Обзор Стиллера КРОТ

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55

Добрый день дорогие читатели.
И снова ... в строю сарафанное радио. После долгого перерыва по известным вам обстоятельствам я решил тряхнуть стариной и написать небольшой разминочный обзор.

Блок ностальгии:
Многое изменилось за эти годы. Я не тот, форум не тот, друзей и коллег осталось совсем мало. И очень тяжело сейчас все вспоминать. Радует несомненно то, что наше дело продолжает жить в годах. Что нашлись люди готовые и способные продолжать этот труд. А я/мы... Ну кто кроме нас :)
Так что собираем сопли в крепкий мужской кулак, выдавливаем концентрат грубых мужских эмоций на чистый лист и понеслось.

О чем обзор:
На обзоре у нас сегодня стиллер под название КРОТ.
Оффициальный топик

Краткое описание:
Стиллер является нерезидентным, поэтому клиппер, кейлоггер, hvnc и т.п. добавлены в этот проект не будут.
Поддерживает все Windows, начиная с XP (Server 2003)
Полная поддержка юникода
Размер чистого билда: 75-80кб
Билд поставляется в двух вариациях: exe и dll (отдельный поток).

Функционал (рекурсия браузеров и wallet.dat выполняется в %localappdata%, %appdata%, выбор типа хранения куки в админке):
Сбор паролей, форм автозаполнения, куки, masked CC из практически всех Chromium-Based браузеров. Реализовано рекурсией
Сбор паролей, форм, автозаполнения, куки из практически всех Mozilla-Based браузеров. Также рекурсия, т.к. мой софт работает напрямую с key3.db (скоро добавлю key4.db), реестр ему не нужен, соответственно появляется возможность рекурсии. Thunderbird относится к этому же списку.
Сбор паролей Internet Explorer (версии 6-11).
Сбор учёток jabber - psi, psi+, pidgin
Сбор данных из credentials: outlook, rdp
Сбор криптокошельков: wallet.dat рекурсией, помимо этого: namecoin, monero, bytecoin, electrum, ethereum
Собирает переписку скайп. Формат: [Время] отправитель (получатель): сообщение
Собирает сессию Telegram
Собирает сессию Discord
Собирает сессию Battle.Net
Собирает Steam: ssfn, config.vdf, loginusers.vdf
Собирает ftp: FileZilla, WinSCP, TotalCommander, WsFtp
Собирает куки wininet в формате netscape
Делает скриншот экрана в формате .png
Имеется граббер файлов: включаю вам в билд, собирает с раб.стола (могу настроить удобные вам папки). В ближайшем будущем будет добавлен выбор в админке.
Собирает информацию о системе: разрешение экрана, раскладки клавиатуры, видеокарты, название и кол-во ядер процессора, текущее ЛОКАЛЬНОЕ время и часовой пояс, версия OS включая os edition, кол-во RAM, IP.
Лоадер: после отправки отчёта файл скачивается в память, далее несколько вариантов. Если в админке был выбран чекбокс resident, то файл записывается в temp, путь к файлу в PEB меняется, чтобы ваш софт смог заинсталлиться, скопировав себя куда ему нужно. Если файл x86 - loadpe в текущем процессе, если x64 и ос x64 - запуск cmd.exe, инжект туда используя wow64ext
Самоудаление после выполнения.
Обход файрволла на основе com-интерфейса Internet Explorer. Т.к. имеется малейшая вероятность того, что интерфейс не сработает, на запасной случай будет использован wininet.
Установка:
Тут писать особенно не о чем. Заливаем файлы на сервак. Создаем пользователя и базу данных. Заливаем дамп. Задаем в конфиге логин и md5(пароль) + ключик шифрования. Не забываем расставить права на папки и файлы согласно мануала.
Ну и вуаля. Перед нами админка Крота.







