Агония

С 2021-го года много что поменялось... Мы смогли повлиять на рынок вредоносного ПО. Говоря "мы", я не имею в виду, что у меня была какая-то команда с самого начала, просто есть заслуга тех, кто пользовался моими кряками, а таких было достаточно много. Эти люди распространяли мои кряки по форумам, проливали трафик на экземпляры с моей "LLCPPC" меткой, что со временем заметили Threat Intelligence компании. Но рынок трансформировался... В некоторых местах в худшую сторону (в мою пользу), в некоторых - в лучшую. Что логично - я никогда не думал, что у меня получится остановить развитие вредоносного ПО. У Threat Intelligence не получается, а у меня даже их доступа нет.

Помню, 2021-й год, когда рынок был забит кучей различных стиллеров... Многие из них были мошенническими проектами... И практически у каждого был сбор на ПК жертвы.

Кряк Mars Stealer навёл очень много шума. И так странно совпало, что после моей деятельности теперь редко можно встретить инфостиллер с локальной дешифровкой и сбором данных. Просто не хочу на 100% присваивать себе эту заслугу, всякое может быть...

Наступила засуха

Я каждый день мониторю новые проекты и угрозы на базе OSINT, ищу что можно крякнуть для Вас, но, увы, экземпляры уже так легко не сливаются в общий доступ.

С момента публикации списка целей, 3 июня, никто мне так ничего и не отправил. Никто ничего не покупает, никому уже это не нужно... Нет, не мои кряки, а сами стиллеры - ими уже почти никто не пользуется.

Моими основными источниками были Threat Intelligence компании, именно они поставляли готовые статьи с разбором каких-либо инфостиллеров (Mars Stealer) и предоставляли хеши разобранных файлов, которые я уже находил на AnyRun, Triage или других платформах.

Сейчас статей дефицит... Если что-то и есть, то с хешами, которые не числятся ни на одной из платформ, которая позволяет скачать экземпляр. Либо просто "неподходящие" экземпляры - .NET, удалённая дешифровка либо вообще нерабочие стиллеры (и таких много)...

Тем не менее, инфостиллеров стало значительно меньше. Или же они ушли в тень - так называемый "приват". Глядя на статистику атак с использованием инфостиллеров и статистику утечек данных с использованием вредоносного ПО - она сокращается и значительно продолжает падать:

В сравнении с 2024-м годом, количество заражений упало в критически маленькое число.

И если со снижением роста развития и создания продуктов на рынке я могу быть как-либо связан, то уменьшение количества заражений - прямая заслуга антивирусных компаний. В Windows 11 недавно ввели усиленную защиту Microsoft Defender а также Smart App Control, который просто не позволяет запускать малодоверенные программы. Defender явно получил обновление машинного анализа, что заметно конкретно в случае с инфостиллерами - теперь доступ к конфеденциальной информации (даже обычное чтение) - сразу обнаруживается и пресекается. Любые попытки исполняться через инжекты, от имени других процессов, через посредственные запуски - также не дают никакой пользы.

Что происходит на рынке разработки вредоносного ПО

Как мы знаем, мысли покупателей и разработчиков часто не совпадают. Покупатели требуют жирный продукт со сбором всей информации с ПК, и попробуйте ему объяснить, что подобный функционал просто невозможно будет скрыть от антивируса... Даже если объяснить одному человеку, Вас просто завалят вопросами - устанете каждому объяснять.

Иной случай, когда Вы даёте нужный функционал (если можете его дать), но по итогу будет следующее:

Да, его не получится скрыть от антивирусов... Только в данном случае разработчик заработает много денег за функционал, который покупатели даже не смогут использовать. Но на первое время обрадуются, что нашли что-то стоящее...

Именно такая ситуация сейчас на рынке у большинства продуктов - авторы требуют крипт, но сами понимают, что никакой крипт никому не поможет. А прибыль растёт...

Второй этап мошенничества - сами крипторы. За определённую саму они продают дроппер\лоадер с отложенным запуском, а потом разводят руками если логи перестают приходить или через пару часов экземпляр уходит в обнаружение.

Не сказать, что рынок вредоносного ПО должен быть чем-то честным - это изначально чёрная сфера, где сидят гоблины и злыдни... Пишут для таких же гоблинов, которые потом будут использовать вредоносное ПО для заражения компании, в которой сами же работают... Для удара ножом в спину своих коллег, с которыми пили кофе... Метафорически. Сфера невероятно грязная, мерзкая, противная... Набитая людьми, у которых нет совести, принципов и морали. Людьми, которым нужны только деньги, любой ценой. Многим из них даже не интересно написание качественного или особенного продукта.

Не знаю, должны ли быть какие-либо надежды?

Отсутствие контроля качества

Есть большая проблема в том, что сфера вредоносного ПО никак не контролируется. Из-за этого туда часто приходят неопытные программисты... При этом, в антивирусные компании приходят мощные ревёрс-инженеры, программисты эвристических движков и спецы по Threat Intelligence, которые могут разорвать любой экземпляр вредоносного ПО, чем бы он ни был защищён, и написать мощный движок машинного анализа, который порвёт любой известный вредонос на данный момент.

