдер]​

В комплекте поставляется Python билдер и GUI оболочка для него.​

Возможность билдинга как в режиме коммандной строки, так и в режиме графического интерфейса.​

Работоспособность билдера и GUI проверялась на Windows/Linux/MacOS.​

Высокая скорость билдинга, до 250 одноразовых документов в секунду.​

Спойлер: Видео работы и детекты в scantime и runtime (0/18)

Avast:

AVG:

Avira:

Bitdefender:

Bullguard:

Comodo:

DrWeb:

F-Secure:

GData:

Kaspersky:

Malwarebytes: https://vimeo.com/681874304

McAfee: https://vimeo.com/681874651

NOD32: https://vimeo.com/681876432

Norton: https://vimeo.com/681939782

Panda: https://vimeo.com/681882043

Symantec:https://vimeo.com/681941461

Trendmicro: https://vimeo.com/681891001

Windows Defender: https://vimeo.com/681752197

Спойлер: Видео работы XLL (Windows Defender Cloud protection: ON):

https://vimeo.com/690174328

Спойлер: Видео работы PUB (Windows Defender Cloud protection: ON):

https://vimeo.com/759063445

Цена и условия продажи

Цена: 4.5k USD​

Продается в несколько рук, в комплект входит GUI билдер.​

Строго гарант данного форума.​

Возможен отказ от продажи без объяснения причин.​

Контакты

XMPP: ekipa@movim.eu¸ ekipa@exploit.im​

TOX: 047C485EF868D556627D71E891C2D112BD2594912B1DFE1C1AE0E1405D8A3364062F30F86D75​

ПМ​

 

[Ekipa]

Разбор предыдущей версии от Malwarebytes:
https://blog.malwarebytes.com/threa...-deploys-vba-rat-using-double-attack-vectors/

Спойлер: Скриншоты билдера и админки

 

[Ekipa]

Исправлены ошибки админки, проведена ревизия runtime.

Спойлер: Свежие видео

Avast:

AVG:

Avira:

Bullguard:

Bitdefender:

ClamAV:

Comodo:

DrWeb:

Eset:

F-Secure:

GData: https://vimeo.com/711190695
Kaspersky: https://vimeo.com/711189758
McAfee: https://vimeo.com/711067147
Malwarebytes: https://vimeo.com/711066426
Panda: https://vimeo.com/711067965
Sophos: https://vimeo.com/711068475
Trendmicro: https://vimeo.com/711068917
Windows Defender: https://vimeo.com/711069197

Новая цена: 3000 USD.

 

[Focus17]

что с чистками?
токс пишет не верный

 

[Ekipa]

Стоимость чисток от 100 USD (в зависимости от Ваших объемов).
Токс указаный в топике верный и актуальный.

 

[diletant]

чистка сто баксов

 

[GENERAL7]

Good man and answers all questions. Recommend him.

 

[xissay]

чистка сто баксов

продукт явно не для тех кто неможет заплатить 100$

 

[Ekipa]

Работаем.
Проведена ревизия runtime.

Спойлер: Свежие видео с АВ в рантайме:

Windows Defender:

Avast:

AVG:

Avira:

Bitdefender:

Comodo:

DrWeb:

Eset:

F-Secure:

G-Data:

Kaspersky: https://vimeo.com/737754180
Malwarebytes: https://vimeo.com/737754659
McAfee: https://vimeo.com/737755437
Norton: https://vimeo.com/737756183
Panda: https://vimeo.com/737756612
Sofos: https://vimeo.com/737756848
TotalAV: https://vimeo.com/737757302
Trendmicro: https://vimeo.com/737757478

Контакты прежние:
XMPP: ekipa@movim.eu¸ ekipa@exploit.im
TOX: 047C485EF868D556627D71E891C2D112BD2594912B1DFE1C1AE0E1405D8A3364062F30F86D75
ПМ

 

[doctordradd]

работающие с включенным AMSI (нет обхода ASR)

Что означает?

 

[doctordradd]

Продается в несколько рук

Просвети пожалуйста, это мы можем всем форумом купить одну прогу и пользоваться дружно?

Где вообще есть что-то публичное для всех и обходящее АВ? Без 100% уникального кода никогда не будет FUD

 

[Ekipa]

Что означает?

AMSI=Antimalware Scan Interface
ASR=Attack Surface Reduction rules
Обе технологии описаны на сайте MS.
Судя по сообщениям в Вашем профиле Вы ранее тоже макросы продавали, неужели не сталкивались с данными вещами? )

Просвети пожалуйста, это мы можем всем форумом купить одну прогу и пользоваться дружно?

