Арбитраж Сервис не соответсвует описанию! r1z

[djus]

Купил у данного продавца: 1)софт cobalt strike (https://xss.pro/threads/72985/) 4.7.2 лицензия за 5к$, тут к товару нет притензий все работает.
2)3 vps сервера с его настройкой OPSEC
3)Crypt exe, dll, ps1, ценой 15К$ (https://xss.pro/threads/74092/) для одного из серверов teamserver cobalt strike (как уверял продавец 100% гарантией обхода АВ)
Перед покупкой я написал селлеру : Shell код кобы имеет детекты в памяти такими АВ как Дефендер, например при выполнении инжекта в winlogon.
С твоими настройка и криптом будут с этим проблемы или нет?


продавец как видите ответил: 100% гарантия что все будет четко!
После покупки я начинаю тестить: запускаю файл, пришла сессия(дефендер первый раз обошло), делаю инжект в винлогон.
Понимаю что его настройка OPSEC и crypt способны только предоставить тебе сессию в кобу. Хотя вопрос о инжектах был!

Пишу продавцу есть детекты при инжекте. На что в этот раз он говорит: Я не давал гарантию на инжект в винлогон, этот процесс который всегда сканирует Дефендер.
Я в курсе как дефендер относится к памяти процесса winlogon по этому изначально и был задан вопрос на скринах выше, а так же что инжект сделать возможно.
Получаю новый файл, продавец говорит что сделал специально для дефендера. запускаю сессия в кобу не идет.

[14:58:23] r1z: open anydesk, i can show you it's not detected, you can ask anyone if this detected becuase bypass or not..
да без проблем:сам R1z делает тест

[16:05:26] r1z: i can't write there
[16:06:02] r1z: but 100% i make something wrong, otherwise i have more than 30 clients working with me with huge monthly income, ofcourse for some specail thing).
[16:06:12] r1z: tomorrow will update you.
[10:14:38] r1z: I have made crypt working with winlogon.exe and bypass WD... when you be ready to join anydesk let me know.. im here for now
[11:24:57] r1z: see, i make again on your teamserver and bypass WD normal.
[11:25:03] r1z: with winlogon.exe process
[11:25:25] r1z: https://prnt.sc/Bn232TaDpcIy
процесc Winlogon.exe от имени Administrtor ОЧЕНЬ интересно) Но на удивление файл действительно сработал второй раз.
а как же другие АВ, беру таргет с Symantec, его файл. даже без запуска файл удаляется. нет возможности залить видос как медиа, с Imgur видос удаляется.
кому интересно вот ссылка видео тест симантека пароль от архива xss.pro
Вообщем 100% гарантия обхода АВ - пустые слова.
Понимая, что с криптом действительно могут бьть временные проблемы я закрываю сделку с продавцом как успешную.
А тут подлянка, подтягиваю таргет в кобу, хочу сделать spawn из кобы с пакетом крипт в другую кобу, а у меня не видит слушатель другой кобы, инжект тоже самое.
PSEUDOSECTION: so i cant do spawn to another TS?
[14:25:54] PSEUDOSECTION: in 100.88 no AV
[14:25:54] r1z: No) unfortunately
[14:26:03] PSEUDOSECTION: but its not working
[14:26:16] PSEUDOSECTION: wtf
[14:26:18] r1z: what not working ? on 100.88 ?
[14:26:25] PSEUDOSECTION: yes
[14:26:53] r1z: ok, so let's do the test in same teamserver plz, don't try move session outside your crypt teamserver.
[14:27:25] r1z: I can make discount for your 2 teamserver crypt, upto 5 teamserver you will have good discount if you looking to have more stable working between your teamservers.
[14:27:52] PSEUDOSECTION: screenshot form executte EXE
[14:28:00] PSEUDOSECTION: WD not bypassed
[14:28:23] r1z: forget this libvlc.dll, i need to debug it more next week, i will send you clean EXE now, but if still have some issue, will make sure tommorow.
[14:28:27] r1z: give me 5 minutes.
[14:28:48] PSEUDOSECTION: ok
[14:30:38] PSEUDOSECTION: so if spawn not working, how to make redirect to another teamserver?
[14:31:10] r1z: crypt or add in whitelist a folder, or make dll hijacking.
Чисто разводка купи еще крипт услугу за 15К к каждому серверу) работал хотя бы бы один крипт)
Специально настроил сервера так, чтобы я не мог перебрасывать таргеты с сервера крипт на другие сервера так же купленные у него.
Это стандартные функции кобы и о таком надо предупреждать, по мне чисто разводняк!
Я поднял сервер с кобой и сделал инжект из его кобы с криптом на свою, все работает.
Вопрос по крипту остается открытым!
Те файлы которые продает r1z за 15к$ своих денег не стоят.

