- Регистрация
- 24.11.14
- Сообщения
- 135
Здравствуйте, уважаемые форумчане !
Продам в 5 рук настроенный и готовый к использованию бэкдор Plurox.
Вот, что из позапрошлого билда Лепрозорий Касперского смог достать. И прошу заметить, ушло у них на это 2 месяца, цитирую :
Продам в 5 рук настроенный и готовый к использованию бэкдор Plurox.
Вот, что из позапрошлого билда Лепрозорий Касперского смог достать. И прошу заметить, ушло у них на это 2 месяца, цитирую :
- В феврале этого года в поле нашего зрения попал любопытный бэкдор. Анализ показал, что зловред обладает довольно неприятными возможностями: может распространяться по локальной сети с помощью эксплойта, предоставлять злоумышленнику доступ к атакованной сети, устанавливать на машины жертв майнеры и другое вредоносное программное обеспечение. Более того, бэкдор оказался модульным, а значит, его функциональность можно при необходимости расширить с помощью плагинов. По итогам анализа зловред получил имя Backdoor.Win32.Plurox. -
Характеристики :
Plurox написан на С, для сборки используется Mingw GCC, а судя по наличию отладочных строк, обнаруженный зловред еще находился на этапе тестирования.
Для общения с командным сервером бэкдор использует TCP-протокол; загрузка плагинов и непосредственно коммуникация происходит по двум разным портам, которые зашиты в теле Plurox; адреса C&С-серверов также прописаны в коде бота. Наблюдая за деятельностью зловреда, мы обнаружили две «подсети»: в одной из них командный центр отдает Plurox только майнеры (модули auto_proc, auto_cuda, auto_gpu_nvidia), а в другой кроме них (auto_opencl_amd, auto_miner) еще и несколько плагинов, о которых пойдет речь ниже.
Поддерживаемые команды :
Всего обнаруженная нами версия Plurox поддерживает семь команд:
- загрузка и запуск файлов с помощью функции WinAPI CreateProcess;
- обновление бота;
- удаление и остановка (удаление собственного сервиса, удаление из автозагрузки, удаление файлов, удаление артефактов из реестра);
- загрузка и запуск плагина;
- остановка плагина;
- обновление плагина (остановка процесса и удаление файла старой версии, загрузка и запуск новой);
- остановка и удаление плагина.
Плагины
За время наблюдения мы смогли обнаружить несколько плагинов Plurox и изучили их все.
Плагины-майнеры :
Зловред может установить на компьютер-жертву один из криптовалютных майнеров, наиболее подходящий под конкретную конфигурацию системы. Бот отправляет пакет с конфигурацией системы на командный сервер, а в ответ получает информацию, какой плагин необходимо загрузить. Всего мы насчитали восемь майнинговых модулей, об особенностях которых нетрудно догадаться по их именам:
- auto_proc
- auto_cuda
- auto_miner
- auto_opencl_amd
- auto_gpu_intel
- auto_gpu_nvidia
- auto_gpu_cuda
- auto_gpu_amd
Модуль получает от C&C подсеть с маской /24, перебирает все IP-адреса из нее и с помощью протокола UPnP пытается пробросить порты 135 (MS-RPC) и 445 (SMB) для подбираемого IP-адреса на роутере. В случае успеха сообщает результат командному центру, ждет 300 секунд (5 минут), а затем удаляет проброшенные порты. Мы предполагаем, что данный плагин предназначен для атак на локальную сеть: в течение пяти минут атакующий сможет перебрать все имеющиеся эксплойты для сервисов, работающих на данных портах. Если администратор заметит атаку на хост, то увидит, что она идет напрямую от роутера, а не с локальной машины. В случае успеха злоумышленники закрепятся в сети.
Плагин по описанию очень похож на EternalSilence, однако в отличие от него пробрасывает порт 135, а не 139. Результат работы EternalSilence из статьи Akamai:
{"NewProtocol": "TCP", "NewInternalPort": "445", "NewInternalClient": "192.168.10.165",
"NewPortMappingDescription": "galleta silenciosa", "NewExternalPort": "47622"}
А это шаблон плагина Plurox :
<NewProtocol>TCP</NewProtocol>
<NewInternalPort>%d</NewInternalPort>
<NewInternalClient>%s</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewPortMappingDescription>galleta silenciosa</NewPortMappingDescription>
Так себе анализ, но суть ясна.
С тех пор был допилен функционал, добавлены модули.
Также убраны несколько детектов, т.е на текущий момент билд FUD (Undetected).
Ни проактивка, ни тем более эвристика на него не ругаются.
Покупатель получает :
• Настроенный и готовый чистый билд для распространения (расширение рекомендую .doc, по желанию - могу изменить, обсудим отдельно).
• С&C сервер в качестве админ панели. Дадите свои данные - хорошо. Не дадите - сделаю за отдельные 100$ на 3 года.
• Полную консультацию и техническую поддержку с моей стороны по всем вопросам, связанным с билдом + на случай любых форс мажоров дам контакт саппорта, который в моё отсутствие проконсультирует и поможет.
• По вашим пожеланиям, вместо майнеров, добавлю в билд необходимый дроппер или лоадер, но в этом случае не гарантирую FUD, после подгрузки и выполнения.
• Каждый билд будет уникальным и выполнен с любыми пожеланиями заказчика, в том случае, если пожелания не будут сверхъестественными.
• При хорошем спаме по EU набить тысяч 5 ботов вы сможете менее чем за месяц. По RU и того быстрее.
• Вирус распространяется по локальной сети, используя несколько известных уязвимостей (И НЕ ТОЛЬКО).
• Добавлены приятные фичи в виде выгрузки файлов по маске с ПК жертвы (.rar, .jpg, .doc, .wallet, .txt - по умолчанию, но добавлю по просьбе, какие пожелаете) .. Прошу при этом учитывать, что гейт не резиновый, поэтому ограничения на размер имеет смысл выставить разумные.
• ++ скриншот рабочего стола жертвы и возможность угнать пароли из браузеров, к сожалению с последним обновлением Firefox'a иногда приходят нерасшифрованные хеши - в течение недели будет исправлено. Скрин по умолчанию делается при первом запуске. Могу Выставить временной интервал, чтобы вы их получали с каждого бота регулярно.
• Ни одна из функций указанных выше НЕ ВЫЗЫВАЕТ ПОДОЗРЕНИЙ У АНТИВИРУСОВ. DLL Hijacking + несколько тонких и важных идей.
• Проект постоянно в доработке, по принципу, что идеально не бывает. Обновления для каждого покупателя буду озвучивать и по желанию ваш личный бинарь в кратчайшие сроки подготовлю. Но это в течение ближайших 3 месяцев. Далее - платно.
• ++ на случай появления детектов со стороны антивирусов, обещаю чистку и замену билда бесплатно. Также в течение 3 месяцев. За это время у вас уже будет достаточно ботов, чтобы оформить у меня платную чистку или же обфускацию.
Почему продаю ? Нужен кэш, срочно и чуть больше, чем есть на текущий момент.
Именно потому лишь в 5 рук.
Я понимаю, что статус у меня доверия не вызывает, но труды последних лет проверяющим раздавать не намерен, посему - на проверку ничего не дам, но ведь на то Гарант и существует.
Цена одного билда - всего 700$.
Первому покупателю скидка 100$, с учетом объективного и широкого отзыва по существу.
Оплата ONLY BTC.
Контакты только после приобретения. До тех пор - исключительно ЛС.
P.S - Вложения отобьете максимум за 2 месяца, это если вы ни*уя вообще делать не будете, кроме заказа спама по базе почтовых ящиков.
Ну и для примера покажу, какие пассажиры попадаются, дабы вы не сомневались в обоснованности приобретения сего чуда.
--------------------------------------------------------------------------------------------------
1 - Две барыги из Ростова. Магазин с продажей синтетики у них работал с 16го года (Пытался шантажировать - так они кирпичей навалили и первые сутки даже не отвечали ничего, хотя месседжи мои были прочитаны. Потом "дама" ответила нечто вроде : "ой вы что, я ваще не понимаю о чем речь" и заблокировали меня вдвоем. Ну дети, что тут поделаешь. Можете ехать по адресу прописки и делать с ними что пожелаете, они ведь все равно меня не послушали :D.
Чекаем :
Имея время и желание, я думаю каждый понимает, что с них можно было бы получить на момент деанона. Но у меня времени катастрофически не хватает. И дабы не быть пиз*а*олом - что обещал - то и сделал. Поделился с общественностью.
2 - какой-то неудачный "админ" псевдобиржи.
В теме не получается более 10 изображений постить, так что ограничусь малым.
Примерно так делаются 300$ за 10 минут времени и внимания к логам.
Прошу прощения за некрасивый топан, время ограничено.
Всем мир !
Прошу прощения за некрасивый топан, время ограничено.
Всем мир !
