Решено Жалоба от DidYouMuch на vmpaster

Zodiak · 21 Июн 2024

Ну давай разберем по частям ~~тобою~~ вами написанное.

DidYouMuch написал(а):
Скриншот не был сделан лично мной, просто пересылка от другого человека, который не имеет никакого отношения к моим разработкам
Посмотреть вложение 279495

Кто этот человек? Каким боком он относится к вашей переписке с ответчиком? Откуда у него доступ к этим файлам, которые, как заявляет ответчик, являются «плагинами с сервера, на котором я стоял тех. админом»?

vmpaster написал(а):
После пары сообщений мы находим руткит, который активируется при попытки кряка

А пруфы-то будут на руткит? Исходя из дальнейших обсуждений в теле темы, очевидно что вы не понимаете что такое руткит и припысываете [в данном случае] всё исключительно руткиту. Для руткита нужен драйвер, предназначение которого может варьироваться, хотя в общем случае это скрытие процессов, сетевых подключений, файлов. Пока я вижу только юзермод исполняемые файлы...

vmpaster написал(а):
Позже мы достали вот такой файлик: https://www.virustotal.com/gui/file...ece254ecf0e183ee38b3253b5a1cb7ab14a7/behavior

...которые неясно кем, откуда и как были добыты. Откуда появился этот файл? Можете ли вы доказать что этот файл как-то связан с истцом, кроме контактов с IP-адресом, который ему раньше принадлежал?

vmpaster написал(а):
Зайдя по айпи 217.114.43.57 (Хост дидюмача) через RELATIONS и опять перейдя в RELARTIONS мы видим вот такие файлы: https://skr.sh/sQIvzeHS1Js

Вместо объяснения для чего нужен раздел Relations, я сконцентрируюсь на том почему это плохой пример использования Relations. Упомянутый IP-адрес принадлежит публичному хостинг-провайдеру (домен провайдера по неизвестным причинам откис). Истец арендовал этот адрес. Возможно это был сервер с выделенным IP, а возможно обычная VPS с общим IP-адресом, где на одном IP могут стоять несколько серверов запущенных одновременно. Пока что это лишь предположение, а не факт.

vmpaster написал(а):
С новым лоадером было легче. Когда мы получили FluddyChecker от дидюмача и просмотрели его на вирус тотале нашли это: https://skr.sh/sQIdbHbxIDe
Также просто просканировав этот файл и зайдя RELATION и зайдя по айпи 46.174.53.121 (https://skr.sh/sQIFQUJqNm8) и далее в RELATIONS, то мы опять можем увидеть OperaGX.exe (Название лоадера при запуске). Также тут мы можем увидеть несколько Steam.exe ( https://skr.sh/sQIKt9oo5jA) Переходим по этому и опять же заходим в BEHAVIOR > Full Report > Zenbox. Листаем в самый низ и о чудо! Мы видим новый лоадер бластеда https://skr.sh/sQIXY79fZ78. Тут же мы можем увидеть это https://skr.sh/sQI92rGP3as. Делаем выводы.

Так а пруфы на вредонос будут? Пока я вижу, что этот исполняемый файл при запуске стучит на сервер истца (удивительно).

DidYouMuch предоставьте под хайд для команды форума доказательства (квитанции от хостинг-провайдера, прочее) покупки VPS/дедика с двумя упомянутыми IP-адресами на которых видно даты и (за возможности) условия предоставления услуг + доказательства о завершении аренды с датой в видеоформате (т.е. с перезагрузкой страницы).

DidYouMuch · 21 Июн 2024

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

DidYouMuch · 22 Июн 2024

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

realgamingchair · 22 Июн 2024

WantToFreak написал(а):
никто тебе не срал поверь

в старом блястеде не было подписи

в начале не прошли проверку на вм сука

Посмотреть вложение 279689

хвид чек, антикряк, хттп запрос, ниже аллок RWX (инжект софта, сервер маппер).

WantToFreak · 22 Июн 2024

nitro- написал(а):
Anticrack, хттп запрос, ниже аллок RWX (инжект софта, сервер маппер).

урод, он не доходит до стадии инжекта

BEBESHLUHA · 22 Июн 2024

WantToFreak написал(а):
урод, он не доходит до стадии инжекта

honorbuddy · 22 Июн 2024

Zodiak написал(а):
Ну давай разберем по частям ~~тобою~~ вами написанное.

Кто этот человек? Каким боком он относится к вашей переписке с ответчиком? Откуда у него доступ к этим файлам, которые, как заявляет ответчик, являются «плагинами с сервера, на котором я стоял тех. админом»?

А пруфы-то будут на руткит? Исходя из дальнейших обсуждений в теле темы, очевидно что вы не понимаете что такое руткит и припысываете [в данном случае] всё исключительно руткиту. Для руткита нужен драйвер, предназначение которого может варьироваться, хотя в общем случае это скрытие процессов, сетевых подключений, файлов. Пока я вижу только юзермод исполняемые файлы...

...которые неясно кем, откуда и как были добыты. Откуда появился этот файл? Можете ли вы доказать что этот файл как-то связан с истцом, кроме контактов с IP-адресом, который ему раньше принадлежал?

Вместо объяснения для чего нужен раздел Relations, я сконцентрируюсь на том почему это плохой пример использования Relations. Упомянутый IP-адрес принадлежит публичному хостинг-провайдеру (домен провайдера по неизвестным причинам откис). Истец арендовал этот адрес. Возможно это был сервер с выделенным IP, а возможно обычная VPS с общим IP-адресом, где на одном IP могут стоять несколько серверов запущенных одновременно. Пока что это лишь предположение, а не факт.

Так а пруфы на вредонос будут? Пока я вижу, что этот исполняемый файл при запуске стучит на сервер истца (удивительно).

DidYouMuch предоставьте под хайд для команды форума доказательства (квитанции от хостинг-провайдера, прочее) покупки VPS/дедика с двумя упомянутыми IP-адресами на которых видно даты и (за возможности) условия предоставления услуг + доказательства о завершении аренды с датой в видеоформате (т.е. с перезагрузкой страницы).

отец решил покопаться и утопить их в своем же говне? Одобряяется, однако если не снести раздел майнкрафта, это будет повторяться!

stockings · 22 Июн 2024

WantToFreak написал(а):
урод, он не доходит до стадии инжекта

ответ на сообщение зодиака будет или мы резко решили закрыть ебальце ?

WantToFreak · 22 Июн 2024

stockings написал(а):
ответ на сообщение зодиака будет или мы резко решили закрыть ебальце ?

я вроде не дидюмач

BEBESHLUHA · 22 Июн 2024

WantToFreak написал(а):
я вроде не дидюмачПосмотреть вложение 279895

????

stockings · 24 Июн 2024

WantToFreak написал(а):
я вроде не дидюмачПосмотреть вложение 279895

увеличил для тебя специально братан, вдруг у тебя проблемы со зрением и ты не можешь читать такой маленький шрифт !

Zodiak · 25 Июн 2024

vmpaster в данном случае игнорить плохая идея. 24 часа на ответ.

DidYouMuch прошло 2 рабочих дня, ping.

WantToFreak · 25 Июн 2024

Zodiak написал(а):
А пруфы-то будут на руткит? Исходя из дальнейших обсуждений в теле темы, очевидно что вы не понимаете что такое руткит и припысываете [в данном случае] всё исключительно руткиту. Для руткита нужен драйвер, предназначение которого может варьироваться, хотя в общем случае это скрытие процессов, сетевых подключений, файлов. Пока я вижу только юзермод исполняемые файлы...

я не понимаю с каких пор анти анализ делает запрос на ngrok? Я вот не понимаю он дефал ратку но потом резка переабулся и начал орать про бинарник.
1

Zodiak написал(а):
Так а пруфы на вредонос будут? Пока я вижу, что этот исполняемый файл при запуске стучит на сервер истца (удивительно).

почему когда закрывался бластед начинает открыватся мальвар? там физический нельзя их сшить так что бы была команда после закрытия бластеда открывался мальвар

stockings · 25 Июн 2024

WantToFreak написал(а):
там физический нельзя их сшить так что бы была команда после закрытия бластеда открывался мальвар

значит у тебя всё плохо с физикой

BEBESHLUHA · 25 Июн 2024

WantToFreak написал(а):
Посмотреть вложение 280044 Посмотреть вложение 280045

я не понимаю с каких пор анти анализ делает запрос на ngrok? Я вот не понимаю он дефал ратку но потом резка переабулся и начал орать про бинарник.
1

почему когда закрывался бластед начинает открыватся мальвар? там физический нельзя их сшить так что бы была команда после закрытия бластеда открывался мальвар

и смех и грех

hun1yyyyy · 25 Июн 2024

WantToFreak написал(а):
я не понимаю с каких пор анти анализ делает запрос на ngrok? Я вот не понимаю он дефал ратку но потом резка переабулся и начал орать про бинарник.
1

Может ты покажешь где там происходит запрос на ngrok? На скрине только айпи дедика от RS-Media

WantToFreak написал(а):
никто не писал что я реверсер

DidYouMuch · 26 Июн 2024

Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.

