Возьми тачку, кидани туда 1 btc в метамаск, к примеру. Прогрузи их стиллак. И о чудо - лог не отстучит. Биток исчезнет. Потом можешь нам рассказать о своем эксперименте)
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Raccon Stealer, и его странные проблемы
- Автор темы 256Code
- Дата начала
Это такой тип людей, им бесполезно что-то доказывать, они продолжают заливать свою идею, даже когда сами понимают, что ошибаются - "я не прав, но как же я могу это признать, нееет, не буду"
та не, я в самом начале уже всё написал, что пиздят логи абсолютно все))) ты дальше мне доказывать что-то начал)
вот и всё)
Многие хотят приват стиллер, но не у всех есть деньги и возможность нанять кодера под такое дело. Т.к. стоит это недешево, кодеров мало, ну и вообще. Поэтому, расскажу более простой вариант, как заиметь свой стилак, иной раз даже полуприват:
1. идете на малваре трекеры , в твиттер или на форумы, находите там билды стиллеров. Ведь если люди юзают какие-то приват версии, где-то они должны попадать в аверлабы. Если нет ничего приватного, можете взять билд того же ракуна или что там вам нравится.
2. находите реверсера (подойдет любой новичок, изучивший несколько уроков по Ида ), который найдет в малварке урл/айпи для отстука / загрузки логов и перебьет их на ваши. Также, чтобы понять протокол общения с сервером, хотя там в 99% обычный хттп(с) пост запрос.
3. с помощью какого-нибудь вебера или чат-гпт пишете простейший гейт для приема отчетов от стиллера, размещаете его на тех урл адресах, что вбили в пункте 2.
Повторять по мере выхода новых версий софта. Конечно, чисток и поддержки софта вы не получите, но зато логи точно не уйдут налево. Касаемо сложности - большинство малваре-кодеров не шифруют никакие урлы и прочие строки, и в 99% случаев поменять их может любой школьник с хекс редактором.
1. идете на малваре трекеры , в твиттер или на форумы, находите там билды стиллеров. Ведь если люди юзают какие-то приват версии, где-то они должны попадать в аверлабы. Если нет ничего приватного, можете взять билд того же ракуна или что там вам нравится.
2. находите реверсера (подойдет любой новичок, изучивший несколько уроков по Ида ), который найдет в малварке урл/айпи для отстука / загрузки логов и перебьет их на ваши. Также, чтобы понять протокол общения с сервером, хотя там в 99% обычный хттп(с) пост запрос.
3. с помощью какого-нибудь вебера или чат-гпт пишете простейший гейт для приема отчетов от стиллера, размещаете его на тех урл адресах, что вбили в пункте 2.
Повторять по мере выхода новых версий софта. Конечно, чисток и поддержки софта вы не получите, но зато логи точно не уйдут налево. Касаемо сложности - большинство малваре-кодеров не шифруют никакие урлы и прочие строки, и в 99% случаев поменять их может любой школьник с хекс редактором.
я раньше тоже пока сторонними наработками пользовался, тоже думал, что стиллер реализовать очень сложно
а так он быстренько пишется, даже если разработчик с подобным не сталкивался, но умеет думать, гуглить и просто хочет
а через chatgpt можно реализовать очень много всего интересного, опять же желание и вопрос подхода
пожалуйста подскажи урлы трекеров
Согласен, хотя стилер посложнее локера, но в сегодняшних реалиях, ничего сложного в разработке такого софта нет. Полно паблик сорцев типа того же lazagne, тут главное понять суть - о чем уже говорилось даже у нас на форуме сто раз. Тут не надо реверсить же.
это надо у других спрашивать, я редко смотрю новые билды, но то так https://any.run/malware-trends/ например, или искать в твиттере упоминание, потом хеш, потом людей, что по хешу качнут с виртотала или еще откуда.
Вопрос как сделать не говно, ибо любое новичковое самописаное будет в разы хуже чем любой за 100$ перепис StormKitty.
Даже с чат гпт.
Нужен опыт, нужен опыт в боевой эксплуатации, да тот же рантайм.
опыт везде нужен, тут не поспоришь; имею ввиду, что создать свой стилак / локер , не имея особо знаний, вполне реально. Это не банкбот же.
У 90% начинаются затыки уже на стадии сборки из слитых исходников ) сейчас очень мало кто хочет думать, возиться с переделыванием, доработкой
Как пример сколько развелось всяких чекеров на крипту и тд ) ну по сути ты сам же отдаёшь левым людям на чек свои логи) а потом начинается, тот пиздит логи , там пропала крипта
Раньше ручками всё чекали максимум софты выдергивали адреса ) а теперь и сбрутит тебе софт и баланс покажет(потом ещё без твоего ведома выведет )
Как пример забыл ник пассажира который тут раздавал фри чекер на сид фразы на питоне , первые версии нормальные, а потом все фразы после чека улетали ему , так ладно бы ещё в бесплатной версии , так такое же самое было и в платке
Короче тут или сам что-то делаешь или потом хрен найдёшь концов кто у кого что тырит, там столько рук левых , софт чужой, чекер чужой, крипт не понятно с чем склеен может быть на выходе ) а потом плачь что крипту увели)
а какие малвар трекеры можешь посоветовать кроме аниран и триаге в данный час времени?
а вот азлорульту было поебать на рантайм, помнится мне накрыл его и оп оп оп и пошел профит..... эхххх были времена
Затестил, последняя версия обфускатора на LLVM9.0.1, у раста под капотом LLVM16.0.2 - нужно обновлять версию LLVM у обфускатора.
Красивый выхлоп на сишном коде:
Если кому нужно - могу собрать ваши исходники с обфускацией, пишите в личку.
Бро, это же всем известный от хикарая, либо плуто (что в целом то же самое), он старый, хоть и переносится на новые ллвм, для него даже под IDA скрипты для автоматической деобфускации есть.Затестил, последняя версия обфускатора на LLVM9.0.1, у раста под капотом LLVM16.0.2 - нужно обновлять версию LLVM у обфускатора.
Красивый выхлоп на сишном коде:
Если кому нужно - могу собрать ваши исходники с обфускацией, пишите в личку.
Deobfuscation: recovering an OLLVM-protected program - Quarkslab's blog
We recently looked at the Obfuscator-LLVM project in order to test its different protections. Here are our results, and explanations on how we deal with obfuscation.
blog.quarkslab.com
Последнее редактирование:
Maas - это крайне удобно, после нас начали появляться аналогичные проекты, по причине того, что в данной системе всё включено и все развивается.
У нас работает опытная команда и постоянно поддерживает продукт, а вот вопрос доверия уже остаётся за каждым.
Мне в 2018 говорили, что это работать не будет, но по итогу работает и доверие мы вроде заслужили за столько лет
- Автор темы
- Добавить закладку
- #55
Благодарю всех за ответы)
По правде выход из этой ситуации простой: попросить у клиента .dll версию.
Тут выдвинули правильные ответы, которые в голове так же у меня мелькали. Для меня такое изнурение(по типу загрузки loadpe на сторонний адрес в памяти, и освобождению 0x400000) - слишком. Да и хочется напомнить, что память 0x400000 может быть занята не только нашим loadpe. так же туда может быть загружен другой модуль, либо что ещё хуже PEB.-.
Ещё раз благодарю
По правде выход из этой ситуации простой: попросить у клиента .dll версию.
Тут выдвинули правильные ответы, которые в голове так же у меня мелькали. Для меня такое изнурение(по типу загрузки loadpe на сторонний адрес в памяти, и освобождению 0x400000) - слишком. Да и хочется напомнить, что память 0x400000 может быть занята не только нашим loadpe. так же туда может быть загружен другой модуль, либо что ещё хуже PEB.-.
Ещё раз благодарю