Что нового?



  • Ищем качественного (не новичок) разработчиков Xenforo для этого форума! В идеале, чтобы ты был фулл стек программистом. Если у тебя есть что показать, то свяжись с нами по контактным данным: https://t.me/DREDD

Решено Жалоба от DidYouMuch на vmpaster

Статус
В этой теме нельзя размещать новые ответы.
Ну давай разберем по частям тобою вами написанное.

DidYouMuch написал(а):
Скриншот не был сделан лично мной, просто пересылка от другого человека, который не имеет никакого отношения к моим разработкам
Посмотреть вложение 279495
Нажмите для раскрытия...
Кто этот человек? Каким боком он относится к вашей переписке с ответчиком? Откуда у него доступ к этим файлам, которые, как заявляет ответчик, являются «плагинами с сервера, на котором я стоял тех. админом»?

vmpaster написал(а):
После пары сообщений мы находим руткит, который активируется при попытки кряка
Нажмите для раскрытия...
А пруфы-то будут на руткит? Исходя из дальнейших обсуждений в теле темы, очевидно что вы не понимаете что такое руткит и припысываете [в данном случае] всё исключительно руткиту. Для руткита нужен драйвер, предназначение которого может варьироваться, хотя в общем случае это скрытие процессов, сетевых подключений, файлов. Пока я вижу только юзермод исполняемые файлы...

vmpaster написал(а):
Позже мы достали вот такой файлик: https://www.virustotal.com/gui/file...ece254ecf0e183ee38b3253b5a1cb7ab14a7/behavior
Нажмите для раскрытия...
...которые неясно кем, откуда и как были добыты. Откуда появился этот файл? Можете ли вы доказать что этот файл как-то связан с истцом, кроме контактов с IP-адресом, который ему раньше принадлежал?

vmpaster написал(а):
Зайдя по айпи 217.114.43.57 (Хост дидюмача) через RELATIONS и опять перейдя в RELARTIONS мы видим вот такие файлы: https://skr.sh/sQIvzeHS1Js
Нажмите для раскрытия...
Вместо объяснения для чего нужен раздел Relations, я сконцентрируюсь на том почему это плохой пример использования Relations. Упомянутый IP-адрес принадлежит публичному хостинг-провайдеру (домен провайдера по неизвестным причинам откис). Истец арендовал этот адрес. Возможно это был сервер с выделенным IP, а возможно обычная VPS с общим IP-адресом, где на одном IP могут стоять несколько серверов запущенных одновременно. Пока что это лишь предположение, а не факт.

vmpaster написал(а):
С новым лоадером было легче. Когда мы получили FluddyChecker от дидюмача и просмотрели его на вирус тотале нашли это: https://skr.sh/sQIdbHbxIDe
Также просто просканировав этот файл и зайдя RELATION и зайдя по айпи 46.174.53.121 (https://skr.sh/sQIFQUJqNm8) и далее в RELATIONS, то мы опять можем увидеть OperaGX.exe (Название лоадера при запуске). Также тут мы можем увидеть несколько Steam.exe ( https://skr.sh/sQIKt9oo5jA) Переходим по этому и опять же заходим в BEHAVIOR > Full Report > Zenbox. Листаем в самый низ и о чудо! Мы видим новый лоадер бластеда https://skr.sh/sQIXY79fZ78. Тут же мы можем увидеть это https://skr.sh/sQI92rGP3as. Делаем выводы.
Нажмите для раскрытия...
Так а пруфы на вредонос будут? Пока я вижу, что этот исполняемый файл при запуске стучит на сервер истца (удивительно).

@DidYouMuch предоставьте под хайд для команды форума доказательства (квитанции от хостинг-провайдера, прочее) покупки VPS/дедика с двумя упомянутыми IP-адресами на которых видно даты и (за возможности) условия предоставления услуг + доказательства о завершении аренды с датой в видеоформате (т.е. с перезагрузкой страницы).
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Последнее редактирование:
WantToFreak написал(а):
урод, он не доходит до стадии инжекта
Нажмите для раскрытия...

1719055570327.png
 
Zodiak написал(а):
Ну давай разберем по частям тобою вами написанное.


Кто этот человек? Каким боком он относится к вашей переписке с ответчиком? Откуда у него доступ к этим файлам, которые, как заявляет ответчик, являются «плагинами с сервера, на котором я стоял тех. админом»?


А пруфы-то будут на руткит? Исходя из дальнейших обсуждений в теле темы, очевидно что вы не понимаете что такое руткит и припысываете [в данном случае] всё исключительно руткиту. Для руткита нужен драйвер, предназначение которого может варьироваться, хотя в общем случае это скрытие процессов, сетевых подключений, файлов. Пока я вижу только юзермод исполняемые файлы...


...которые неясно кем, откуда и как были добыты. Откуда появился этот файл? Можете ли вы доказать что этот файл как-то связан с истцом, кроме контактов с IP-адресом, который ему раньше принадлежал?


Вместо объяснения для чего нужен раздел Relations, я сконцентрируюсь на том почему это плохой пример использования Relations. Упомянутый IP-адрес принадлежит публичному хостинг-провайдеру (домен провайдера по неизвестным причинам откис). Истец арендовал этот адрес. Возможно это был сервер с выделенным IP, а возможно обычная VPS с общим IP-адресом, где на одном IP могут стоять несколько серверов запущенных одновременно. Пока что это лишь предположение, а не факт.


Так а пруфы на вредонос будут? Пока я вижу, что этот исполняемый файл при запуске стучит на сервер истца (удивительно).

@DidYouMuch предоставьте под хайд для команды форума доказательства (квитанции от хостинг-провайдера, прочее) покупки VPS/дедика с двумя упомянутыми IP-адресами на которых видно даты и (за возможности) условия предоставления услуг + доказательства о завершении аренды с датой в видеоформате (т.е. с перезагрузкой страницы).
Нажмите для раскрытия...
отец решил покопаться и утопить их в своем же говне? Одобряяется, однако если не снести раздел майнкрафта, это будет повторяться!
 
@vmpaster в данном случае игнорить плохая идея. 24 часа на ответ.

@DidYouMuch прошло 2 рабочих дня, ping.
 
Zodiak написал(а):
А пруфы-то будут на руткит? Исходя из дальнейших обсуждений в теле темы, очевидно что вы не понимаете что такое руткит и припысываете [в данном случае] всё исключительно руткиту. Для руткита нужен драйвер, предназначение которого может варьироваться, хотя в общем случае это скрытие процессов, сетевых подключений, файлов. Пока я вижу только юзермод исполняемые файлы...
Нажмите для раскрытия...
1719320670897.png
1719320675409.png


я не понимаю с каких пор анти анализ делает запрос на ngrok? Я вот не понимаю он дефал ратку но потом резка переабулся и начал орать про бинарник.
1
Zodiak написал(а):
Так а пруфы на вредонос будут? Пока я вижу, что этот исполняемый файл при запуске стучит на сервер истца (удивительно).
Нажмите для раскрытия...
почему когда закрывался бластед начинает открыватся мальвар? там физический нельзя их сшить так что бы была команда после закрытия бластеда открывался мальвар
 
WantToFreak написал(а):
Посмотреть вложение 280044Посмотреть вложение 280045

я не понимаю с каких пор анти анализ делает запрос на ngrok? Я вот не понимаю он дефал ратку но потом резка переабулся и начал орать про бинарник.
1

почему когда закрывался бластед начинает открыватся мальвар? там физический нельзя их сшить так что бы была команда после закрытия бластеда открывался мальвар
Нажмите для раскрытия...
и смех и грех
 
WantToFreak написал(а):
я не понимаю с каких пор анти анализ делает запрос на ngrok? Я вот не понимаю он дефал ратку но потом резка переабулся и начал орать про бинарник.
1
Нажмите для раскрытия...
Может ты покажешь где там происходит запрос на ngrok? На скрине только айпи дедика от RS-Media
1719329151559.png

WantToFreak написал(а):
никто не писал что я реверсер
Нажмите для раскрытия...
 
vmpaster написал(а):
Позже мы достали вот такой файлик: https://www.virustotal.com/gui/file...ece254ecf0e183ee38b3253b5a1cb7ab14a7/behavior
Нажмите для раскрытия...
Оригинальное название этого файла Loader_Planner_5D.exe (https://www.joesandbox.com/analysis/830781/0/html).

vmpaster написал(а):
Если зайти на этот файлик и полистать ниже, то можно увидеть вот такое:
Зайдя по айпи 217.114.43.57 (Хост дидюмача) через RELATIONS и опять перейдя в RELARTIONS мы видим вот такие файлы: https://skr.sh/sQIvzeHS1Js
Далее перейдя к Opera.exe и нажав BEHAVIOR нажимаем Full Report и выбираем Zenbox.Тут мы можем прочитать всё об этом файле, и пролистав в самый низ, мы можем увидеть такие скрины: https://skr.sh/sQI9Gy6NyBm (Старый лоадер). Тут уже всё понятно.
Нажмите для раскрытия...
На первом скриншоте так же фигурируют другие файлы с именем Loader_Planner_5D.exe. Упомянутый выше семпл, как и семплы на скриншоте, не имеют никакого отношения к истцу. В твиттере есть пост, в котором ресерчер публикует индикаторы компрометации кампании, направленной на 2д/3д дизайнеров, где фигурируют домены для доставки вредоносного ПО + один из этих семплов. В комментариях к посту JAMESWT указывает на командно-контрольный сервер с этим IP-адресом. Смотрим дату — 20 марта 2023. В марте 2023 домен ответчика (.tech) использовал другой IP-адрес (история DNS резольвера на VT). Ответчик арендовал сервер с IP-адресом 217.114.43.57 только в июле 2023 и пробыл с ним до октября, когда сменился и домен (на .space) и хостинг-провайдер. Примечательно, что уже в ноябре на 217.114.43.57 начали развертывать фишинг.

Семпл на втором скриншоте легитимный лоадер, накрытый VMP. Никакого вредоносного поведения в нем не вижу so far, хотя иметь бинарник было бы намного лучше.

vmpaster написал(а):
С новым лоадером было легче. Когда мы получили FluddyChecker от дидюмача и просмотрели его на вирус тотале нашли это: https://skr.sh/sQIdbHbxIDe
Также просто просканировав этот файл и зайдя RELATION и зайдя по айпи 46.174.53.121 (https://skr.sh/sQIFQUJqNm8) и далее в RELATIONS, то мы опять можем увидеть OperaGX.exe (Название лоадера при запуске). Также тут мы можем увидеть несколько Steam.exe ( https://skr.sh/sQIKt9oo5jA) Переходим по этому и опять же заходим в BEHAVIOR > Full Report > Zenbox. Листаем в самый низ и о чудо! Мы видим новый лоадер бластеда https://skr.sh/sQIXY79fZ78. Тут же мы можем увидеть это https://skr.sh/sQI92rGP3as. Делаем выводы.
Нажмите для раскрытия...
Неясно на какой бинарник в данном случае ссылается ТС. Посмотрел все FluddyChecker, связанные с упомянутым IP и не увидел файла с открытием этих путей. Кроме того, в секции открытых файлов на VT может быть всё что угодно, поэтому лучше использовать CAPE Sandbox/свою вм/Triage (репорты от CAPE доступны на вт, где тоже чисто по открытым файлам). Вдобавок, бинарники подписанные с, как я полагаю, ФИО истца на серте, что являлось бы в лучшем случае opsec failure. В Relations можно найти несколько склеек, где запускается XWorm+лоадер истца. XWorm использует ngrock как C2, а сами семплы от апреля 2024, при этом:
  • происхождение этих бинарников неизвестно
  • зачем использовать ngrock и делать больше индикаторов компрометации, когда у тебя уже есть свой домен, который используется лоадером?
Вдобавок ко всему выше перечисленному, ответчик и его (предположительно) друг не могут предоставить бинарники (семпл, упомянутый выше, — unrelated, других я не видел); ответчик игнорит арбитраж на себя, а вместо него отвечает @WantToFreak.

Тред снёс. Оба вирустотал ресерчера пробанены на соответствующий срок. Если появятся новые, везкие доказательства от ответчика, этот арбитраж будет открыт снова.

Решено. Закрыто.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

T
  • Закрыта
Решено Жалоба от tribun на Lucky Rabbits
Ответы
1
Просмотры
217
tribun
T
M
  • Закрыта
Отказано Жалоба от MAKSKSKSK на KGB
Ответы
5
Просмотры
736
Misery
Misery
B
  • Закрыта
Решено Жалоба от BoobaFin1 на WizeWanter
2
Ответы
22
Просмотры
1K
BoobaFin1
B
S
  • Закрыта
Отказано Жалоба от SoftWeraNT на NeuralUser
2
Ответы
20
Просмотры
2K
Misery
Misery
R
  • Закрыта
Отказано Жалоба от aboba_ на Madison1337
Ответы
2
Просмотры
999
Kamazik
Kamazik
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу