• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Анализ стиллера от xZist

ims0rry

Omae wa mou shindeiru
ims0rry

ims0rry

Omae wa mou shindeiru
Местный
Сообщения
119
Реакции
679
0 руб.
Jabber
Please note, if you want to make a deal with this user, that it is blocked.

Оригинал статьи -
Для просмотра содержимого вам необходимо авторизоваться.


Вся информация предоставлена исключительно в ознакомительных целях. Ни администрация, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Дисклеймер
Билд был выдан мне на DW для проверки. Автор софта согласился на анализ:
2a0773f343ef147d456ba.png

0c1b58655b6ff0e1676cc.png

Анализ файла
Сам билд представляет из себя SIM инсталлятор:
Gj70hS4lTk6Kbrlbn8jHdA.png

При запуске запрашивает админ права. После запуска дропает следующие файлы в %appdata%:
zHL6XNHARH6TO019D7hjWA.png

Uninstall-файлы это удалятор от SIM, текстовый документ с именем ПК - лог (который почему-то пустой, хотя на виртуалке в хроме были пароли), SQLite дллки - для работы с БД браузеров, System Disk - сам стиллер:
49277c1cb6fb3cc514ea2.png

Сразу тянется рука к дотпику, и не зря:
8be9902d28e33fda1d81d.png

Сервер
Вот так просто можно получить исходный код этого стиллера. Но это не самое важное, ведь софт делается с прикольной, между прочим, идеей - отсылка логов в телеграм бота. Мне в этом плане все очень понравилось.

Единственное НО (а может и не единственное) - для бота нужен сервер => логи хранятся на сервере разработчика и вообще билды зависимы от него. Да, но селлер предлагает так же делать билды с привязкой на почту. Это нас не интересует, поэтому разберемся с сервером.

Видим в конце каждой функции стиллинга (они почему-то разные под все хромиум-браузеры, хотя можно сделать в одном методе):
f3c3f44197ed39a84f630.png

Тут идет отсылка логов на сервер и дальнейшая их идентификация.

Интересно, а что будет если туда залить не лог, а какой-либо другой файл? К примеру, обычный .php файл с выводом произвольного текста. Просто дублируем строку:
tbQFVsxlRMekGWR-UKob8A.png

Запускаем и проверяем результат:
472d4bc65b4e7663115aa.png

Сорри, но у вас RFI. То есть, любой желающий, может разреверсить билд (прошу заметить, код не защищен ничем, как писал автор - его это устраивает), залить шелл на хост и забирать себе втихую чужие логи. Для проверки заливаем (вообще залил @Qutrachka, но только в образовательных целях) шелл b374k и пробуем отыскать логи:
q-lhbhstQlWllGrjSxKcdw.png

Прошу заметить, можно получить доступ не только к логам, а полностью к управлению всем стиллером и хостом.

Вывод
Сама идея очень хороша, но реализация, мягко говоря, хромает. Надеюсь, кодер обратит внимание на свои косяки и закроет их (в таком случае я бы и сам поюзал подобный продукт).

Ссылки
Исходник + семплы - https://github.com/ims0rry/xZist-Stealer
Продажник -
Для просмотра содержимого вам необходимо авторизоваться.
 
Досвидания RMS!!! | Приватный стиллер+кейлоггер шлющий логи на почту
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу