Анализ работы стиллера

  • Автор темы HHIDE_DUMP
  • Дата начала
  • Просмотры 3K
  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Тема с другого форума,но все-же интересно почитать.

Недавно мне перепал семпл инфостиллера, продающегося на андеграундных СНГ форумах с ценником в 3000 рублей. Грех было не разобраться, что да как тут работает.


Первичный анализ
Вес: 36.5 KB
Хеш SHA1: 96b8f20a7aeb3cc4773ebcc0e34d22e671749002899b1fe64939a28e230d131e

Зная СНГшных кодеров, первым делом я полез проверять удачу попыткой открыть билд в dotPeek’е и я ни капли не удивился, когда тот разобрал по-полочкам даже не обфусцированный толком (sic!) код:


Разбор тела
В билде используется встроенный компилятор .NET, который компилирует вложенный код (который запакован, кстати, в base64):


Взяв самую длинную строку и дважды прогнав через онлайн-декодер base64, был получен код лоадера (логин владельца копии стиллера пришлось прикрыть):

Разбор лоадера
Почему лоадера? Всё просто — малварь авторизовывается на удаленном сервере, получает в ответ код самого стиллера (без обфускации!) и компилирует его уже известным нам System.CodeDom.Compiler. Собираем из декодированного кода проект и отправляемся в Visual Studio.

Достаем код стиллера
Для следующего шага я создал новый проект C# Console Application и скопировал вытащенный из base64 код лоадера.


Сколько нужно лампочек строчек, чтобы выгрузить код самого стиллера с сервера? Столько (не бейте, я давно не писал на C#):

Просто втыкаем запись полученного кода в файл перед компиляцией (саму компиляцию я закоментировал) и всё — вы слили исходный код инфостиллера за 3к, вы восхитительны! Шутка, еще не конец.

Анализ кода стиллера
Если вы думаете, что на этом выгрузка файлов с сервера завершена, то вы ошибаетесь.

На этот раз нас ждет подгрузка рабочих DLL. Режем весь код стиллера и оставляем только саму загрузку необходимых файлов:

Получаем следующие файлы:

Идем в наш любимый DotPeek и декомпилим Decrypt.dll:

А вот теперь мы слили код стиллера.

Итог

Вот такую низкосортную малварь продают в наше время — не зная ровным счетом ничего об этом стиллере, буквально за пару минут был получен исходный код. В самом коде ничего занимательного не нашел — стилить данные из браузеров можно куда более простым путем. Моя субъективная оценка: троечка по десятибальной.

Ссылки

Исходный код билда, лоадера и стиллера на GitHub:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
 

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
И на этом форуме пытаються впарить низкосортный софт по 3-4к (в пример недавняя тема с ддосом)
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя