Сдается в аренду powershell бот с автоматической обфускацией. Все подробности под спойлерами.
Первый контакт - ЛС.
-Stealer. Собирает куки, логины, пароли и СС на Chromium и FF based браузерах, холодные криптокошельки, файлы телеграма, логины и пароли pidgin и PSI, данные для входа FTP из Filezilla, TotalCommander и WinSCP. Данные с хрома расшифровываются на боте с помощью DPAPI. В случае с фф файлы БД выгружаются в админку и расшифровываются с помощью стандартных либ самого фф.
-Grubber. Есть возможность задать пути и расширения файлов, после выполнения их поиска на боте выбираются нужные и производится их выгрузка. При помощи связки TV и Shell, можно точечно выгружать необходимые файлы, предварительно в реальном времени посмотрев расширения, пути и названия файлов.
-Socks. Поднимаете сокс на боте, подключаетесь к нему через релей, адрес и порт которого вам выдаст админка, на выходе имеете IP адрес самого бота. Работает на браузерах и антиках, не работает с proxifier. Если на самом боте нет никаких проблем со скоростью интернета или производительностью ПК, выдается приемлемая скорость, в районе 20-30 мбит/с.
-TV. Транслирует в панель все, что происходит на мониторе бота. Запускается параллельно с шеллом.
-Shell. Принимает любые powershell команды. Для разных команд сохраняется одна область видимости переменных. То есть, присвоив значение какой-либо переменной одной командой, эту переменную можно использовать в последующих командах. Шелл запускается с предварительно отключенным AMSI.
-Hidden browser. Является аналогом hvnc. Скрытно поднимает браузер с уже подгруженным в него профилем (а следовательно куками, паролями и тд) кх и предоставляет возможность удаленного управления им через панель. Никаких клиентов не требуется, весь функционал в вебе.
Видеопоток транслируется с помощью кодеков вместо распространенного варианта с отправкой скриншотов, что значительно уменьшает нагрузку на сеть, также имеется возможность налету изменять качество транслируемой картинки: изменять тип драйвера, cжатие, количество кадров в секунду, качество кадров, соотношение и др.
Модуль может работать в двух режимах:
Первый стандартный, в случае с ним браузер поднимается в headless моде, работает немного быстрее, но на некоторых сверхфродовых сервисах (прим. Coinbase) могут возникнуть нюансы с авторизацией/отработкой материала.
Второй - авторский, при его использовании для антифрод систем абсолютно все выглядит так, как будто на сайт зашел сам кх, что было протестировано на множестве контор (включая высокофродовые). Отлично подходит для работы с любым типом материала и отработки/регистрации ваших контор. Модуль работает только с chrominum based браузерами (Edge, Chrome, etc).
-Grubber. Есть возможность задать пути и расширения файлов, после выполнения их поиска на боте выбираются нужные и производится их выгрузка. При помощи связки TV и Shell, можно точечно выгружать необходимые файлы, предварительно в реальном времени посмотрев расширения, пути и названия файлов.
-Socks. Поднимаете сокс на боте, подключаетесь к нему через релей, адрес и порт которого вам выдаст админка, на выходе имеете IP адрес самого бота. Работает на браузерах и антиках, не работает с proxifier. Если на самом боте нет никаких проблем со скоростью интернета или производительностью ПК, выдается приемлемая скорость, в районе 20-30 мбит/с.
-TV. Транслирует в панель все, что происходит на мониторе бота. Запускается параллельно с шеллом.
-Shell. Принимает любые powershell команды. Для разных команд сохраняется одна область видимости переменных. То есть, присвоив значение какой-либо переменной одной командой, эту переменную можно использовать в последующих командах. Шелл запускается с предварительно отключенным AMSI.
-Hidden browser. Является аналогом hvnc. Скрытно поднимает браузер с уже подгруженным в него профилем (а следовательно куками, паролями и тд) кх и предоставляет возможность удаленного управления им через панель. Никаких клиентов не требуется, весь функционал в вебе.
Видеопоток транслируется с помощью кодеков вместо распространенного варианта с отправкой скриншотов, что значительно уменьшает нагрузку на сеть, также имеется возможность налету изменять качество транслируемой картинки: изменять тип драйвера, cжатие, количество кадров в секунду, качество кадров, соотношение и др.
Модуль может работать в двух режимах:
Первый стандартный, в случае с ним браузер поднимается в headless моде, работает немного быстрее, но на некоторых сверхфродовых сервисах (прим. Coinbase) могут возникнуть нюансы с авторизацией/отработкой материала.
