F
FBI
Тема с другого форума,но все-же интересно почитать.
Недавно мне перепал семпл инфостиллера, продающегося на андеграундных СНГ форумах с ценником в 3000 рублей. Грех было не разобраться, что да как тут работает.
Первичный анализ
Вес: 36.5 KB
Хеш SHA1: 96b8f20a7aeb3cc4773ebcc0e34d22e671749002899b1fe64939a28e230d131e
Зная СНГшных кодеров, первым делом я полез проверять удачу попыткой открыть билд в dotPeek’е и я ни капли не удивился, когда тот разобрал по-полочкам даже не обфусцированный толком (sic!) код:
Разбор тела
В билде используется встроенный компилятор .NET, который компилирует вложенный код (который запакован, кстати, в base64):
Взяв самую длинную строку и дважды прогнав через онлайн-декодер base64, был получен код лоадера (логин владельца копии стиллера пришлось прикрыть):
Разбор лоадера
Почему лоадера? Всё просто — малварь авторизовывается на удаленном сервере, получает в ответ код самого стиллера (без обфускации!) и компилирует его уже известным нам System.CodeDom.Compiler. Собираем из декодированного кода проект и отправляемся в Visual Studio.
Достаем код стиллера
Для следующего шага я создал новый проект C# Console Application и скопировал вытащенный из base64 код лоадера.
Сколько нужно лампочек строчек, чтобы выгрузить код самого стиллера с сервера? Столько (не бейте, я давно не писал на C#):
Просто втыкаем запись полученного кода в файл перед компиляцией (саму компиляцию я закоментировал) и всё — вы слили исходный код инфостиллера за 3к, вы восхитительны! Шутка, еще не конец.
Анализ кода стиллера
Если вы думаете, что на этом выгрузка файлов с сервера завершена, то вы ошибаетесь.
На этот раз нас ждет подгрузка рабочих DLL. Режем весь код стиллера и оставляем только саму загрузку необходимых файлов:
Получаем следующие файлы:
Идем в наш любимый DotPeek и декомпилим Decrypt.dll:
А вот теперь мы слили код стиллера.
Итог
Вот такую низкосортную малварь продают в наше время — не зная ровным счетом ничего об этом стиллере, буквально за пару минут был получен исходный код. В самом коде ничего занимательного не нашел — стилить данные из браузеров можно куда более простым путем. Моя субъективная оценка: троечка по десятибальной.
Ссылки
Исходный код билда, лоадера и стиллера на GitHub: Dendimirror_Stealer
Недавно мне перепал семпл инфостиллера, продающегося на андеграундных СНГ форумах с ценником в 3000 рублей. Грех было не разобраться, что да как тут работает.
Первичный анализ
Вес: 36.5 KB
Хеш SHA1: 96b8f20a7aeb3cc4773ebcc0e34d22e671749002899b1fe64939a28e230d131e
Зная СНГшных кодеров, первым делом я полез проверять удачу попыткой открыть билд в dotPeek’е и я ни капли не удивился, когда тот разобрал по-полочкам даже не обфусцированный толком (sic!) код:
Разбор тела
В билде используется встроенный компилятор .NET, который компилирует вложенный код (который запакован, кстати, в base64):
Взяв самую длинную строку и дважды прогнав через онлайн-декодер base64, был получен код лоадера (логин владельца копии стиллера пришлось прикрыть):
Разбор лоадера
Почему лоадера? Всё просто — малварь авторизовывается на удаленном сервере, получает в ответ код самого стиллера (без обфускации!) и компилирует его уже известным нам System.CodeDom.Compiler. Собираем из декодированного кода проект и отправляемся в Visual Studio.
Достаем код стиллера
Для следующего шага я создал новый проект C# Console Application и скопировал вытащенный из base64 код лоадера.
Сколько нужно лампочек строчек, чтобы выгрузить код самого стиллера с сервера? Столько (не бейте, я давно не писал на C#):
Просто втыкаем запись полученного кода в файл перед компиляцией (саму компиляцию я закоментировал) и всё — вы слили исходный код инфостиллера за 3к, вы восхитительны! Шутка, еще не конец.
Анализ кода стиллера
Если вы думаете, что на этом выгрузка файлов с сервера завершена, то вы ошибаетесь.
На этот раз нас ждет подгрузка рабочих DLL. Режем весь код стиллера и оставляем только саму загрузку необходимых файлов:
Получаем следующие файлы:
Идем в наш любимый DotPeek и декомпилим Decrypt.dll:
А вот теперь мы слили код стиллера.
Итог
Вот такую низкосортную малварь продают в наше время — не зная ровным счетом ничего об этом стиллере, буквально за пару минут был получен исходный код. В самом коде ничего занимательного не нашел — стилить данные из браузеров можно куда более простым путем. Моя субъективная оценка: троечка по десятибальной.
Ссылки
Исходный код билда, лоадера и стиллера на GitHub: Dendimirror_Stealer