Где вообще есть что-то публичное для всех и обходящее АВ? Без 100% уникального кода никогда не будет FUD

Можете попробовать купить "всем форумом", но после N-й покупки дальнейшие продажи будут приостановлены для возможности адекватного времени нахождения продукта в чистоте в связи с увеличившейся нагрузкой по чисткам. Касаемо публичного для всех продукта обходящего АВ - есть, вопрос только в периодичности с которой его необходимо чистить. А касаемо 100% уникального кода - ищите того кто Вам напишет софт под заказ и продаст вместе с исходниками, но ценник там будет явно выше или пишите код сами.

 

[Ekipa]

Выпущен апдейт, интерактивная консоль (backshell)
Видео работы консоли:

Стоимость апдейта: 1000 USD
Так же увеличена цена продукта при покупке с нуля, новая цена: 4000 USD

Контакты прежние:
XMPP: ekipa@movim.eu¸ ekipa@exploit.im
TOX: 047C485EF868D556627D71E891C2D112BD2594912B1DFE1C1AE0E1405D8A3364062F30F86D75
ПМ

 

[doctordradd]

Кто-нибудь пользовался? Отпишитесь, пож

 

[Ekipa]

Обновление v1.3:

[+]Добавлен новый вектор атак через MS Publisher
А)Требует всего 1 клик (не требуется клик по кнопке "Разрешить редактирование" если файл получен из интернета)
Б)Шлется в аттаче
В)Не затрагивается дефолтной политикой Microsoft по блокировке макросов полученных из ненадежных источников (https://learn.microsoft.com/ru-ru/deployoffice/security/internet-macros-blocked)
Г)Требует наличия установленного MS Excel
[+]Исправлены незначительные ошибки контрольной панели которые могли приводить к повторному отображению результатов выполнения комманды в консоли

Update v1.3:
[+]Added new attack vector through MS Publisher
A)Only 1 click is required (target doesn't need to click Enable editing if file was received from Internet)
B)Can be sent in e-mail attachment
C)It's not affected by default Microsoft blocking macro policy (https://learn.microsoft.com/en-us/deployoffice/security/internet-macros-blocked)
D)Target needs to has MS Excel installed as well

Спойлер: Видео / Video

Цены / Prices:
Стоимость обновления / Update price: 500 USD
Стоимость при покупке продукта с нуля / Total price for new buyers: 4500 USD


Контакты / Contacts:
XMPP: ekipa@movim.eu ekipa@exploit.im
Tox: 047C485EF868D556627D71E891C2D112BD2594912B1DFE1C1AE0E1405D8A3364062F30F86D75
ПМ

 

[Your Conscience]

Если анализировать весь арсенал , инструментаж не плохой. Есть много механизмов и путей внедрения файла для конечной деанонимизации пользователя.
Если продукт будет своевременно получать нужные обновления и нужные модификации в функционале тогда можно говорить о слове - в хорошо. Ну хотелось бы услышать мнение в работоспособности данного софта у олдов данной площадки. Кто нибудь пользовался данный софтом?

 

[doctordradd]

Да кидок это, был заточен под конкретного покупателя, давно уже куплен
Не работает там ничего, разбирал эту "прогу"
По цене уже можно понять

 

[diletant]

Да кидок это, был заточен под конкретного покупателя, давно уже куплен
Не работает там ничего, разбирал эту "прогу"
По цене уже можно понять

я давно орнул с его чистки за 100 баксов. Мне уже тогда понятно было, что это фуфло. Не может чистка стоить 100 баксов. Там чистить каждый день надо билдер, уже после пары продаж ты загонишь свой билдер в перманентный бан от почтовиков и ав

 

[GradDyZ]

Да кидок это, был заточен под конкретного покупателя, давно уже куплен
Не работает там ничего, разбирал эту "прогу"
По цене уже можно понять

А Вы сделку проводили?

 

[Ekipa]

А Вы сделку проводили?

Сделку проводил не он, его нанял покупатель как тех. суппорта, по итогу данный товарищ положил сам билдер (не админку, а именно билдер) в папку /var/www/html на сервере со словами "Ну ладно, админка хитра оказалась для установки" что говорит о его уровне компетенции. После разговора с покупателем и озвучиванием данного факта был послан в игнор.

я давно орнул с его чистки за 100 баксов. Мне уже тогда понятно было, что это фуфло. Не может чистка стоить 100 баксов. Там чистить каждый день надо билдер, уже после пары продаж ты загонишь свой билдер в перманентный бан от почтовиков и ав

Орать Вы можете сколько угодно не зная технологии ) А технология - подкачка удаленного шаблона с сервера, ну а дальше как фильтровать запросы на серверной стороне думаю можно не объяснять.