 

[admin]

r1z, comment, please.

 

[r1z]

Hi admin,
It's better to make complain public, since i have meet couple of guys trying to cheat on me or force me to crypt all them teamservers for free.
All these pictures of WD alert is fake, he's only trying to cover his complain on my crypt, since he try to make "FREE" crypt on his rest teamservers ( 0xx2,0xx3 ).

-------------
The guy order 3 teamservers ( 0xx1 - 0xx2 - 0xx3 ) one full pack crypt on 0xx1 and 2 teamserver with no crypt, only OPSEC + hidden service.

The crypt first day run into problem, since he's confirm that his computer have some wrong things, he reinstall new clean system and after test he confirm bypass work fine.

He have problem in his PC, second day problem solved and crypt bypass fine, he confirm everything ok with great job as expected.

[20:26:01] PSEUDOSECTION: nice
[20:26:19] PSEUDOSECTION: i made clear win 10
[20:26:23] PSEUDOSECTION: lets do tests
[20:27:05] r1z: ok. accept anydesk, and close cloud protection, it's make submission of our files to MS.
[20:27:12] PSEUDOSECTION: ok
[20:30:12] r1z: see, it's work.. i lose 6 hours for re-checkiing everything from yestarday)
[20:30:19] r1z: but it's ok, we got experiance sometimes.
[20:30:32] PSEUDOSECTION: yes
[20:30:43] PSEUDOSECTION: works fine
[20:31:21] PSEUDOSECTION: see in coba
[20:31:23] PSEUDOSECTION: good
[20:32:15] PSEUDOSECTION: can i try inject in another processs?
[20:32:17] r1z: yea, don't worry everything will working fine..
[20:32:33] r1z: sure.. but i make specail dll for injecting with winlogon.exe as you requested.
[20:33:17] r1z: inject [pid] x64
[20:33:21] r1z: use command always better
[20:33:39] r1z: dont inject monitiered processes, so you will keep EDR sleeping.
[20:33:59] PSEUDOSECTION: ok
[20:34:01] PSEUDOSECTION: sure
[20:34:57] r1z: cmd.exe working with inject, but my advice use third party pid, not build in windows, if you need something specific ask me i will inject it specail for you.. but keep injecting will make change of pause your work for the behavior of your use.
[20:35:53] PSEUDOSECTION: good job, now i dont have systems with eset\sentinel and etc. its will be checking tmrw

Screenshot

Captured with Lightshot

prnt.sc

Yestarday It's turn out that the guy looking to inject his beacon from crypt teamserver 0xx1 to non-crypt teamserver's 0xx2 + 0xx3

[23:20:29] PSEUDOSECTION: Symantec Endpoint Protection
[23:20:49] r1z: 10.0.100.88 works fine ?
[23:21:30] r1z: aasdasghgf beacon> inject 2936 x64 for-0xx3.xxx.com
[*] Tasked beacon to inject windows/foreign/reverse_https (for-0xx3.xxx.com:443) into 2936 (x64)
[+] host called home, sent: 16 bytes
[23:22:03] r1z: I see your injecting beacon from teamserver 0xx1 to teamserver 0xx3, right ?
[23:22:51] PSEUDOSECTION: yes
[23:23:02] PSEUDOSECTION: 0x2 0x3 empty

This is got killed by AV, since the 0xx2+0xx3 not crypt and he don't have knowledge how to move them correctly, this is out my work since it's belong to a pentesting work.
-------------

My crypt bypass WD, Crowdstrike Falcon sensor, SentinelOne, all must be bypassed, and you will recieve session on his crypt teamserver (0xx1).

This Website Has Been Seized

download for test on his teamserver 0xx1

 

[djus]

Я не просил у селлера делать мне бесплатные крипты. Не шантажировал. Есть полная переписка где нет ни чего подобного.
О таком продукте люди на форуме должны знать, что и как на самом деле. Не все так Сладко как описано селлером.
Я заплатил 15к за крипт, я не искал халявы.
Все скрины не поддельные, это легко проверить, у меня есть файлы которые он мне давал, их можно запустить и результат будет таким же как на скринах.

"He have problem in his PC, second day problem solved and crypt bypass fine, he confirm everything ok with great job as expected."

На моей вирте для тестов изначально было все ок, я действительно делал новую вирту, для его нового файла. В полном чате с селлером в тох, нет ни слова от меня о проблемах с моей виртуалкой.

"[20:32:33] r1z: sure.. but i make specail dll for injecting with winlogon.exe as you requested."
это я уже описывал ранее,и тут нет инжекта в процесс winlogon.exe это новый процесс называемый винлогон,https://prnt.sc/Bn232TaDpcIy, как видно на скрине, там winlogon от Admin, и pid номер далеко от системного процесса. Я писал о том что этот файл сработал. но только против дефендера. да его файл в этот раз сработал, но так же в переписке можно понять, что остальные фалы справились не все.

Селлер уверял что все его фалы на 100% обходят АВ. Если из 8 файлов пролазит 2-3 файла, и только на дефендере. exe, dll, так и ни разу не сработали на symantec. на Symantec сработал его скрипт ps1. Но в сделаке шла речь о том что все файлы будут рабочие.
А когда речь идет о том, что один грязный файл теряет таргет ценой несколько k$ это не стоит 15к$ за крипт, если бы файл стоит 100 баксов даже речи бы не было о притензии.

я приложу полную нашу переписку, где можно понять, сколько раз палился файл и как селлер был об этом вкурсе. И чтобы ты не вводил людей в заблуждения вырывая мои слова из контекста.

Мне не нужен сервер с криптом который настроивал r1z и его файлами.
После заверщения арбитража он может оставить это дерьмо себе.

я готов заплатить только за cobalt strike 4.7.2 ценой в 5к$. За крипт 15к$ попрошу вернуть на базу. Сервера можешь оставить себе, так как ты настроил кобу таким образом, что нельзя сделать стандартные функции.(spawn and inject между серверами) О чем не предупредил перед продажей.

 

[djus]

в переписке есть lsass dump, метод который был купленн у данного селлера за 8к$, это было отдельной сделкой и к этому файлу притензий нет. Изначально дамп файл процесса lsass не получалось расшифровать, оказалось там есть нюансы, потом селлер их обьяснил и все вопрос был закрыт, там есть замазанные участки, тк селлер просил не раскрывать подробностей расшифровки дампа lsass. Это не имеет ни какого отношения к арбитражу, здесь идет речь о крипте!

 

[r1z]

здесь идет речь о крипте!

Yes!! Now your claiming on crypt because you cannot move your beacons to another non-crypt teamserver, this is pentesting task and not crypt task.

Your crypt plan I write you in tox it’s start from 31/01/2023 due 28/02/2023, I already send you the clean build yesterday.

 

[djus]

Yes!! Now your claiming on crypt because you cannot move your beacons to another non-crypt teamserver, this is pentesting task and not crypt task.

Your crypt plan I write you in tox it’s start from 31/01/2023 due 28/02/2023, I already send you the clean build yesterday.

Я уже говорил о том, что больше не нуждаюсь в твоих услугах. Это есть в нашем диалоге! Ты сам писал о том что больше поддержки не будет!
Твой крипт не работает на 100% как ты говоришь всем людям! И я в этом убедился! Ты показал результат своей работы.

[09:56:17] PSEUDOSECTION: That is, even if the shellcode is successfully embedded in memory. Subsequent actions with defender or av enabled, e.g. injecting into winlogon will kill the session
[09:57:44] PSEUDOSECTION: If i ll use your CRYPT and your artifact Can I avoid this problem?
[pending] : 2023-01-27
[08:30:16] PSEUDOSECTION: hello
[08:30:24] PSEUDOSECTION: what about our deal bro
[08:31:42] PSEUDOSECTION: i want buy your best package with coba and all av bypass crypt service
[08:46:44] r1z: you want crypt + setup anonymouse teamserver also ? include cs latest 4.7.2 ?
[08:56:27] r1z: > [18:57:47] PSEUDOSECTION: If i ll use your CRYPT and your artifact Can I avoid this problem?
yes 100% bypass and enjoying your shell with no issue, i guarantee this.

