6 Antworten in diesem Thema

[gr33d]

Hab nach langem suchen eine funktionierende gecrackte Version vom Remcos Rat gefunden. 

 

Screenshot:

 

HowTo: 

-Remcos Loader.exe als Admin starten

-Auf Launch klicken

 

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

 

Offizielle Webseite:

Please Login HERE or Register HERE to see this link!

 

Remcos.exe

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 

Loader:

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 

 

[rat123]

Danke

Analyse folgt heute

[gr33d]

Der Loader hat zwar sehr viele detections, macht aber keine web-requests. Könnte natürlich die VM erkennen glaube ich aber nicht.

[rat123]

Hab gerade angefangen reinzugucken

Die Backdoor benutzt wieder CRT, nicht einmal static linked. Ältere Versionen von Windows kommen leider nicht mit MSVCP/MSVCRT vorinstalliert.

 

editiere meinen sobald ich mehr rausgefischt habe.

 

edit1: Die Premium Binary und die Freeware sehen sich unheimlich ähnlich, zumindest was die Startroutine angeht.

 

edit2: Prüft als erstes die Mutex im main thread. Wenn Mutex nicht present, dann werden zuerst einige api's dynamisch geladen. Danach wird eine subfunktion aufgerufen und es werden einige checks durchgeführt (environment checks zB Sandboxie, VBox etc.). Wenn etwas erkannt wird dann schmeisst der sich raus und ruft noch eine subfunktion auf welche den bot deinstallieren soll / closen soll. Meiner Meinung nach totaler Müll. Es werden unter anderem auch Process Monitor und Process Explorer in 2 verschiedenen Threads geprüft (FindWindow).

 

Viel zu viel CPU Aufwand und umständlicher code ... naja weiter gehts

 

edit3: nach ein paar routinemäßigen dingen versucht der bot über "eventvwr.exe" (%windir%\system32\eventvwr.exe), eine verrostete Methode, einen Privilege Exploit hervorzurufen. Ist die Dummheit von Microsoft, gibt leider viel zu viele auto-elevated Applikationen im windows Verzeichnis...

 

weiter gehts... 

 

edit für edit #2: Sehe gerade das selbst die Premium Version vom Bot (genau wie bei der Free-Version!!!) die angewichste Methode "IsUserAnAdmin" benutzt um nach Administrationsrechten zu schauen....eine API die nur von XP bis Vista supported wird. Wahrscheinlich auf neueren Versionen deprecated und somit ungenau. HINGEWICHSTER FASTMONEY ROTZ.

 

final edit: Genug Eyecancer. Das war meine static kurz-analysis. Feedback: Sehr schlechter Bot, genau wie die Freeware Version. Der Entwickler hat tatsächlich in der Freeware den selben Code gehabt wie in der Premiumversion, wahrscheinlich wurden nur einige dinge rauskommentiert. Unfassbar. 

Verstehe nicht wieso dieses Produkt von den ganzen Skids auf HF gehyped wird ... sales trash folgt die Tage und Repfuck noch dazu. 

 

 

Danke für's sharen @gr33d

[gr33d]

Danke für die Analyse @rat123

Das der Bot schlecht programmiert ist kann gut sein. Wenn man was gescheites haben will hilft ja oft nur selber machen. Das Problem ist halt meiner Meinung nach, dass in C++ die Verbindung über TCP sehr umständlich zu implementieren ist, also eine Native-Backdoor ist (zumindest in C++) sehr aufwendig. Wie es mit Delphi & Co aussieht weiß ich nicht. In Golang ist es ziemlich simpel aber die Datei wird riesig. Falls du sowas schon mal gemacht hast und ein paar Tipps hast kannst du sie mir gerne verraten Würde mich auf jeden Fall freuen.

[n1nja]

@rat123

 

Tja das ist halt HF:)

 

90% der Tools verwenden solche "einfachen" Methoden.

Was hier wirklich interessant ist, sind doch die Funktionen an sich oder nicht?

 

Zum UAC Bypass. Mit den Regedit Hack ist es nicht wirklich ein Bypass. Der ist doch schon seid Vista bekannt. Der wurde doch mit 8.1 gefixxt. Oder irre ich mich da eben?