Второй - авторский, при его использовании для антифрод систем абсолютно все выглядит так, как будто на сайт зашел сам кх, что было протестировано на множестве контор (включая высокофродовые). Отлично подходит для работы с любым типом материала и отработки/регистрации ваших контор. Модуль работает только с chrominum based браузерами (Edge, Chrome, etc).
-Полностью написан на powershell. За исключением нескольких вставок кода на C# для работы с WinAPI и либ, используемых для чтения БД и декрипта стиллдаты. Сами либы белые, никаких проблем с АВ не вызывают.
-Автоматическая обфускация билдов и всех модулей. Используется полноценный AST обфускатор с гибконастраиваемыми параметрами, под капотом уже все сконфигурировано под оптимальную работу с данным софтом. Обфускация модулей происходит в фоне раз в несколько минут. Также при обфускации скрипта в него добавляется логика отключения AMSI. Обфускация касается только ps файлов, если будете юзать exe или dll врапперы, то нужен дополнительный крипт.
-Стейджинг. Скрипты, выполняемые на боте, в плане стейджинга делятся на три категории: лаунчер, мейн скрипт и модули. Лаунчер вшит в билд, примерно такой же скрипт прописывается в систему после добавления бота в панель. Задача его в том, чтобы выгрузить из панели мейн скрипт и запустить его. В мейн скрипте по интервалу производится поллинг панели и запуск модулей. Информацию по модулям см. выше.
-Использование прокладок для скрытия адреса панели.
-Для удобства анализа источников трафика используются так называемые кампании. Работа с ними выглядит примерно следующим образом: создаем кампанию, под капотом конкретно под нее генерируется ссылка для превого отстука бота, она же вшивается в билд. Таким образом панель понимает с какого именно источника добавлен бот. В панели имеется стата и возможность фильтрации ботов по кампаниям. После пролива кампанию можно удалить, после чего все созданные для нее билды станут невалидными (уже добавленные боты никуда не пропадут), таким образом после завершения работы отсекаются всевозможные ресерчеры, они просто не смогут добавить бота в панель. Также при создании разных кампаний можно указывать разные прокладки, на которые будут стучать боты добавленные именно с этого билда.
-Обход детектов по сетевым сигнатурам. На каждой итерации поллинга панель генерирует боту новую одноразовую ссылку для следующего отстука или выгрузки модуля, если для бота висит какая-либо задача. Таким образом в панели нет статичного эндпоинта для общения с ботом, каждый последующий запрос будет производиться по уникальной ссылке. Также для шифрования трафика на каждой итерации генерируется рандомный ключ, следовательно, каждый отправляемый или получаемый пакет тоже будет уникальным.
-Персистенс. Использованный здесь способ закрепа характерен только для powershell, в нейтиве такого закрепа нет, этот способ менее заюзан, а значит менее палевный для АВ.
-ps1, exe, dll билды. Вес билда ~ 40кб. Может немного варьироваться, тк обфускатор использует много рандомных значений. Добавление дополнительных расширений по договоренности.
-Возможность прямо из панели отслеживать ход выполнения любых модулей через дебаг менеджер. Также включает в себя и лог ошибок при выполнении скриптов, что облегчит выявление проблем и их причин и фикс возможных багов.
-Красивая и удобная панель с множеством параметров фильтрации, статой, хелпом и возможностью добавления ботам тегов и комментов.
-Для повышения безопасности вход в панель осуществляется не только по логину и паролю, но и с указанием заранее заданного юзерагента. Все запросы без этого юа панелью будут проигнорированы.
-Автоматическая обфускация билдов и всех модулей. Используется полноценный AST обфускатор с гибконастраиваемыми параметрами, под капотом уже все сконфигурировано под оптимальную работу с данным софтом. Обфускация модулей происходит в фоне раз в несколько минут. Также при обфускации скрипта в него добавляется логика отключения AMSI. Обфускация касается только ps файлов, если будете юзать exe или dll врапперы, то нужен дополнительный крипт.
-Стейджинг. Скрипты, выполняемые на боте, в плане стейджинга делятся на три категории: лаунчер, мейн скрипт и модули. Лаунчер вшит в билд, примерно такой же скрипт прописывается в систему после добавления бота в панель. Задача его в том, чтобы выгрузить из панели мейн скрипт и запустить его. В мейн скрипте по интервалу производится поллинг панели и запуск модулей. Информацию по модулям см. выше.
-Использование прокладок для скрытия адреса панели.
