Loki Bot

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55

Что бы как-то порадовать читателей форума решил провести небольшой обзор продукта который у нас проходил проверку.
Итак, встречаем Loki Bot - Password & Coin Wallet Stealer.
Со мной связался автор поста с жабы carter@jabster.pl и попросил провести проверку. Мной был получен следующий набор файлов:
1. бинарник самого бота настроенный на оговоренный ранее url (57,3 кб.)
2. админка с файлом инсталлятора (10.1 мб, 203 файла, 14 папок)
3. некий CoinInspector с небольшим мануалом
4. отдельным архивом набор coin клиентов

Я начал с установки админки. Все оказалось просто, но я шел не по тому пути, что в мануале. Ручками создавал БД и пользователя через phpmyadmin, а затем приступал к инсталлятору. Приведенный пример создания БД и пользователя из мануала средствами sql запроса считаю не корректным. Первое, что бросилось в глаза после установки - это форма авторизации. Рис.1 Я все конечно понимаю, cекюрность и все такое. Но первые две капчи я разгадать не смог. Кстати, капча чувствительна к регистру.

Далее тест был отложен мной ввиду написания обзора по h1n1. Но через несколько дней возобновлен.
Первым делом была открыта юзанная виртуалка с дефолтно-установленными старыми версиями браузеров. Оперативно был докачан биткоин-клиент electrum (установочная версия и отдельно standalone-версия), filezilla (был добавлен аккаунт в сохраненные).
Произвел первый запуск бинарника и спустя несколько мгновений получил отчет в админку.

Рис.2 Main Рис.3 HTTP Рис.4 FTP Рис.5 wallet Рис.6 reports Рис.7 reports открытый Рис.8 settings Рис.9 admin settings

На этом этапе отписался в топе, что продукт имеется и более подробная информация будет позднее. На следующий день подготовка была проведена более тщательно. Все версии браузеров были обновлены до самых актуальных (в каждом браузере был произведен логин на демо овнклоуда с сохранением введенного пароля), затем слит и установлен дефолтный биткоин-клиент (запущен и заведен кошель), и два ftp клиента из списка (GoFTP, FlashFXP). В каждом клиенте добавляем по одному тестовому сохраненному аккаунту.
После всех подговоток были попытки запуска билда. По-началу я подумал, что с сетью поблемы. Отчеты пришли лишь частично. То два браузера, то к ним присоединились ftp клиенты, но биткоины появились сразу. Было решено произвести чистый тест. Все отчеты в БД были почищены, все сохраненные логи удалены. После этого был произведен контрольный запуск. В результате работы получены следующие данные:

Рис.10 vmware Рис.11 main Рис.12 http Рис.13 ftp Рис.14 wallet Рис.15 reports

Результаты несколько удивили. К примеру в опере были сохранены 3 записи а пришло только 2. Рис.16 Opera saved passwords
Отчет по flashFXP вообще не появился (кстати его не было и в предварительных запусках). Рис.17 Окно FlashFXP
На вкладке коинов в графе балланс стояли прочерки. Предположительно - балланс не считывается иначе там были бы ноли. Хотя может так задумано автором...

Все отчеты по коинам были сохранены на компе для детального рассмотрения.
Итак с электрума пришел отчет в виде xml файла.
Код:
{
    "accounts": {
        "0": {
            "change": [
                "порезано", 
            ], 
            "receiving": [
                "порезано", 

            ], 
            "xpub": "xpub661MyMwAqRbпорезаноxf1UoM4tnsQK1exvN5EpMM6BF6aViUj7bAsHmr6j8bHdonGP3"
        }
    }, 
    "accounts_expanded": {}, 
    "master_private_keys": {
        "x/": "PvdpDRTxdE+gпорезаноAafjOX37jJ8quCpMioxltVaOVbRh8/YpEAJYn+3ZxhpcUrypmcylRTAI/lirG16ljOsvWпорезаноck9gl+xFzUKqwCeKzyv7arek="
    }, 
    "master_public_keys": {
        "x/": "xpub661MyMwAqпорезаноxf1UoM4tnsQK1exvN5EpMM6BF6aViUj7bAsHmr6j8bHdonGP3"
    }, 
    "pruned_txo": {}, 
    "seed": "kP2JFGttO6XfomпорезаноTaR6Fij+eoqrhf2nEyq1gZI5gHlAv8L3uugVSn9ZQ==", 
    "seed_version": 11, 
    "transactions": {}, 
    "txi": {}, 
    "txo": {}, 
    "use_encryption": true, 
    "wallet_type": "standard"
}
С классического клиента - бинарный файл.
Отчеты были залиты на виртуалку с целью анализа имеющимся в комплекте софтом (CoinInspector). Запуск последнего результатов не принес. Вылезло сообщение что на виртуалках он не работает. Запускать на реальной машине желания не было никакого.

Отдельно хочется рассказать про бинарную часть. Запускается с текущими правами. Не имеет никаких методов повышения привилегий. Работает в течении 3-15 секунд и благополучно завершается. ЯП предположительно Microsoft Visual C++ 6.0 - 8.0 . Энтропия 6.46. Упаковщик не обнаружен.

Ну и отдельно нужно рассказать про дополнительный архив с клиентами.
<DIR> AsicCoin
<DIR> Bitcoin
<DIR> Dash
<DIR> Devcoin
<DIR> MultiBit
<DIR> MultiDoge
<DIR> Namecoin
<DIR> Quarkcoin
anoncoind.exe
infinitecoind.exe
ixcoind.exe
litecoind.exe
novacoind.exe
ppcoind.exe
primecoind.exe
terracoind.exe
Я насчитал 15 клиентов. Хотя в топике заявлена поддержка 31-ой разновидности коинов. Остальное лениво было заливать?

Итоги: Бот имеется. Админка имеется. Дополнительное вспомогательно ПО имеется.
Соответствие топику - частичное. Из проверенного ПО пароли грабились не полностью. Часть ПО граббер не обработал вообще.
Вывод: требуется доработка напильником до состояния законченного и актуального продукта.
 

AD0

HDD-drive
Пользователь
Регистрация
11.06.2011
Сообщения
34
Оценка реакций
1
Баллы
15
Разложил, а то я чет покосился на него даже :) Спасямба!
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Меня вчера ночью (1:30) осенило что за косяк вышел с оперой.
Оно мне в админку лило пароли сохраненные еще в старой версии. А пароль сохраненный после обновления не шел. Вероятнее всего там заложен алгоритм "до первого совпадения". Нашел пароли из старой версии, поиск окончился. О том что на компе может стоять несколько версий, или что браузер обновился бот не думает. И значит новые пароли (актуальные) грабить не будет. Будет постоянно сливать трэш (возможно не актуальный уже) из старых версий браузеров. А из обновлений брать не будет.
 

pic4a

HDD-drive
Пользователь
Регистрация
10.01.2015
Сообщения
28
Оценка реакций
0
Баллы
8
Не смотрелось, насколько сбор похож на сбор от pony?

P.S. данные в json, не xml.
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Лицензии на пони у меня нет. А сравнивать с паблик версией прошлого года было бы глупо.
По принципу работы - есть много общего, но это не клон, основанный на паблик сорцах. Судить более детально без реверса сложно.
 

zGesser

HDD-drive
Пользователь
Регистрация
11.05.2015
Сообщения
30
Оценка реакций
12
Баллы
13
как же я люблю обзоры нашего админа
 

lokistov

HDD-drive
Пользователь
Регистрация
29.03.2015
Сообщения
25
Оценка реакций
0
Баллы
8
Chrome and Flashfxp fixed.
The more version problem is only in VM. In normal sytem it steal from all version. Today i will upload some pic.
 

instr0ne

RAID-массив
Пользователь
Регистрация
17.05.2015
Сообщения
50
Оценка реакций
1
Баллы
13
А мессенджеры он не поддерживает?
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Зайдите в топик. Там опубликован полный список того что поддерживается.
 

lokistov

HDD-drive
Пользователь
Регистрация
29.03.2015
Сообщения
25
Оценка реакций
0
Баллы
8
Current supported clients list:

Supported Browsers:
- Internet Explorer
- Mozilla Firefox
- Google Chrome
- K-Meleon
- Comodo Dragon
- Comodo IceDragon
- SeaMonkey
- Opera
- Safari
- CoolNovo
- Rambler Nichrome
- RockMelt
- Baidu Spark
- Chromium
- Titan Browser
- Torch Browser
- Yandex.Browser
- Epic Privacy Browser
- Sleipnir Browser
- Vivaldi
- Coowon Browser
- Superbird Browser
- Chromodo Browser
- Mustan Browser
- 360 Browser
- Cyberfox
- Pale Moon

Supported FTP/VNC clients:
- Total Commander
- FlashFXP
- FileZilla
- FAR Manager
- CyberDuck
- Bitvise
- NovaFTP
- NetDrive
- NppFTP
- FTPShell
- SherrodFTP
- MyFTP
- FTPBox
- FtpInfo
- Lines FTP
- FullSync
- Nexus File
- JaSFtp
- FTP Now
- Xftp
- Easy FTP
- GoFTP
- NETFile
- Blaze Ftp
- Staff-FTP
- DeluxeFTP
- ALFTP
- FTPGetter
- WS_FTP
- AbleFTp
- Automize
- RealVNC
- TightVNC
- Syncovery
- mSecure Wallet
- SmartFTP
- FreshFTP
- BitKinex
- UltraFXP
- FTP Rush
- Vandyk SecureFX
- OdinSecure FTP Expert
- Fling
- ClassicFTP
- Maxthon browser
- Kitty(login+private key)
- WinSCP

Supported E-mail clients:
- Outlook (2003-2013)
- Mozilla Thunderbird
- Foxmail
- Pocomail
- Incredimail
- Gmail Notifier Pro
- SNetz Mailer
- Checkmail
- Opera Mail
- FossaMail
- MailSpeaker
- yMail


Supported IM clients:
- Pidgin

Supported Poker clients:
- Full Tilt Poker
- PokerStars

Supported Cryptocoin:
- Bitcoin
- Litecoin
- MultiBit
- Electrum-BTC
- Electrum-LTC
- Armory
- Namecoin
- Ufasoft
- PPCoin
- Blockchain
- Ixcoin
- Feathercoin
- NovaCoin
- Primecoin
- Terracoin
- Devcoin
- Digitalcoin
- Anoncoin
- Worldcoin
- Quarkcoin
- Infinitecoin
- DogeCoin
- AsicCoin
- LottoCoin
- DarkCoin
- BitShares
- MultiDoge
- Monacoin
- BitcoinDark
- Unobtanium
- Paycoin
 
Верх