 

Wenn man einen richtigen Bypass haben möchte, bringt es den ganzen Codern nix einfach C&P zu usen:)

 

Meiner funktioniert immernoch. Leider nur unter x86 und teilweiß nur in x64. Ich verwende aber die "cryptbase".

Ist auch m.M. nach die beste Lösung.

 

Und ja ich verstehe auch nicht wieso so viel Leute auf API-Calls so geil sind:)

Wie du schon sagtest viel zu viel Auslastung und fällt halt sofort auf.

 

Wenn man Ahnung hat, kann man mit einer Abfrage prüfen, ob die Umgebung eine VM, Sandbox etc. ist.

 

 

Und so wie ich das sehe, versucht der Bot auch erstmal alles zu laden, bevor er irgendwelche "richtige" Aktionen ausführt.

Ist doch auch viel zu aufwendig?! Meine Bots versuchen sich erstmals ins System ein zu nisten, bevor ich irgendwelche "Überprüfungen" durch führe.

 

 

Trotz allem, super Analyse.

 

 

[rat123]

Danke für die Analyse @rat123

Das der Bot schlecht programmiert ist kann gut sein. Wenn man was gescheites haben will hilft ja oft nur selber machen. Das Problem ist halt meiner Meinung nach, dass in C++ die Verbindung über TCP sehr umständlich zu implementieren ist, also eine Native-Backdoor ist (zumindest in C++) sehr aufwendig. Wie es mit Delphi & Co aussieht weiß ich nicht. In Golang ist es ziemlich simpel aber die Datei wird riesig. Falls du sowas schon mal gemacht hast und ein paar Tipps hast kannst du sie mir gerne verraten Würde mich auf jeden Fall freuen.

 

Alles eine Sache der Übung. MSDN bietet eine umfassende Reihe an Dokumentationen und entsprechenden Beispielcodes, perfekt um sich in eine Thematik richtig reinzuarbeiten und die Grundkonzepte zu verstehen. Wenn man in C/C++ eine Endpunkt-Verbindung aufbauen möchte (wie das ein RAT tut) sind Winsocks unvermeidlich. Wenn man jedoch nur mit einem Backend Module kommunizieren möchte (wie z.B. ein central C&C) dann kann man die Wrapper von Win32 benutzen für eine vereinfachte Kontrolle über Network I/O (z.B. WinInet, WinHTTP). 

 

 

@rat123

 

Tja das ist halt HF:)

 

90% der Tools verwenden solche "einfachen" Methoden.

Was hier wirklich interessant ist, sind doch die Funktionen an sich oder nicht?

 

Zum UAC Bypass. Mit den Regedit Hack ist es nicht wirklich ein Bypass. Der ist doch schon seid Vista bekannt. Der wurde doch mit 8.1 gefixxt. Oder irre ich mich da eben?

 

Wenn man einen richtigen Bypass haben möchte, bringt es den ganzen Codern nix einfach C&P zu usen:)

 

Meiner funktioniert immernoch. Leider nur unter x86 und teilweiß nur in x64. Ich verwende aber die "cryptbase".

Ist auch m.M. nach die beste Lösung.

 

Und ja ich verstehe auch nicht wieso so viel Leute auf API-Calls so geil sind:)

Wie du schon sagtest viel zu viel Auslastung und fällt halt sofort auf.

 

Wenn man Ahnung hat, kann man mit einer Abfrage prüfen, ob die Umgebung eine VM, Sandbox etc. ist.

 

 

Und so wie ich das sehe, versucht der Bot auch erstmal alles zu laden, bevor er irgendwelche "richtige" Aktionen ausführt.

Ist doch auch viel zu aufwendig?! Meine Bots versuchen sich erstmals ins System ein zu nisten, bevor ich irgendwelche "Überprüfungen" durch führe.

 

 

Trotz allem, super Analyse.

 

Gibt noch einige UAC Exploits die auf x86/x64 funktionieren, auch mit den letzten Builds von Windows 10. Wie gesagt, ein Fehler von MS so viele Anwendungen als "Whitelisted" (Auto-Elevated) zu setzen. 

 

Ich finde environment-checks sind wichtig bevor man etwas droppen möchte, kannst ja sonst nicht wissen ob du gerade code-virtualisiert läufst und bereits irgendwelche hooks geplaced wurden um calls zu intercepten. Aber wenn man checkt, dann richtig.