Zodiak · 26 Июн 2024

vmpaster написал(а):
Позже мы достали вот такой файлик: https://www.virustotal.com/gui/file...ece254ecf0e183ee38b3253b5a1cb7ab14a7/behavior

Оригинальное название этого файла Loader_Planner_5D.exe (https://www.joesandbox.com/analysis/830781/0/html).

vmpaster написал(а):
Если зайти на этот файлик и полистать ниже, то можно увидеть вот такое:
Зайдя по айпи 217.114.43.57 (Хост дидюмача) через RELATIONS и опять перейдя в RELARTIONS мы видим вот такие файлы: https://skr.sh/sQIvzeHS1Js
Далее перейдя к Opera.exe и нажав BEHAVIOR нажимаем Full Report и выбираем Zenbox.Тут мы можем прочитать всё об этом файле, и пролистав в самый низ, мы можем увидеть такие скрины: https://skr.sh/sQI9Gy6NyBm (Старый лоадер). Тут уже всё понятно.

На первом скриншоте так же фигурируют другие файлы с именем Loader_Planner_5D.exe. Упомянутый выше семпл, как и семплы на скриншоте, не имеют никакого отношения к истцу. В твиттере есть пост, в котором ресерчер публикует индикаторы компрометации кампании, направленной на 2д/3д дизайнеров, где фигурируют домены для доставки вредоносного ПО + один из этих семплов. В комментариях к посту JAMESWT указывает на командно-контрольный сервер с этим IP-адресом. Смотрим дату — 20 марта 2023. В марте 2023 домен ответчика (.tech) использовал другой IP-адрес (история DNS резольвера на VT). Ответчик арендовал сервер с IP-адресом 217.114.43.57 только в июле 2023 и пробыл с ним до октября, когда сменился и домен (на .space) и хостинг-провайдер. Примечательно, что уже в ноябре на 217.114.43.57 начали развертывать фишинг.

Семпл на втором скриншоте легитимный лоадер, накрытый VMP. Никакого вредоносного поведения в нем не вижу so far, хотя иметь бинарник было бы намного лучше.

vmpaster написал(а):
С новым лоадером было легче. Когда мы получили FluddyChecker от дидюмача и просмотрели его на вирус тотале нашли это: https://skr.sh/sQIdbHbxIDe
Также просто просканировав этот файл и зайдя RELATION и зайдя по айпи 46.174.53.121 (https://skr.sh/sQIFQUJqNm8) и далее в RELATIONS, то мы опять можем увидеть OperaGX.exe (Название лоадера при запуске). Также тут мы можем увидеть несколько Steam.exe ( https://skr.sh/sQIKt9oo5jA) Переходим по этому и опять же заходим в BEHAVIOR > Full Report > Zenbox. Листаем в самый низ и о чудо! Мы видим новый лоадер бластеда https://skr.sh/sQIXY79fZ78. Тут же мы можем увидеть это https://skr.sh/sQI92rGP3as. Делаем выводы.

Неясно на какой бинарник в данном случае ссылается ТС. Посмотрел все FluddyChecker, связанные с упомянутым IP и не увидел файла с открытием этих путей. Кроме того, в секции открытых файлов на VT может быть всё что угодно, поэтому лучше использовать CAPE Sandbox/свою вм/Triage (репорты от CAPE доступны на вт, где тоже чисто по открытым файлам). Вдобавок, бинарники подписанные с, как я полагаю, ФИО истца на серте, что являлось бы в лучшем случае opsec failure. В Relations можно найти несколько склеек, где запускается XWorm+лоадер истца. XWorm использует ngrock как C2, а сами семплы от апреля 2024, при этом:

происхождение этих бинарников неизвестно
зачем использовать ngrock и делать больше индикаторов компрометации, когда у тебя уже есть свой домен, который используется лоадером?

Вдобавок ко всему выше перечисленному, ответчик и его (предположительно) друг не могут предоставить бинарники (семпл, упомянутый выше, — unrelated, других я не видел); ответчик игнорит арбитраж на себя, а вместо него отвечает WantToFreak.

Тред снёс. Оба вирустотал ресерчера пробанены на соответствующий срок. Если появятся новые, везкие доказательства от ответчика, этот арбитраж будет открыт снова.

Решено. Закрыто.