Raccon Stealer, и его странные проблемы

[256Code]

И так, есть такая малварь как racoon stealer. Все мы (наверное) знаем, что для нормальной работы стандартного LoadPE рекомендуется поддержка ASLR(т.е. relocation table, указанная в хеадере). Проблема заключается вот в чем: в ракуне Relocation Table какого то фига отстутствует. А при просмотре RacoonStealer в самом обыкновенном D.I.E. пишет, что линковщик у данного софта Microsoft, а если быть поконкретнее, то софтик у нас компилировался компилем Visual Studio 2019. Что же это получается? Разработчики ракуна зачем то отключили ASLR поддержку в настройках компилятора? Если да, то зачем? Как с этим справляться, как жить то? Умирать, дрочить, убегать? Как криптовать то?

 

[Kapibara]

ASLR это не релоки, учи матчасть
грузи свой лоудпе по адресу какому-нить 0х1000000, а енота по тому, который в imagebase

 

[yellow]

как жить то? Умирать, дрочить, убегать? Как криптовать то?

Очевидно - не юзать говно стилак за 100usd.
Если вы платите за софт сотку не ждите от него чегото вообще.

Помоему безплатное куда лучше тоже что впаривают по 100-200usd

Тут на форуме чел на расте скинул сорцы

 

[Encommerce]

Очевидно - не юзать говно стилак за 100usd.
Если вы платите за софт сотку не ждите от него чегото вообще.

Помоему безплатное куда лучше тоже что впаривают по 100-200usd

Тут на форуме чел на расте скинул сорцы(они лежат вообще бесплатно)
но код куда лушче чем халтура вских енотов и прочее говно

Ну код там такой себе. Но за бесплатно мастхев, конечно)

 

[yellow]

Ну код там такой себе.

досих пор люьт его прогоняя через ollvm - и не плохо зарабатывают - я имею ввиду код не трогали - просто собирали через ollvm

 

[reqwest]

досих пор люьт его прогоняя через ollvm - и не плохо зарабатывают - я имею ввиду код не трогали - просто собирали через ollvm

Кстати, а llvm-obfuscator нормально с растом дружит?

 

[Encommerce]

Кстати, а llvm-obfuscator нормально с растом дружит?

Кажется можно, но с костылями, так как он имеет гараздо более раннюю версию, чем та, что сейчас используется по умолчанию. Могу ошибаться. Но раз льют, значит таки можно, верно?))

 

[Ksandrwarf]

И так, есть такая малварь как racoon stealer. Все мы (наверное) знаем, что для нормальной работы стандартного LoadPE рекомендуется поддержка ASLR(т.е. relocation table, указанная в хеадере). Проблема заключается вот в чем: в ракуне Relocation Table какого то фига отстутствует. А при просмотре RacoonStealer в самом обыкновенном D.I.E. пишет, что линковщик у данного софта Microsoft, а если быть поконкретнее, то софтик у нас компилировался компилем Visual Studio 2019. Что же это получается? Разработчики ракуна зачем то отключили ASLR поддержку в настройках компилятора? Если да, то зачем? Как с этим справляться, как жить то? Умирать, дрочить, убегать? Как криптовать то?



Посмотреть вложение 53133Посмотреть вложение 53132

Выкинуть это гавно и взять что то нормальное.
Сракун в бане на хсс и эксп.

 

[reqwest]

Кажется можно, но с костылями, так как он имеет гараздо более раннюю версию, чем та, что сейчас используется по умолчанию. Могу ошибаться. Но раз льют, значит таки можно, верно?))

Интересно стало, надо постестить. Я на Си тестил - прикольный выхлоп, только со сборкой под виндой гемор, насколько помню

 

[Ksandrwarf]

Ракун пиздит себе логи клиентов, на экспе арбитраж свежий на эту тему

 

[Volk_v_Shkure]

все пиздят логи у своих клиентов, стиллеры в паблик только ради этого и выкатывают =)

Ракун пиздит себе логи клиентов, на экспе арбитраж свежий на эту тему

дешевая рабочая сила, которая тебе за сабку деньги платит, так еще и логи вырезаются)
а когда упал тот самый жирный кошелечек, который не был вырезан - радуются, считая свои копейки и нахваливая какой замечательный стиллер, аналогов нет)

 

[Quake3]

Один правильный ответ, и то от флудера капибары.

Если релоков нет, а их, о ужас, в ехе до висты обычно и не было, то сам LoadPE грузится с другой базой, а пейлоад загружает по той, которая в ImageBase.

 

[BLUA]

Очевидно - не юзать говно стилак за 100usd.
Если вы платите за софт сотку не ждите от него чегото вообще.

Помоему безплатное куда лучше тоже что впаривают по 100-200usd

Тут на форуме чел на расте скинул сорцы

Можно пожалуйста ссылку на сорцы на расте ?

 

[akasix]

Можно пожалуйста ссылку на сорцы на расте ?

/threads/69584/

 

[vladvladelo]

Чем решилось?

Ракун пиздит себе логи клиентов, на экспе арбитраж свежий на эту тему

 

[DoppleKSE]

Один правильный ответ, и то от флудера капибары.

Если релоков нет, а их, о ужас, в ехе до висты обычно и не было, то сам LoadPE грузится с другой базой, а пейлоад загружает по той, которая в ImageBase.

Другой вариант, LoadPE реализуется шеллкодом + в начале шеллкода имеется функция SelfUnmap, пишется небольшой стартер для шеллкода, и запускает его, после чего шеллкод вызывает NtUnmapVeiwOfSection на текущую базу главного модуля, на этом этапе абсолютно все адресное пространство процесса становится свободным, дальше грузим PE по предпочтительному адресу - он гарантированно будет не занят. В этом случае нет нужды менять базу LoadPE, потому что он в шеллкоде и может располагаться по любым адресам в виртуальной памяти, да еще и освобождает базу стартера, который его вызвал.

 

[FlyProtection]

Не так в том, что логи пропадают резко хорошие, я не понимаю, как его ещё юзают. Мне говорили, что нахуй тебе ред, ведь ракун лучше, ну вот тебе и ракун, а так пацаны делайте свой стилер

 

[RojerK]

Любой стилер с логами на серваке автора это путь в никуда, вернее путь ваших битков в его кошель.

 

[Volk_v_Shkure]

глупо обижаться на паблик стиллер и на факт того, что там вырезаютс логи
как маленькие дети, ей богу)

 

[Volk_v_Shkure]

он и так вам дает заработать с лихвой, если со временем мозгов не хватает написать/заказать свой собственный и потом сидеть читать обиженные сообщения, что вырезаются логи - это смешно)