Ботнет URI от Alinchok (Dendimirror) или как продать воздух

До последнего откладывал разбор этого около-паблика за, мать его, 20 000 рублей. Ну вот не хотелось мне лезть в это и все, но сегодня мне переслали следующее:

[Forwarded from Dendimirror [Писать @Alinchok по установке бота]]

Низкосортная малварь...эх, а я помню, как он ещё что-то мне говорил, что я гавнокодер

Сори, бомбануло. Мало того, что человек не вник в текст поста и не понял, что речь шла о том, что отсутствие сохранения паролей в Thanatos малварьхантеры посчитали багом, так еще и на полном серьезе считает себя чуть ли не богом C#. Начинаем спускать с небес нашу пташку.

Этап первый — разбор продажника

Давайте для начала вчитаемся в то, что нам расписывает селлер этого «замечательного» продукта.

> Автозагрузка (уникальный метод)

Вот это достоинство, наконец то C#-кодеры научились пользоваться планировщиком задач

Настолько «уникальный» метод, что наш бог C#-кодинга не додумался запускать сразу schtasks и передавать готовые параметры — он с собой еще и cmd.exe тащит.

> Скрытие от таких диспетчеров задач: (Стандартный, ProcessHacker, ProcessMonitor, PcHunter)

Всё, что вам нужно знать — все без исключения "кодеры" на СНГ рынке (опять таки, не считая exploit'а) проверяют наличие диспетчеров задач с помощью ИМЕНИ, СУКА, ПРОЦЕССА среди запущенных процессов. Недобот дендика - не исключение.

> Отправка файлов конкретному компьютеру и запуск этого файла

>Отправка файлов всем ботам, которые находятся онлайн и запуск этого файла

>Отправка файлов всем ботам из конкретной страны

По факту это стандартный функционал лоадера, который еще и лагает — заливали установки через это "чудо" — периодически приходили повторы, причем из 100 их могло достигать 15-20. Ай-ай-ай, дендик.

>Удаленное управление процессами на компьютере бота

Учитывая, что байпасить UAC дендик все еще не научился, юзлес функция.

>Получение сетевой информации о боте (ip, страна , город, область)

Реализовано через сторонний сервис — ipinfo.io — заслуги кодера тут совершенно никакой. Написать на шарпе ридер json — ох, как же это ТЯЖЕЛО.

>Обход проактивной защиты

Ложь, в коде нет НИ-ЧЕ-ГО даже намекающего на попытки обойти антивирусные решения.

>Выполнение удалённо на компьютере жертвы C#-команд, VB-скриптов, PowerShell-команд, BAT-файлов

Опять таки, бесполезная вещь — не представляю себе сценария, в котором мне понадобилось бы выполнять C#-КОМАНДЫ(что вообще имел ввиду алинчок, когда писал это) или vb/ps/bat скрипты на машине, если у меня есть возможность залить на неё бинарник.

>Кража Логинов и Паролей с 8 браузеров - СТИЛЛЕР

Теперь в URI встроен тот самый легендарный стиллаер

За полгода в этом недостиллере ничего не поменялось - он все так же стилит данные только из дефолтных учеток браузера:

Подробнее о разборе этого "стиллера" вы можете прочитать по ссылке: https://foxovsky.ru/all/analiz-raboty-stillera-ot-dendimirror-alinchok/

>Кража Bitcoin-файлов с сервисов Bitcoin, Litecoin (wallet.dat)

Собирает только по стандартным путям и имени wallet.dat. Гениально, денди, это достойно звания "лучший кодер c#".

>Run Silient app(true)

Скопировал с какого то другого продажника, решил не переводить даже, ибо не знает что написал. Опять таки, в коде нету даже намека на канон silient app.

Если вы до сюда дочитали и хотя бы немного разбираетесь в популярных C# open source малварях, то уже поняли, что мы имеем дело с переписанным QuasarRAT, хотя дендик это отрицает.

Этап второй — слив исходников

На этот раз я даже не буду расписывать, что через что нужно прогнать, чтобы из билда, который выдает дендик, можно было получить чистенький билд, который легко разбирается dootpeek'ом. Я правда надеялся, что за полгода этот "бог c# кодинга" хотя бы чуть-чуть поднимет свои навыки в разработке — сменит среду на C++ хотя бы. Но нет, зачем стараться, если есть контакты с админами(которые потрут все недовольные отзывы) и в .NET Framework'е все идет из коробки — просто напиши что и как должно себя вести. Я даже не хочу придираться к коду — в нем ничего с моего августвоского разбора их ТОПОВОГО(нет) СТИЛЛЕРА не изменилось. Просто держите исходники и, если вы владелец этого ПРОДУКТА, можете бежать накатывать блеки и просить манибек.

Исходники доступны по ссылке: https://github.com/foxovsky/Dendimirror_URI

@foxovsky специально для @hackblog

Канал: @hackblog

Чат: @hackblogchat