malware Исходники Taurus/Predator The Thief

[distamx]

А ты сожми нормально, через LZ4, например, и не будет никаких 10мб траффа.Да, будет выше нагрузка на серв, но она не такая критичная.

Я пробовал в сжатие но мне так не понравилось почему-то, что я и забыл уже почему да и выпилил во второй версии. Скорее всего из-за раздувания или слишком ресурсоемким процессом, хз, надо будет потестить еще раз.

Вообще, я поддерживаю полноценный Server-Side Decrypt стиллак, и я могу сказать следующее: если кодер норм шарит за сетевуху и способен разработать нормальный протокол общения сервак<->клиент, по которому будут передаваться данные, то всё ок.Проблема в том, что люди которые пишут стиллаки для паблика работали с HTTP максимум.Исключения тоже встречаются.Все мы помним ficker, где он сейчас? Имхо, человек понял, что уже вырос из паблика и решил уйти в приват со своим проектом(поправьте, если кто знает, что было на самом деле).

Это мы просто между собой письками меряемся, кто как лучше сделал. Конечному покупателю как выяснилось вообще без разницы HTTP у тебя или TCP.

UPD2: забыл упомянуть еще один важный момент.Когда вы парсите и декриптите данные на серваке, вы всяко отдадите предпочтение официальным либам.Например дотнетовскому System.Data.SQLite.Если вы парсите бд на клиенте, то скорее всего, у вас будут проблемы с парсингом

На дотнете есть куча либ удобнее чем System.Data.SQLite. Правда все равно они все используют ADO.NET. Нужен тест скорости SQLiteHandler, уверен что он выиграет, потому что без SQL.

Написание своего СТАБИЛЬНОГО парсера sqlite задача далеко не самая простая

Задача легкая, серьезно. Просто не хватает времени да и обычная лень в моем случае, когда все и так работает.

Например, шарповский SQLiteHandler не умеет нормально работать с китайскими символами.Из-за чего отстук на азиатских машинах падает.

Отстук падает из-за говнокода, который не смог отловить ошибку. Вот недавно такой у себя говнокод пофиксил, когда рекурсивный поиск выдал "файл есть", а в итоге его уже нет (я его даже не использовал никак), а ведь директория не %TEMP%.
Если SQLiteHandler модифицировать то он нормально и с китайскими символами работает, у меня автотесты на такие случаи.

 

[c0d3r_0f_shr0d13ng3r]

Задача легкая, серьезно.

Ну это для нас.А для тех, кто пишет стиллаки под паблик?

 

[c0d3r_0f_shr0d13ng3r]

Отстук падает из-за говнокода, который не смог отловить ошибку. Вот недавно такой у себя говнокод пофиксил, когда рекурсивный поиск выдал "файл есть", а в итоге его уже нет (я его даже не использовал никак), а ведь директория не %TEMP%.

Ну это тоже, но я сейчас говорю конкретно про кривые решения

Конечному покупателю как выяснилось вообще без разницы HTTP у тебя или TCP.

Никто ничем не мерится, в этом нет необходимости.Мой софт не паблик...
Да и создается такое ощущение, что конечному покупателю из паблика похуй на тех часть.Иначе, как еще объяснить, что #1 стиллер по продажам это редлайн?

 

[distamx]

Да и создается такое ощущение, что конечному покупателю из паблика похуй на тех часть.Иначе, как еще объяснить, что #1 стиллер по продажам это редлайн?

Ты просто забываешь, на каком известном зеленом форуме он продается .

 

[no1]

Can someone reload the file please ? It says 404

 

[FREEM4N]

c0d3r_0f_shr0d13ng3r

 

[GayFox]

Ссылка битая тс фикс плз.

 

[Quake3]

Что же касается корпов, покажите мне человека, который запускает обычные стиллаки на сетках? Под такие цели вроде пишутся софты с локальным декриптом и сохранением лога.

Я имел ввиду, что в корпоративной среде трафик очень жестко контролируется и режется весь нестандарт. И одно дело, если у вас протокол поверх https, т.е. куда-то там сотрудник зашел, отправил грубо говоря POST запрос , и скачал картинку (в которой пейлоад), и другое - отстук на какой-то порт 1488 с непонятными данными. Оно в глаза бросается даже при общем просмотре.
видел корпов, где запрещено почти все, даже вебсокет не работал.

UPD2: забыл упомянуть еще один важный момент.Когда вы парсите и декриптите данные на серваке, вы всяко отдадите предпочтение официальным либам.Например дотнетовскому System.Data.SQLite.Если вы парсите бд на клиенте, то скорее всего, у вас будут проблемы с парсингом.Написание своего СТАБИЛЬНОГО парсера sqlite задача далеко не самая простая.Например, шарповский SQLiteHandler не умеет нормально работать с китайскими символами.Из-за чего отстук на азиатских машинах падает.

Как и всего другого. Любой код, любой модуль должен пройти много часов отладки , свои "велосипеды" и так далее. Пример - перехват апи, что какой-то detours/minhook, что самописный код, будут по любому ошибки на какой-то нестандартной ситуации.

Все мы помним ficker, где он сейчас?

у него основная проблема возникла с чисткой. изначально он заявлял о ллвм морфере, но на паблик чистки делать весьма сложно. Сам понимаешь, я это говорю постоянно, что кто что-то умеет, постепенно переходит в приваты или забивает (крид ведь азор тоже бросил не просто так - задолбался вычищать самый народный стилер).

 

[FREEM4N]

Ссылка битая тс фикс плз.

no1

https://temp.sh/SEjhK/taurus-predator.zip

password - xss.pro

 

[kozak deex]

Собственно недавно тут продавались эти исходники, взял их для изучения и решил поделиться с комьюнити

https://temp.sh/KbXHR/present.rar

Пароль местный

404 File KbXHR/present.rar not found​

 

[petroglyph]

404 File KbXHR/present.rar not found​

MalwareSourceCode/Win32.Taurus.7z at main · vxunderground/MalwareSourceCode

Collection of malware source code for a variety of platforms in an array of different programming languages. - MalwareSourceCode/Win32.Taurus.7z at main · vxunderground/MalwareSourceCode

github.com

 

[reqwest]

Я пробовал в сжатие но мне так не понравилось почему-то, что я и забыл уже почему да и выпилил во второй версии. Скорее всего из-за раздувания или слишком ресурсоемким процессом, хз, надо будет потестить еще раз.

Deflate на максимальной степени компрессии ужимает 10 МБ данных до 900 КБ за 2 сек, это всяко быстрее, чем отправить те же 10 МБ данных по сети. На бэкэнде и вовсе не обязательно заставлять клиента ждать, когда полученные данные расшифруются/разожмутся/обработаются. Как клиент отправит событие, что закончил работу - тогда и начни обработку/сборку лога, клиент в это время может и подождать, если нужны какие-либо дополнительные действия от него. Даже если коннект и обвалится - не так критично, т.к лог уже у нас.

 

[DildoFagins]

Deflate на максимальной степени компрессии ужимает 10 МБ данных до 900 КБ за 2 сек, это всяко быстрее, чем отправить те же 10 МБ данных по сети

Можно на эту тему подушнить: зависит от энтропии данных, чем меньше энтропия, тем больше степень сжатия, на максимальной энтропии deflate даже увеличит размер буфера.

 

[reqwest]

Из-за специфики проверки лога и выдаче ему правил граббера/лоадера все таки приходится ждать. А это уже работа бэкенда панели и ее обработка лога после сервера. Обойти это - упороться с хранением сессии и обработка всего на одном, пока не очень необходимо.

Проблемы с архитектурой. Создай пул воркеров, при получении репорта с какого-либо софта (у тебя же все данные с клиента частями отправляются?), сохраняй на диск, пуш задачу воркерам, клиенту выдавай токен с лайфтаймом. Умер токен и клиент не получил новый -> клиент умер. Основная часть данных, необходимая для дальнейшей работы клиента, у тебя успеет обработаться до того момента, когда токен истечёт.

 

[WhiteDragon]

Ставлю биток на то, что какой-то "умник" соберет его и увидим топик Pizdator Stealer нового поколения за 3000 рублей/год

 

[Quake3]

По размеру не пойму вообще. Когда мы обсуждаем малварь, что нужно кодить на нормальных языках - сразу набегает дофига народу с аргументами. Что на размер всем давно пофиг, у всех терабитные каналы, а нищеброды как таргеты не нужны, что АРТ юзают малварь по 700метров (АРТ то для нас непререкаемые авторитеты, как воры в законе для первоходов). Ну ладно. Зато когда встает вопрос об отправке каких-то нескольких мегабайт по сети - то это сразу тяжело, долго, много и т.д.

увидим топик Pizdator Stealer нового поколения за 3000 рублей/год

так и будет, поэтому любая подобная тема будет закрыта на деп (если я пропущу, шлите отчет). А там уже как выйдет, на основе сорцев Зевса в свое время были неплохие клоны..

 

[distamx]

По размеру не пойму вообще. Когда мы обсуждаем малварь, что нужно кодить на нормальных языках - сразу набегает дофига народу с аргументами. Что на размер всем давно пофиг, у всех терабитные каналы, а нищеброды как таргеты не нужны, что АРТ юзают малварь по 700метров (АРТ то для нас непререкаемые авторитеты, как воры в законе для первоходов). Ну ладно. Зато когда встает вопрос об отправке каких-то нескольких мегабайт по сети - то это сразу тяжело, долго, много и т.д.

Я забил, как мы пообщались и стал слать все на сервак, проблема обнаружилась быстро - память у клиента/сервера приказала долго жить, хотя эт граббер был виноват все равно... ~3-4 мб на моей машине креды только хрома... А если не только куки/логины/автофиллы качать а еще и историю и Shortcuts будет веселуха на все 30.

 

[anton-akinvee]

Перезалейте у кого есть, пожалуйста!

 

[deniska]

Перезалейте у кого есть, пожалуйста!

https://github.com/vxunderground/MalwareSourceCode/blob/main/Win32/Win32.Taurus.7z - а чем этот линк не устраивает?

 

[SVG45qbVolk]

https://github.com/vxunderground/MalwareSourceCode/blob/main/Win32/Win32.Taurus.7z - а чем этот линк не устраивает?

пароль нужен