User_User_User
Midle Weight
- Депозит
- $0
Возьми тачку, кидани туда 1 btc в метамаск, к примеру. Прогрузи их стиллак. И о чудо - лог не отстучит. Биток исчезнет. Потом можешь нам рассказать о своем эксперименте)
Runion
This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!
Raccon Stealer, и его странные проблемы
- Thread starter w11ns
- Start date
Это такой тип людей, им бесполезно что-то доказывать, они продолжают заливать свою идею, даже когда сами понимают, что ошибаются - "я не прав, но как же я могу это признать, нееет, не буду"
Volk_v_Shkure
Midle Weight
- Депозит
- $0
та не, я в самом начале уже всё написал, что пиздят логи абсолютно все))) ты дальше мне доказывать что-то начал)
вот и всё)
Многие хотят приват стиллер, но не у всех есть деньги и возможность нанять кодера под такое дело. Т.к. стоит это недешево, кодеров мало, ну и вообще. Поэтому, расскажу более простой вариант, как заиметь свой стилак, иной раз даже полуприват:
1. идете на малваре трекеры , в твиттер или на форумы, находите там билды стиллеров. Ведь если люди юзают какие-то приват версии, где-то они должны попадать в аверлабы. Если нет ничего приватного, можете взять билд того же ракуна или что там вам нравится.
2. находите реверсера (подойдет любой новичок, изучивший несколько уроков по Ида ), который найдет в малварке урл/айпи для отстука / загрузки логов и перебьет их на ваши. Также, чтобы понять протокол общения с сервером, хотя там в 99% обычный хттп(с) пост запрос.
3. с помощью какого-нибудь вебера или чат-гпт пишете простейший гейт для приема отчетов от стиллера, размещаете его на тех урл адресах, что вбили в пункте 2.
Повторять по мере выхода новых версий софта. Конечно, чисток и поддержки софта вы не получите, но зато логи точно не уйдут налево. Касаемо сложности - большинство малваре-кодеров не шифруют никакие урлы и прочие строки, и в 99% случаев поменять их может любой школьник с хекс редактором.
1. идете на малваре трекеры , в твиттер или на форумы, находите там билды стиллеров. Ведь если люди юзают какие-то приват версии, где-то они должны попадать в аверлабы. Если нет ничего приватного, можете взять билд того же ракуна или что там вам нравится.
2. находите реверсера (подойдет любой новичок, изучивший несколько уроков по Ида ), который найдет в малварке урл/айпи для отстука / загрузки логов и перебьет их на ваши. Также, чтобы понять протокол общения с сервером, хотя там в 99% обычный хттп(с) пост запрос.
3. с помощью какого-нибудь вебера или чат-гпт пишете простейший гейт для приема отчетов от стиллера, размещаете его на тех урл адресах, что вбили в пункте 2.
Повторять по мере выхода новых версий софта. Конечно, чисток и поддержки софта вы не получите, но зато логи точно не уйдут налево. Касаемо сложности - большинство малваре-кодеров не шифруют никакие урлы и прочие строки, и в 99% случаев поменять их может любой школьник с хекс редактором.
Volk_v_Shkure
Midle Weight
- Депозит
- $0
я раньше тоже пока сторонними наработками пользовался, тоже думал, что стиллер реализовать очень сложно
а так он быстренько пишется, даже если разработчик с подобным не сталкивался, но умеет думать, гуглить и просто хочет
а через chatgpt можно реализовать очень много всего интересного, опять же желание и вопрос подхода
пожалуйста подскажи урлы трекеров
Согласен, хотя стилер посложнее локера, но в сегодняшних реалиях, ничего сложного в разработке такого софта нет. Полно паблик сорцев типа того же lazagne, тут главное понять суть - о чем уже говорилось даже у нас на форуме сто раз. Тут не надо реверсить же.
это надо у других спрашивать, я редко смотрю новые билды, но то так https://any.run/malware-trends/ например, или искать в твиттере упоминание, потом хеш, потом людей, что по хешу качнут с виртотала или еще откуда.
Вопрос как сделать не говно, ибо любое новичковое самописаное будет в разы хуже чем любой за 100$ перепис StormKitty.
Даже с чат гпт.
Нужен опыт, нужен опыт в боевой эксплуатации, да тот же рантайм.
опыт везде нужен, тут не поспоришь; имею ввиду, что создать свой стилак / локер , не имея особо знаний, вполне реально. Это не банкбот же.
У 90% начинаются затыки уже на стадии сборки из слитых исходников ) сейчас очень мало кто хочет думать, возиться с переделыванием, доработкой
Как пример сколько развелось всяких чекеров на крипту и тд ) ну по сути ты сам же отдаёшь левым людям на чек свои логи) а потом начинается, тот пиздит логи , там пропала крипта
Раньше ручками всё чекали максимум софты выдергивали адреса ) а теперь и сбрутит тебе софт и баланс покажет(потом ещё без твоего ведома выведет )
Как пример забыл ник пассажира который тут раздавал фри чекер на сид фразы на питоне , первые версии нормальные, а потом все фразы после чека улетали ему , так ладно бы ещё в бесплатной версии , так такое же самое было и в платке
Короче тут или сам что-то делаешь или потом хрен найдёшь концов кто у кого что тырит, там столько рук левых , софт чужой, чекер чужой, крипт не понятно с чем склеен может быть на выходе ) а потом плачь что крипту увели)
netradicionnoiorientacii
Light Weight
- Депозит
- $-16
а какие малвар трекеры можешь посоветовать кроме аниран и триаге в данный час времени?
а вот азлорульту было поебать на рантайм, помнится мне накрыл его и оп оп оп и пошел профит..... эхххх были времена
Затестил, последняя версия обфускатора на LLVM9.0.1, у раста под капотом LLVM16.0.2 - нужно обновлять версию LLVM у обфускатора.
Красивый выхлоп на сишном коде:
Если кому нужно - могу собрать ваши исходники с обфускацией, пишите в личку.
Бро, это же всем известный от хикарая, либо плуто (что в целом то же самое), он старый, хоть и переносится на новые ллвм, для него даже под IDA скрипты для автоматической деобфускации есть.reqwest сказал(а):
Затестил, последняя версия обфускатора на LLVM9.0.1, у раста под капотом LLVM16.0.2 - нужно обновлять версию LLVM у обфускатора.
Красивый выхлоп на сишном коде:
Если кому нужно - могу собрать ваши исходники с обфускацией, пишите в личку.
Нажмите, чтобы раскрыть...
Deobfuscation: recovering an OLLVM-protected program
We recently looked at the Obfuscator-LLVM project in order to test its different protections. Here are our results, and explanations on how we deal with obfuscation.blog.quarkslab.com
К тому же если использовать любые опции кроме fla, ловишь Gen детекты (они уже засраны сильно, логика давно исследована, там есть повторяющиеся паттерны на которые идет детект), а fla снимается скриптами. Короче бесполезная это тема. Нужно писать свои собственные обфускаторы и морферы (на базе того же ллвм, но свои приватные), со своей логикой. Тогда будет и FUD и профит.
Maas - это крайне удобно, после нас начали появляться аналогичные проекты, по причине того, что в данной системе всё включено и все развивается.
У нас работает опытная команда и постоянно поддерживает продукт, а вот вопрос доверия уже остаётся за каждым.
Мне в 2018 говорили, что это работать не будет, но по итогу работает и доверие мы вроде заслужили за столько лет
Благодарю всех за ответы)
По правде выход из этой ситуации простой: попросить у клиента .dll версию.
Тут выдвинули правильные ответы, которые в голове так же у меня мелькали. Для меня такое изнурение(по типу загрузки loadpe на сторонний адрес в памяти, и освобождению 0x400000) - слишком. Да и хочется напомнить, что память 0x400000 может быть занята не только нашим loadpe. так же туда может быть загружен другой модуль, либо что ещё хуже PEB.-.
Ещё раз благодарю
По правде выход из этой ситуации простой: попросить у клиента .dll версию.
Тут выдвинули правильные ответы, которые в голове так же у меня мелькали. Для меня такое изнурение(по типу загрузки loadpe на сторонний адрес в памяти, и освобождению 0x400000) - слишком. Да и хочется напомнить, что память 0x400000 может быть занята не только нашим loadpe. так же туда может быть загружен другой модуль, либо что ещё хуже PEB.-.
Ещё раз благодарю