C# Исходники Borr-Stealer

CYBER

.:Главный злодей:.
Admins
Регистрация
7 Янв 2018
Сообщения
724
Реакции
1,010
Депозит
2457$
Продажник: Для просмотра ссылки Войди или Зарегистрируйся
Семпл: Реверс
Для начала откроем файл в ExeInfoPe.

Исходный семпл
DotNet файл, накрытый SmartAssembly. Первым делом попытаемся скормить его De4dot.

Результат не порадовал, чистого файла мы не получили. Придется смотреть вручную. Открываем файл в DnSpy, переходим в .cctor

.cctor
Ничего интересного в этих методах я не нашел. Но зато меня привлек файл в ресурсах, очень похожий на шифрованный бинарник.

Значит, в каком то куске кода он будет расшифрован и подгружен. Пропускаем методы (ставим брекпоинт в конце .cctor), шагаем и смотрим модули

Подгрузилась Dll (1thzpxouagh). Сохраняем ее и открываем в DnSpy.
Оказывается, стиллер накрыт криптом из SmartAssembly + RunPE. Стаб использует RunPE, а значит скорее всего в ресурсах нативный файл.

Смотрим ресурсы, видим шифрованный файл. В самом коде все главные методы без обфускации. Написать декриптор будет просто.

Пишем декриптор
После расшифровки получаем чистый билд. Откроем его в ExeInfoPE.

Чистый билд
Файл нативен, и это правда. Но несовсем. Данный софт использует технологию Для просмотра ссылки Войди или Зарегистрируйся. Грубо говоря, перед нами сейчас нативная обертка DotNet файла.
С точки зрения написания малвари кажется, что этот способ сокрытия кода наиболее эффективен. Однако это не панацея. В процессе работы будет подгружен .net модуль, который легко сдампить.
В нашем случае все еще проще. Стиллер работает какое-то время, а значит можно даже не искать нужные брекпоинты - просто запускаем приложение в дебаггере, ждем несколько секунд и ставим паузу. Net модуль загружен, можно дампить.
Лично я испльзовал x32dbg и ExtremeDumper.

Дампим, дампим, дампим...
Что делаем? Правильно.

Последний рывок
Неизвестный обфускатор. Ничего страшного, открываем в DnSpy и видим мод конфузера.

Шо, опять?
Ставим брекпоинт на Main, чекаем переменные.

Сохраняем, открываем, уже лучше. Однако строки и методы все равно обфусцированны.

Теперь пришло время заюзать спец тулзы для конфузера. В конце концов имеем чистые сурсы.


Анализ кода
Первое что бросается в глаза - конфиг передается открытым текстом. Неужели так сложно было сделать банальный XOR+base64? Просто несерьезно.

Лоадер дропает EXE со статичным именем в TEMP. Привет рантайм.

Далее меня привлек конфиг. Как я понял, при запуске стиллер проверяет, действительна ли лицензия, и если все ок то продолжает работу. Как по мне это не самый лучший подход. Что если сервер/ip забанят? Как этот запрос в сеть скажется на рантайме, учитывая что все билды будут стучать на этот хост?

Кстати, вот Для просмотра ссылки Войди или Зарегистрируйсястучит софт при запуске.

Сбор данных с браузера осуществляется с помощью дроченого SqliteHandler.

Я не знаю почему все юзают CryptUnprotectData, когда есть System.Security.Cryptography.ProtectedData

Стиллер outlook в наглую спизжен с моих сурсов. Даже не оптимизировали по нормальному.

Можно было бы добавить больше FTP.

Лог собирается на диске, причем папка дропа статична. Снова рантайм.

И самое большое огорчение - граббер. Софт/панель не предусматривают возможность добавления собственных путей сбора файлов.
В топике было написано о обходе WindowsDefender, но где этот обход находится я так и не нашел. Для просмотра ссылки Войди или Зарегистрируйся чистого файла.
Создается впечптление что софт написан на похуй. Ни многопоточности, ни каких то других фишек - абсолютно дефолтный стиллер с дефолтными методами с гитхаба.
На этом желание копать дальше пропало - все это я уже видел.

Панель
В командах (?) Borr и Krown один и тот же web кодер, поэтому их панели похожи.

Borr

Krown

Настройки граббера

Поиск по логам
Нужно отдать должное, панель в этом софте выглядит круто. Но настройки конфига скудноваты (имхо).

Итог
Borr Stealer - салат из правленных исходников с гитхаба с минимумом новизны и щепоткой конфузера.
-Путей сбора файлов мало
-При этом добалять свои пути невозможно
-Судя по стилю написания кода, создается впечатление, что софт написан не малвар-кодером, а фрилансером за еду
Как по мне, данный продукт не соответствует цене (30$ в неделю без крипта).
Единственное что понравилось - обфускация (было интересно реверсить) и панель.

Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся(onek1lo)
 

Вложения

maska0f

Новичек
Регистрация
10 Фев 2020
Сообщения
4
Реакции
0
будь добр ответь в лс
 
Сверху