-Для удобства анализа источников трафика используются так называемые кампании. Работа с ними выглядит примерно следующим образом: создаем кампанию, под капотом конкретно под нее генерируется ссылка для превого отстука бота, она же вшивается в билд. Таким образом панель понимает с какого именно источника добавлен бот. В панели имеется стата и возможность фильтрации ботов по кампаниям. После пролива кампанию можно удалить, после чего все созданные для нее билды станут невалидными (уже добавленные боты никуда не пропадут), таким образом после завершения работы отсекаются всевозможные ресерчеры, они просто не смогут добавить бота в панель. Также при создании разных кампаний можно указывать разные прокладки, на которые будут стучать боты добавленные именно с этого билда.
-Обход детектов по сетевым сигнатурам. На каждой итерации поллинга панель генерирует боту новую одноразовую ссылку для следующего отстука или выгрузки модуля, если для бота висит какая-либо задача. Таким образом в панели нет статичного эндпоинта для общения с ботом, каждый последующий запрос будет производиться по уникальной ссылке. Также для шифрования трафика на каждой итерации генерируется рандомный ключ, следовательно, каждый отправляемый или получаемый пакет тоже будет уникальным.
-Персистенс. Использованный здесь способ закрепа характерен только для powershell, в нейтиве такого закрепа нет, этот способ менее заюзан, а значит менее палевный для АВ.
-ps1, exe, dll билды. Вес билда ~ 40кб. Может немного варьироваться, тк обфускатор использует много рандомных значений. Добавление дополнительных расширений по договоренности.
-Возможность прямо из панели отслеживать ход выполнения любых модулей через дебаг менеджер. Также включает в себя и лог ошибок при выполнении скриптов, что облегчит выявление проблем и их причин и фикс возможных багов.
-Красивая и удобная панель с множеством параметров фильтрации, статой, хелпом и возможностью добавления ботам тегов и комментов.
-Для повышения безопасности вход в панель осуществляется не только по логину и паролю, но и с указанием заранее заданного юзерагента. Все запросы без этого юа панелью будут проигнорированы.
-Стоимость аренды 4к в месяц. Сервера и прочую инфраструктуру предоставляем мы сами.
-Софт сдается в аренду одновременно только в 5 рук.
-Запрещается добавление ботов без использования прокладок.
-По дефолту предоставляем одну прокладку. За отдельную плату можем выдать дополнительные.
-Возможность разработки и добавления каких-либо дополнительных модулей персонально под ваши цели оговаривается отдельно.
-Также по договоренности можем разработать и добавить дополнительные расширения для билдов.
-При выявлении каких-либо проблем в работе софта обещать успешное их исправление можем только в случае предоставления вами шагов для моделирования данной проблемы. При обращении вроде "один раз видел, что что-то пошло не так, но не знаю что именно" результат обещать не можем, но все же сделаем все возможное с нашей стороны.
-Софт не работает в странах СНГ.
-Запрещается использование софта для пентеста, перемещения по сети и любых прочих действий, как-либо связанных с рансомом. Следить за вами, разумеется, никто не будет, но если где-то подобная информация всплывет, последует прекращение предоставления услуг без манибека. В любом случае, по описанию понятно, что это далеко не идеальный продукт для использования его конкретно под red team, для этого есть более подходящие софты.
-Запрещается слив любых компонентов софта в паблик или на VT и подобные конторы. За этим также последует отключение без манибека.
-Софт сдается в аренду одновременно только в 5 рук.
-Запрещается добавление ботов без использования прокладок.
-По дефолту предоставляем одну прокладку. За отдельную плату можем выдать дополнительные.
-Возможность разработки и добавления каких-либо дополнительных модулей персонально под ваши цели оговаривается отдельно.
-Также по договоренности можем разработать и добавить дополнительные расширения для билдов.
-При выявлении каких-либо проблем в работе софта обещать успешное их исправление можем только в случае предоставления вами шагов для моделирования данной проблемы. При обращении вроде "один раз видел, что что-то пошло не так, но не знаю что именно" результат обещать не можем, но все же сделаем все возможное с нашей стороны.
-Софт не работает в странах СНГ.
-Запрещается использование софта для пентеста, перемещения по сети и любых прочих действий, как-либо связанных с рансомом. Следить за вами, разумеется, никто не будет, но если где-то подобная информация всплывет, последует прекращение предоставления услуг без манибека. В любом случае, по описанию понятно, что это далеко не идеальный продукт для использования его конкретно под red team, для этого есть более подходящие софты.
-Запрещается слив любых компонентов софта в паблик или на VT и подобные конторы. За этим также последует отключение без манибека.
