Анализ стиллера от xZist

Анализ стиллера от xZist

ims0rry

Дисклеймер

Билд был выдан мне на DW для проверки. Автор софта согласился на анализ:

Анализ файла

Сам билд представляет из себя SIM инсталлятор:

При запуске запрашивает админ права. После запуска дропает следующие файлы в %appdata%:

Uninstall-файлы это удалятор от SIM, текстовый документ с именем ПК - лог (который почему-то пустой, хотя на виртуалке в хроме были пароли), SQLite дллки - для работы с БД браузеров, System Disk - сам стиллер:

Сразу тянется рука к дотпику, и не зря:

Сервер

Вот так просто можно получить исходный код этого стиллера. Но это не самое важное, ведь софт делается с прикольной, между прочим, идеей - отсылка логов в телеграм бота. Мне в этом плане все очень понравилось.

Единственное НО (а может и не единственное) - для бота нужен сервер => логи хранятся на сервере разработчика и вообще билды зависимы от него. Да, но селлер предлагает так же делать билды с привязкой на почту. Это нас не интересует, поэтому разберемся с сервером.

Видим в конце каждой функции стиллинга (они почему-то разные под все хромиум-браузеры, хотя можно сделать в одном методе):

Тут идет отсылка логов на сервер и дальнейшая их идентификация.

Интересно, а что будет если туда залить не лог, а какой-либо другой файл? К примеру, обычный .php файл с выводом произвольного текста. Просто дублируем строку:

Запускаем и проверяем результат:

Сорри, но у вас RFI. То есть, любой желающий, может разреверсить билд (прошу заметить, код не защищен ничем, как писал автор - его это устраивает), залить шелл на хост и забирать себе втихую чужие логи. Для проверки заливаем (вообще залил @Qutrachka, но только в образовательных целях) шелл b374k и пробуем отыскать логи:

Прошу заметить, можно получить доступ не только к логам, а полностью к управлению всем стиллером и хостом.

Вывод

Сама идея очень хороша, но реализация, мягко говоря, хромает. Надеюсь, кодер обратит внимание на свои косяки и закроет их (в таком случае я бы и сам поюзал подобный продукт).

Ссылки

Исходник + семплы - https://github.com/ims0rry/xZist-Stealer

Продажник - https://darkwebs.ws/threads/48719/

-------------------------------

Автор @ims0rry

https://t.me/ims0rryblog