Из этого хочется задать наводящий вопрос - как сфера вредоносного ПО может априори победить? Хороших разработчиков публичного ПО даже одного не получится назвать - ни один не знает актуальных методов обхода машинного анализа. А про приватные проекты и приватных разработчиков говорить смысла нет - каким образом можно вообще выйти на контакт с ними обычному рядому человеку с трафиком? При этом, даже в приватных разработчиках я сомневаюсь. Раньше сфера ориентировалось на том, что Вы масштабно проливаете трафик на экземпляр, получаете кучу логов и продаёте их - всё это можно было автоматизировать, это было что-то вроде бизнеса, деньги лились сами. Теперь же максимум, что можно сделать - это точечная атака с самописным инфостиллером на какую-то крупную компанию. А ради этого нужно будет неслабо попотеть... И кто таким будет сейчас заниматься?...

Форумы никак не контролируют проекты. BHF, HackForums, XSS, Exploit, LolzTeam - не имеют хороших экспертов в области вредоносного ПО. Первые 4 форума - пропустят вообще любого, кто заплатит депозит или оплатит статус - никакого контроля. На LolzTeam же был раньше контроль со стороны ревёрс-инженеров, но это не более, чем просто поверхностная проверка исходника проекта - просто убедиться, что он "есть". Проверить на соответствие и задать наводящие вопросы - никто не удосужится. Например, не волнует ли их то, что код дешифровки браузеров - публичный и не имеет никаких особенностей? Не волнует ли их то, что это невозможно будет закриптовать? Не волнует ли их то, что в таком случае, они должны будут указать, что у проекта нулевой отстук, а не какие-то 80-100%, как это любят указывать авторы?

Реалии... Реализации

Есть определённые сложности и в реализации инфостиллеров. Браузеры не стоят на месте и часто получают обновления против вредоносного ПО. Обновляют шифрование, пути, свои структуры. Не всегда пользователи успевают обновляться... Поэтому мы получаем очень большой разброс по требуемому функционалу.

Код современного качественного инфостиллера может достигать 10 000 строк кода. А теперь представьте, что каждую реализацию с дешифровкой нужно ещё продумать, чтобы она хотя бы как-то не обнаруживалась антивирусами и могла быть минимально закриптована. В современном инфостиллере может быть до 80 браузеров - и примерно до 20 реализаций сбора данных. Каждую реализацию необходимо будет вдальнейшем поддерживать и переписывать еженедельно.

При большом трафике на экземпляры, нейросети антивирусов обучаются и сами создают новые сигнатуры, шаг за шагом убивая ваш проект.

Чем больше продаж - тем выше нагрузка. Покупатели понимают, что стиллер уже не ловит обновления или не криптуется и Вы ловите поток жалоб. Как итог, закрываетесь или остаётесь с минимальным количеством покупателей.

Часто покупатели могут требовать уникальные экземпляры - то есть, написать отдельный код лично для них, чтобы экземпляр дольше жил. Представьте, написать ещё 10 000 строк кода и поддерживать ещё и их для отдельного человека... Убийственная нагрузка, каких бы это денег не стоило...

Именно поэтому все нынешние проекты сейчас - мошеннические, либо низкокачественные (впрочем, что также является мошенничеством). Любой Rhadamanthys, XLoader или любой другой стиллер - невозможно будет закриптовать. И он даже не будет поддерживаться под такой нагрузкой, оно того не стоит... Переписывать 20 больших функций каждую неделю... Звучит достаточно сомнительно.

Проблемы вкруг

Писать инфостиллер - долго, сложно, тяжело поддерживать. Цены на них не могут быть слишком высокими (иначе никто не купит). А если цены будут завышенные - это привлечёт только опытных покупателей, которые имеют трафик порядка миллиона установок - что в первую минуту же убьёт Ваш проект. Впрочем, такие покупатели могут придти и на низкую цену. Потом ещё будете ловить жалобы покупателей за низкий отстук.

Покупать инфостиллер - идея сомнительная, нарвётесь на мошенника. Получите низкокачественный экземпляр. Повезёт, если он вообще работать ещё будет и что-то собирать. Есть риск, что будут воровать собранные данные. Полученный экземпляр не будет обходить антивирусы - раскошелитесь на внешний крипт, но и там скорее всего попадёте на мошенника. В связи с этим, получите низкий отстук. Не окупите потраченные деньги. Повезёт, если в ноль вообще уйдёте. Никакого контроля качества нет, что и приводит к проблемам.

В связи с этим: снизилось количество заражений, снизилось количество проектов на рынке, снизилось количество продаж.

Заключение

Должны ли быть какие-либо итоги? Хотел лишь опрокинуть свет на ситуацию на рынке, как её вижу я - человек, который ежедневно жаждет что-то крякнуть, разобрать, мониторит форумы, мониторит статьи Threat Intelligence компаний, ищет цели - но ничего не находит... У Вас может быть своё мнение.

Спасибо за прочтение.