Анализ бинарника от Quake3:
Семпл весит 77.5кб, ничем не упакован, Peid почему-то считает, что софт написан на дельфи аж 3ьей версии , чего конечно же быть не может. Загружаем в exeinfope - показывает, что написано на Visual Studio 2015, что является более правдоподобным, т.к. автор пишет на Си.


В хидере файла указано, что запускатся он должен с NT 5.1 (т.е. начиная с ХР) и он действительно там работает. Поддержка ХР , с одной стороны, может и мало кому нужна, с другой - мало ли, какая еще машина в трафе попадется. Импорта нет, точнее только 1 апи, которая к функционалу стиллера не особо относится.



Загружаем файл в IDA. Большинство строк пошифровано, к этому вернемся позже. Из открытого - строки либы SQLITE, и какой-то ip-адрес . Сначала я думал, что это путь к админке, но это dns сервер для резольва .bit доменов.



Переходим к коду, общая структура программы такова:


Первая функция просто получает адрес РЕВ и сохраняет в переменную, это пригодится дальше. Далее, происходит расшифровка строк с помощью такого алгоритма:



Декриптятся имена библиотек (wininet,winsock,dnsapi,crypt32 и т.д.), которые дальше загружаются с помощью LoadLibraryEx. Поиск апи идет по хешам, заполняется структура с именами апи, после чего идет работа. Проверяется текущая локаль винды, если это СНГшная машина, софт самоудаляется (через cmd /c del ..). В противном случае стиллер делает свою основную работу, т.е. сбор инфы с браузеров и программ, установленых на компе. Работа с бд фаерфокса идет без скачивания доп. либ с админки (как было в азоре), парсер SQLITE реализован выборочно, т.е. софт не линкуется с огромным sqlite3.с (как видар). После отправки инфы в админку софт удаляет себя. Эксплоитов, обходов или иных способов поднимать привилегии в системе нет. Обходы UAC нет. Тихая работа обеспечивается исключительно за счет того, что бинарник не лезет куда не положено и не дергает никаких системных библиотек или вызовов.

Подготовка к тестированию:
Гребанная фигня. ...... {тут была куча матов}. Дольше всего я мудохался с настройкой виртуалок под это дело. Казалось бы - ничего сложного. Да и виртуалки были под рукой. Но вот автор изменил способ идентификации. Например, ранее пункт (не работает по РУ) действовал в зависимости от наличия русской раскладки в системе. А вот нынче он не раскладку ищет, а читает локализацию. Пришлось грустно закрыть имеющиеся виртуалки и заново накатить две системы. Более суток они дружно тянули обновления. И обновлялись. Казалось бы.... можно найти ситему с кумулятивными обновлениями. Но нет. Мы же с вами за честные тесты. Я скачал с офф сайта msdn образы. Установил. Обновил. Думал постарею за это время. Уффф. Выговорился.
Далее накатывался софт. Для теста я решил обкатать следующие пункты описания:
сбор данных с эксплорера
сбор данных с хрома
сбор данных с огнелиса
сбор данных с файлзиллы
сбор данных с тоталкоммандера (портативная версия)
сбор данных RDP
сбор данных electrum (портативныя версия)
сбор данных psi+ (портативныя версия)
На десятку бонусом поставил winscp

Тестирование:
На виртуалках запускался чистый выданный билд, размером 78,848 байт.

Первый тест - запуск на windows7 x64 от обычного пользователя.


Стартуем ииииии хрен там. Нет. Не совсем хрен. Алертов нет. Вообще никаких. Репорт в админке появляется. А вот в нем только данные с браузеров.



Идем к автору. Выясняется что в админке отображаются только пароли с браузеров. Нужно качать архив и в нем будет все остальное. По ходу еще выяснилось, что я не правильно установил права на каталоги. Странно, все делал по мануалу. Лады. Переделал все и запустил снова. Видим что появилась ссылка на скрин и на архив. Открываем архив = в нем только filezilla и браузеры. А где остальное???? Например "wallet.dat рекурсией".

[15:19:16] <Ar3s> win7 x64 msdn образ
[15:19:26] <Ar3s> Весь софт установлен с родных сайтов
[15:19:37] <Ar3s> psi+ и electrum портабл версии
[15:20:06] <monstercat> psi+ в %appdata% есть?
[15:20:12] <monstercat> electrum там есть?
Оказывается если юзать портабл версии то ничего не находит. Ладно. перебиваем еще раз софт на виртуалке. Тотал только не перебивал. Итак времени убил знатно.
Повторный запуск принес нам:
Пароли Firefox
Пароли CHrome
Пароли IE
Пароли Filezilla
Пароли PSI+
Файл default_wallet.dat
Нет в списке:
Totalcommander (это нормально. Тотал я оставил портабл)
RDP

Бонусом в архиве лежит скриншот экрана. Ну ок. Пароли верные. Куки даже лежат сохраненные в текстовые файлы.








Тест2 Win7 x64 админская учетка:
Перед тестом удалил все логи пришедшие ранее. Что бы просто не путаться.
Ситуация полностью повторилась. Специально перед стартом открыл rdp соединение что бы было видно, что оно сохранено в системе. :(
Хотя нет. Есть еще замеченный косяк. В админке отображает, что я пользователь. Хотя данный пользователь в группе админов.





Тест3 win10 x64 пользовательский аккаунт
Ну для начала у нас среагировал Defender. Смотрим скрины.





Ну да бог с ним. Файл не криптован. Допускаем.
Прилетает отчет в админку.

Пришло:
Firefox
CHrome
IE
Filezilla
PSI+
default_wallet.dat

Не пришло:
Totalcommander (это нормально. Тотал я оставил портабл)
RDP
WinSCP

Что интересно - куки из Microsoft edge не прилетают.










Тест4 win10 x64 админский аккаунт
О чудо! Появился winscp.
RDP так и не появились. Как не измелилась ошибка с определением роли пользователя в системе. Скрин сделан самим кротом.









Вот так выглядит архив-отчет со стиллера.


Специально после этого отчета загрузил еще раз кастрированного пользователя и проверил, а не забыл ли я в winscp сохранить учетку. Даже завел заново и повторил прошлый тест. ХренТоБЕ.

{Злобный смех за кадром!!!} Теперь я могу закрыть эти гребанные виртуалки и выдать коричневые комочки правды всем желающим!

1. Вот скажите мне друзья хорошие. Нахрена давать панельке адрес вида http://site.com/Ksdd239ty23h/тут_файлы ??? (а это требование автора)
Вы действительно считаете, что это помогает хоть как-то скрыть админку от посторонних глаз? Да я вам сразу скажу "Хрен там!". Давайте разбираться почему. От тупого пользователя или скана директорий это действительно скрывает админку. Ну мало шансов, что при скане папок кто-то будет искать каталог вида Ksdd239ty23h. Но у вас вобще часто сканят что-то кроме phpmyadmin и его разновидностей? Да и от аверов это ни капельки не скрывает ровным счетом ничего. Авер отследит запрос из системной функции и тут же отправит его в виде отчета для анализа в конторку. Пааабам. Вам трындец. Потому что не нужно иметь семи пядей во лбу, что-бы определить, что за софт юзается просто по форме автризации и ответам на стандартные имена файлов. На этом моменте вам выдают красную карточку в виде абузы и блока в браузерах.

2. Объясните мне убогому, зачем нужна админка в которой можно смотреть только пароли от браузеров? Ну вам же прилетают текстовые файлы. Ну распарсите их. Делов-то на пару часов. Возвращаемся к консоли и парсим десятки файлов? Нда. Прогресс ушел в регресс. А я пошел плакать в подушку :(((

3. Ни о какой полноте поиска и сбора данных говорить не приходится. Все что не в %localappdata%, %appdata% не найдется. Продукт рассчитан на хомячков.

4. Хотя нахрапом найти уязвимость в админке не вышло - жопой чую, что она есть. При таких параметрах передаваемых в адресной строке-то...



5. Вот тут хотел прямо по косточкам разнести продукт, но во-время остановился, дабы быть объективным. Остановила меня фраза Quake о том, что это лучший продукт на рынке!!! Остальные и того хуже!!! У меня мозг разорвало и потекла скупая мужская слеза. Где наши умельцы? Где наш уровень? Куда блин мы катимся? Если это лучшее - то хвалебной русской сцене и "русским хакерам" откровенный писец пришел. У меня еще теплится надежда, что действительно годные продукты есть, просто не в паблике. Но с другой стороны - а где же те приваты? Я повостанавливал аккаунты почти на всех форумах где был ранее. И знаете что? Нет там нихрена. Ситуция еще хуже чем на экс дамаге. Здесь хоть какой-то движняк еще присутствует.

Теперь о хорошем.
  1. Продукт реально работает. Не идеально, не прямо "ВАХ", но работает и возразить тут нечего. (Как сказал один мой знакомый: "Чего ты доебался? Ну работает же!")
  2. Шифрование данных кое-какое есть.
  3. Сам бинарник сделан не плохо. Работает тихо, строки пошифрованы. Размер файла вменяемый.
  4. Поддержка ssl/tls имеется.
  5. Отличная цена.
Пожелание автору - доделайте админку. Она на очень слабом уровне.

Отдельная благодарность Quake3, который провел анализ бинарника и является соавтором обзора!

p.s. by Ar3s специально для xss.is (ex damagelab.org). Все персонажи выдуманы. Все совпадения случайны. В результате написания обзора не пострадал ни один хомяк.
 
Последнее редактирование:

monstercat

Премиум
Premium
Регистрация
07.01.2019
Сообщения
6
Оценка реакций
5
Баллы
3
Непонятная ситуация только с WinSCP, действительно непонятная.
"Что интересно - куки из Microsoft edge не прилетают. " - Edge много обновляется последнее время, сейчас вроде хранение его основных данных остановилось на бд по такому пути: C:\Users\user\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Появится как только будет готово.
"А где остальное???? Например "wallet.dat рекурсией". - рекурсия в %appdata% и %localappdata% только проходит.
"Ни о какой полноте поиска и сбора данных говорить не приходится. Все что не в %localappdata%, %appdata% не найдется. Продукт рассчитан на хомячков. " - не нашло портабл версии и уже не полнота поиска? давайте мыслить логично и понимать, что софт должен собирать что-то конкретное, а для всего остального существует граббер файлов.
"Хотя нет. Есть еще замеченный косяк. В админке отображает, что я пользователь. Хотя данный пользователь в группе админов. " - админка отображает права, с которыми был запущен софт, а не роль пользователя в системе. Это нормальный результат.
По поводу RDP - в теме ясно описано, что его собирает только с Credentials. О других способах хранения софт пока что не знает.
По поводу админки ничего сказать не могу, постепенно её улучшаю, для кого-то она по-прежнему сырая, обновы будут улучшать эту ситуацию.
"Хотя нахрапом найти уязвимость в админке не вышло - жопой чую, что она есть " - на скрине показана активность уже ПОСЛЕ ВХОДА, в этом ничего критичного нету, хотя и этим займусь.
"Вот скажите мне друзья хорошие. Нахрена давать панельке адрес вида http://site.com/Ksdd239ty23h/тут_файлы ??? (а это требование автора)
Вы действительно считаете, что это помогает хоть как-то скрыть админку от посторонних глаз?" - чтобы ставить сколько угодно билдов на одном домене и ставить вместе с другими софтами, отдельная директория ничему не помешает.
 
Последнее редактирование:

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
monstercat
Хочу сказать вам спасибо за предоставленный для обзора продукт.
По последнему пункту скажу честно. Хотел найти уязвимость и даже отслеживал по файлам манипуляции с этими данными. Но по-быстрому не нашел как подкопаться. Там реально идет авторизация в первую очередь. А поступающие данные частично фильтруются. Но поймите и меня правильно. Это как минимум не красиво и не профессионально.
 

monstercat

Премиум
Premium
Регистрация
07.01.2019
Сообщения
6
Оценка реакций
5
Баллы
3
monstercat
Хочу сказать вам спасибо за предоставленный для обзора продукт.
По последнему пункту скажу честно. Хотел найти уязвимость и даже отслеживал по файлам манипуляции с этими данными. Но по-быстрому не нашел как подкопаться. Там реально идет авторизация в первую очередь. А поступающие данные частично фильтруются. Но поймите и меня правильно. Это как минимум не красиво и не профессионально.
Согласен, в ближайшее время буду приводить админку в порядок.
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Успехов вам в развитии продукта. Надеюсь обзор наведет вас на какие-то мысли по-поводу развития продукта и следующие версии будут только лучше.
 

AnusPoloskator

ExAllocatePoolWithWhores
Premium
Регистрация
08.02.2019
Сообщения
115
Оценка реакций
67
Баллы
23
Пожалуйста, обратите внимание, что пользователь заблокирован
Но с другой стороны - а где же те приваты
В сарафанном радио. То есть совсем в приватах. Почитав новости вполне ясно что есть годные софты, вот действительно не в пабликах.

А причина ухода в приваты людей в том, что покупатели - полные неадекваты. Вот можно посмотреть лоадер амадей на экспе. там автор вообще пишет что без сплойтов из системы в админ не перейти (лол что)

Amadey loader:
Если ехе запущен с правами system, guest или user то повысить права до administrator будет не возможно легальным способом
И вот еще это радует

+ Команда с сервера выделяется тегами, чтобы отфильтровывать лишний треш добавляемый некоторыми серверами
Возвращаемся к одному url, так как из-за трех падали показатели отстука
и 90% форумчан это схавали. И в чем смысл пилить что-то годное если все итак хавают (мнение рынка, не мое, в рынке не учавствую)?

Вот запилишь реально годноту, а никто не купит, потому что "дорога и вапще пайду юзать вон тот прадукт", так как там описание понятнее и автор приветливее.

Ну то есть, банально. Если спрос хавает некачественное предложение, не видя разницы между качественным и некачественным, то и предложению нет смысла делать что-то лучшее.

Имхо, деградация продолжится до тех пор, пока покупатели (кормильцы недософта) не перестанут хавать то что им дают
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
Имхо, деградация продолжится до тех пор, пока покупатели (кормильцы недософта) не перестанут хавать то что им дают
Ну так для этого должны быть такие как мы с вами. Кто разъяснит что шлак, а что нормальный продук. Что стоит своих денег, а где цена явно завышена.
 

Guron_18

(L3) cache
Пользователь
Регистрация
13.12.2018
Сообщения
168
Оценка реакций
149
Баллы
38
Кто разъяснит что шлак, а что нормальный продук.
Было б с чем сравнивать. А то, что вы там в голове у себя придумали мол так надо.... ну что могу сказать... пишите автору или создайте тему с "идеальным софтом" раз вы в курсе как оно должно быть)
Как говориться критикуешь-предлагай

З.ы. Такой себе обзор если честно. Как я понял со всего обзора это то, что там админка ниоч, не приходят где-то сессии RDP и eage... На счет портативных приложух дак их вроде никто никогда не искал. Пожалуй это все, что я понял из обзора)
 

elibala

floppy-диск
Пользователь
Регистрация
19.01.2019
Сообщения
5
Оценка реакций
0
Баллы
1
очень интересный обзор за что тебе спасибо и еще будь добр если есть возможность и время сделай обзор на стиллер балдр.
заранее благодарен )
 
Последнее редактирование модератором:

neut

CD-диск
Пользователь
Регистрация
21.03.2019
Сообщения
12
Оценка реакций
-2
Баллы
1
я так понимаю что после заражения к жертве будет рдп доступ? Каво?
 

som

floppy-диск
Пользователь
Регистрация
07.02.2019
Сообщения
4
Оценка реакций
5
Баллы
3
Странные вы конечно, да действительно КРОТ это наверное лучший поддерживаемый продукт в данное время представленный общественности.
Вот запилишь реально годноту, а никто не купит, потому что "дорога и вапще пайду юзать вон тот прадукт", так как там описание понятнее и автор приветливее.

Ну то есть, банально. Если спрос хавает некачественное предложение, не видя разницы между качественным и некачественным, то и предложению нет смысла делать что-то лучшее.
Дак запили и посмотрим. просто нету другого, есть какие-то недостиллеры которые себе в убыток берешь, спрос не хавает, предложений нету...

Конкуренция ведь двигает улучшением продуктов, а скажите кто КРОТу конкурент и есть ли такой?
 

Ar3s

Старожил форума
Легенда
Регистрация
30.12.2004
Сообщения
2 952
Оценка реакций
187
Баллы
55
я так понимаю что после заражения к жертве будет рдп доступ? Каво?
Нет. Это не так. Стиллер не дает RDP.


скажите кто КРОТу конкурент и есть ли такой?
Ну на слуху у всех видар. Но меня крайне сильно отговаривали на него смотреть. Сказали инфаркт может случиться и монитор слюной забрызгаю.
 

Quake3

генератор Зла
Модератор
Регистрация
03.11.2010
Сообщения
625
Оценка реакций
205
Баллы
45
Я смотрел билд видара в октябре (по словам кодеров, там конечно же все поменяли и переписали, ну как обычно :)). Там действительно будет:
Сказали инфаркт может случиться и монитор слюной забрызгаю.
Вот реверс https://fumik0.com/2018/12/24/lets-dig-into-vidar-an-arkei-copycat-forked-stealer-in-depth-analysis/

И да, мне крайне сомнительным выглядит концепция "хранить все логи на чужих серверах". Но, школьникам клиентам нравится, почему бы и нет.
 

AnusPoloskator

ExAllocatePoolWithWhores
Premium
Регистрация
08.02.2019
Сообщения
115
Оценка реакций
67
Баллы
23
Пожалуйста, обратите внимание, что пользователь заблокирован
som сказал(а):
Дак запили и посмотрим
А зачем мне что-то пилить? Чтобы кому-то что-то доказать?

Ну на слуху у всех видар. Но меня крайне сильно отговаривали на него смотреть. Сказали инфаркт может случиться и монитор слюной забрызгаю.
Видар даже юникод не поддерживает. Там кодил автор аркея. В принципе для возраста автора - довольно неплохо.

Quake3 сказал(а):
Но, школьникам клиентам нравится, почему бы и нет.
От школьника - школьникам. Логично, помоему
 

som

floppy-диск
Пользователь
Регистрация
07.02.2019
Сообщения
4
Оценка реакций
5
Баллы
3
А зачем мне что-то пилить? Чтобы кому-то что-то доказать?
Не надо не кому не чего доказывать, бес толку это. Я думал все таки есть тут люди которых идея ведет.
А видимо нет... Жаль, видать все так думаю, что если что-то создавать, то обязательно чтоб кому либо доказать что-то.
 

Sn@p

floppy-диск
Пользователь
Регистрация
19.03.2019
Сообщения
6
Оценка реакций
0
Баллы
1
Спасибо за обзор!
и будет ли обзор на балдр? очень интересно
 

F0xman

RAM
Пользователь
Регистрация
05.12.2018
Сообщения
122
Оценка реакций
68
Баллы
23

Sn@p

floppy-диск
Пользователь
Регистрация
19.03.2019
Сообщения
6
Оценка реакций
0
Баллы
1
Вам разве не хватает негативных отзывов на Балдр?
Он явно не заслужил обзора
на экспе почти их нет, а здесь не смотрел ещё

upd:здесь не вижу топ с продажей, на каком борде эти отзывы
 
Верх