В переписке все четко описано. Что мы хотели получить от этого крипта.
Все уже сказано. Были предоставлены скриншоты и все доказательсва. Твой крипт не работает так как ты описывал, я настаиваю на возврате денег за этот не рабочий крипт.

 

[djus]

 

[djus]

admin, у нас есть прямые докозательсва того, что его крипт не работатет так как заявлено у него в теме. Я разобрал все твои файлы r1z по частям-это все паблик!
Как и писал в сделке( это есть все в скринах переписки) я просил у тебя один FUD Teamserver, если ты думаешь, что по итогу у меня не получилось перебросить таргет из твоей "FUD" кобы на другую кобу, то ты ошибаешься! Вопрос состоит в качестве твогего FUD.
Если твоих клиентов устраивает твое предложения, пусть покупают твой продукт дальше.
Я уже доказал все скриншотами и у меня так же остались твои файлы, которые может проверить любой и понять, что все это просто дерьмо..
Я уже все сказал. Если нужны какие то дополнительные проверки его файлов. Администрацию прошу выйти на связь.
Я считаю что хватит уже пустых разговоров, о качестве его услуг я уже все понял. Кто хочет проверить что он там делает добро пожаловать.
PS: Ни как не хочешь объяснить это r1z?

 

[Stupor]

Again, Here is my crypt report, anyone who say my crypt not bypassing WD, Crowdstrike Falcon sensor, SentinelOne, and most modern AV’s he can ask for a claim or money back.

This Website Has Been Seized

but this kid is asking for refund not because of this, simple because his plan of playing around to make his whole teamservers crypt and FUD, but his plan already get fucked because he’s a cheater.

r1z впаривает крипт чисто со статическим чеком? мда... фуд - фудющий )))
воняет школоло - барыжничеством.

 

[djus]

Quake3, Привет. r1z ссылается на то, что ты вкурсе о его крипте и что крипт не паблик. Давай если ты компитентен в этом вопросе, посмотрешь те файлы которые он мне давал и говорил, что это супер крипт за 15к$, который должен обходить большинство AV. По условиям сделки, он настроил мне 1 Teamserver CS 4.7.2 + crypt. Мы можем предоставить тебе доступ к этому TS и предоставить его файлы, выданные ранее, ты убедишься, что эти файлы относятся к данному серверу, а так же сможешь посмотреть их в дизасемблере и убедишься, что это не может стоить 15к$.

 

[admin]

Посмотрел сделку и спор. Сделка была сложная, состоящая из нескольких товаров:
1) 2700$ - 3 услуги настройки OPSEC серверов
2) 2700$ - расходники (VPS'ки)
3) 15k$ - крипт exe, dll, ps1 для одного из серверов
Общая сумма 20.4к$

Пункты 1 и 2 выполнены, по ним у меня нет вопросов.

Пункт 3. Несмотря на то, что продавец r1z прав, в условиях сделки прописан крипт именно для 1 сервера. Я считаю, что именно сама услуга крипта не была полностью выполнена. Ведь был обещан 100% обход, этого не произошло.

r1z, подтверждаю частичный возврат. Прошу вернуть покупателю 15k$ за крипт.

 

[djus]

 

[r1z]

I looked at the deal and the dispute. The transaction was complex, consisting of several goods:
1) 2700$ - 3 services for setting up OPSEC servers
2) $2700 - consumables (VPS's)
3) 15k$ - crypt exe, dll, ps1 for one of the servers
Total amount 20.4k$

Points 1 and 2 have been completed, I have no questions about them.

Clause 3. Despite the fact that the seller of r1z is right, the terms of the deal specify the crypt for 1 server. I believe that it was the crypt service itself that was not fully implemented. After all, a 100% bypass was promised, but this did not happen.

r1z, confirm partial refund. I ask you to return 15k$ for the crypt to the buyer.

Hi admin , due to the confluct in the buyer lies since the start from claiming of inject to another teamserver not working, then he start claiming on crypt is not working, as im totally sure it's working and bypass fine, i consist to request Quake3 to test my crypt FUD for bypassing all the buyer Av's request,if my crypt doesn't bypass as he say.. the refund 15k will be completed.

 

[diletant]

хуя бля пирог, ты давал свой крипт не сегодня, а вчера. вчера ты проебался, и будь добр верни бабки. никому не интересно, что ты уже допилил обход

 

[Desoxyn]

хуя бля пирог, ты давал свой крипт не сегодня, а вчера. вчера ты проебался, и будь добр верни бабки. никому не интересно, что ты уже допилил обход

Речь идет о проверке тех файлов, которые уже у истца, а не те, которые сейчас может предоставить ответчик.
Думаю, если бы r1z что то "допилил", то они бы уже полюбовно порешали с джусом, а не размазывали это и далее по арбитражу. Просто иначе в этом нет логики.

 

[r1z]

We are talking about checking those files that the plaintiff already has , and not those that the defendant can now provide.
I think if r1z had “finished” something, then they would have amicably settled with the juice, and would not have smeared it further through arbitration. It just doesn't make any sense otherwise.

No my friend, I have "finished" the deal like all previus deals, but client want to use non-crypt servers which is not included in the crypt service i deal with; so he start claiming on the inject first and then claim on the crypt.

And unfortunately I see "some" mods here and not all of them, are keeping negative comments and remove positive comments to make the claim all againts me.

admin say :

I believe that it was the crypt service itself that was not fully implemented. After all, a 100% bypass was promised.

Im asking admin to not belive in my case, i need confirm this by checking the crypt i sent him by himself or Quake3.

My reputition in this claim after all is important, not money; this is why im asking to verify the files; and in anyway i will refund this money because im no longer need this type of client and the only what i need to verify my crypt and if my crypt does bypass as i say; then the client make public clear statment that hes wrong and "apology".

admin, I am confident of your objectivity.

 

[Desoxyn]

r1z
Ты услышал решение админа, и твоя репутация не пострадает только в том случае, если ты это решение выполнишь. Ты ведь сам написал, что веришь в его обьективность ))) Админ решение вынес не от балды, а ознакомившись с фактами. Клиента не устраивают твои услуги, они не оказаны должным образом - верни бабло, если так дорожишь репутацией. Всё остальное = виляние задницей.

 

[djus]

Сверху есть полная переписка, где изначально я пишу r1z, что его файл не обходит ДЕФ, отправляю ему скрины, он все это видит, дает новый файл, новый файл опять палится АВ, далее он сам заходит по anydesk на мою виртуалку, берет свои новые файлы к которым я не прикосался, запускает файл, и опять детект, ЭТО ВСЕ ЕСТЬ НА СКРИНАХ И В ПЕРЕПИСКЕ.

Когда его следующий файл сработал против дефендера и пришла сессияв кобу, я хотел перенаправить таргет на другой сервер кобы им же настроенный, понимаю, что это сделать не получиться, тк. этот хитрый продавашка хочет наживы на ровном месте и он настроил сервер таким образом чтобы Inject и spawn не работали, а только через его файлы, по 15к за каждый сервак.
РАЗУМЕЕТСЯ я ему об этом написал (Забыл только оскорблений там добавить),

Далее я настраиваю свой сервер с кобой и у меня ПОЛУЧАЕТЬСЯ ПЕРЕНАПРАВИТЬ таргет из его кобы в мою,вопрос закрыт.

Но сами, пацаны, подумайте, зачем платить за крипт для каждой кобы, если в кобе есть функция inject и если у тебя есть актуальный метод инжекта шелл кода в память, когда ты ужде в пямяти, зачем запускать еще какую-то ехе. Я думаю большинство так работает, есть крипт файл для одной кобы назовем ее буфферной, она принимает на себя главный удар от ав, тк если файл спалится, то она будет извесна ав и там начнуться песочницы, абуза на vps и тд, что приведет в дальнейшем к отвалу сервера с кобой и потери всех находящихся там таргетов, чтобы избежать этого и нужен переброс таргета (иным способом от ехе) с буффера на другую кобу где и будет производиться работа с таргетами.

Админ вынес решение, r1z хватит петлять как заяц! И кстати, админ- "Пункты 1 и 2 выполнены, по ним у меня нет вопросов.", у меня есть вопросы, там так настроенно, что без исполняемых файлов таргет не попадет на сервер, селлер об этом НЕ предупреждал, тоесть полнаценная работа кобы ограничена, и только из-за жажды наживы селлера!

 

[r1z]

Now you got experience how to move your beacon without claiming on my crypt, so forget this all bla bla, you don’t feel bored of repeating it many times ?

I ask you in private pm now with admin, your wallet is still alive or not ?