Ботнет URI от Alinchok (Dendimirror) или как продать воздух
https://t.me/hackblogДо последнего откладывал разбор этого около-паблика за, мать его, 20 000 рублей. Ну вот не хотелось мне лезть в это и все, но сегодня мне переслали следующее:
[Forwarded from Dendimirror [Писать @Alinchok по установке бота]]
Низкосортная малварь...эх, а я помню, как он ещё что-то мне говорил, что я гавнокодер
Сори, бомбануло. Мало того, что человек не вник в текст поста и не понял, что речь шла о том, что отсутствие сохранения паролей в Thanatos малварьхантеры посчитали багом, так еще и на полном серьезе считает себя чуть ли не богом C#. Начинаем спускать с небес нашу пташку.
Этап первый — разбор продажника
Давайте для начала вчитаемся в то, что нам расписывает селлер этого «замечательного» продукта.
> Автозагрузка (уникальный метод)
Вот это достоинство, наконец то C#-кодеры научились пользоваться планировщиком задач
Настолько «уникальный» метод, что наш бог C#-кодинга не додумался запускать сразу schtasks и передавать готовые параметры — он с собой еще и cmd.exe тащит.
> Скрытие от таких диспетчеров задач: (Стандартный, ProcessHacker, ProcessMonitor, PcHunter)
Всё, что вам нужно знать — все без исключения "кодеры" на СНГ рынке (опять таки, не считая exploit'а) проверяют наличие диспетчеров задач с помощью ИМЕНИ, СУКА, ПРОЦЕССА среди запущенных процессов. Недобот дендика - не исключение.
> Отправка файлов конкретному компьютеру и запуск этого файла
>Отправка файлов всем ботам, которые находятся онлайн и запуск этого файла
>Отправка файлов всем ботам из конкретной страны
По факту это стандартный функционал лоадера, который еще и лагает — заливали установки через это "чудо" — периодически приходили повторы, причем из 100 их могло достигать 15-20. Ай-ай-ай, дендик.
>Удаленное управление процессами на компьютере бота
Учитывая, что байпасить UAC дендик все еще не научился, юзлес функция.
>Получение сетевой информации о боте (ip, страна , город, область)
Реализовано через сторонний сервис — ipinfo.io — заслуги кодера тут совершенно никакой. Написать на шарпе ридер json — ох, как же это ТЯЖЕЛО.
>Обход проактивной защиты
Ложь, в коде нет НИ-ЧЕ-ГО даже намекающего на попытки обойти антивирусные решения.
>Выполнение удалённо на компьютере жертвы C#-команд, VB-скриптов, PowerShell-команд, BAT-файлов
Опять таки, бесполезная вещь — не представляю себе сценария, в котором мне понадобилось бы выполнять C#-КОМАНДЫ(что вообще имел ввиду алинчок, когда писал это) или vb/ps/bat скрипты на машине, если у меня есть возможность залить на неё бинарник.
>Кража Логинов и Паролей с 8 браузеров - СТИЛЛЕР
Теперь в URI встроен тот самый легендарный стиллаер
За полгода в этом недостиллере ничего не поменялось - он все так же стилит данные только из дефолтных учеток браузера:
Подробнее о разборе этого "стиллера" вы можете прочитать по ссылке: https://foxovsky.ru/all/analiz-raboty-stillera-ot-dendimirror-alinchok/
>Кража Bitcoin-файлов с сервисов Bitcoin, Litecoin (wallet.dat)
Собирает только по стандартным путям и имени wallet.dat. Гениально, денди, это достойно звания "лучший кодер c#".
>Run Silient app(true)
Скопировал с какого то другого продажника, решил не переводить даже, ибо не знает что написал. Опять таки, в коде нету даже намека на канон silient app.
Если вы до сюда дочитали и хотя бы немного разбираетесь в популярных C# open source малварях, то уже поняли, что мы имеем дело с переписанным QuasarRAT, хотя дендик это отрицает.
Этап второй — слив исходников
На этот раз я даже не буду расписывать, что через что нужно прогнать, чтобы из билда, который выдает дендик, можно было получить чистенький билд, который легко разбирается dootpeek'ом. Я правда надеялся, что за полгода этот "бог c# кодинга" хотя бы чуть-чуть поднимет свои навыки в разработке — сменит среду на C++ хотя бы. Но нет, зачем стараться, если есть контакты с админами(которые потрут все недовольные отзывы) и в .NET Framework'е все идет из коробки — просто напиши что и как должно себя вести. Я даже не хочу придираться к коду — в нем ничего с моего августвоского разбора их ТОПОВОГО(нет) СТИЛЛЕРА не изменилось. Просто держите исходники и, если вы владелец этого ПРОДУКТА, можете бежать накатывать блеки и просить манибек.
Исходники доступны по ссылке: https://github.com/foxovsky/Dendimirror_URI
@foxovsky специально для @hackblog
Канал: @hackblog
Чат: @hackblogchat