Prodam IRC Bot

HackForum

Prodam IRC Bot#
Má někdo zájem koupit irc bot?
!udp //flood
!steal //chrome opera ff
!screen //capture screen
!cmd //control victims command line
!dwn //download file
!ftp //upload file to ftp
FUD - nedetekovatelné žádným antivirem
UAC, Firewall bypass
Pokud by byl zájem dejte vědět tady
(odpovědět)
Prodam | 88.103.0.*17.1.2011 0:36
re: Prodam IRC Bot#
Posli sem odkaz na vysledek testu binarky z virustotal (www.virustotal.com). Btw, pokud neco nabizis, mohl bys uvest i cenu.
(odpovědět)
Zorcinol | 193.200.150.*17.1.2011 15:12
re: Prodam IRC Bot#
Bot je FUD - je napsanej v jave takže ho žádnej antivir neodhalí.
jen ke stealovani Chromu a Opery jsem použil Visual .NET.. snadněji se přistupuje k WindowsApi
FF používá drops, takže 2 fily co ti přidou musíš ještě pustit ve firefoxu.. vomrd ale jde to..

Za pár hodin spamování chatu jsem získal asi toto:
62 klientu online - odhaduju tak 150 infected (offline atm) celkem..
[link]

Cenu jsem nepsal protože ji ještě nemam vymyšlenou.. Čekam na nabídky (bez zdrojáku, jen 1 kompilace s danou DNS adresou.., veškeré updaty [Podpora Mac atd])

A jen tak btw, na virustotal svoje viry a hacky nikdy neuploaduj - testovaný soubory (ikdyž jsou FUD) jsou přeposílány antivirovým společnostem a ty si je dál testujou.. takže tvuj vir je pak ihned detekovatelnej
Radši
[link]
a zaškrtnout Do not distribute the sample
(odpovědět)
Prodam | 88.103.0.*17.1.2011 18:08
re: Prodam IRC Bot#
"(bez zdrojáku,...."

kthxbai

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail17.1.2011 19:09
re: Prodam IRC Bot#
Když mi dáš 5000,- tak ti dam i zdroják.. každopádně pokud si myslíš že za pár stovek seženeš FUD IRC bot tak jsi asi hodně naivní.. no nic
(odpovědět)
Prodam | 88.103.0.*17.1.2011 19:23
re: Prodam IRC Bot#
fud irc bot za 5k? dost predrazene na to ze irc boti uz jsou trosku offtop z duvodu snadneho odhaleni hnizda. navic nedisponuje zrovna nejsirsim skalou funkci. dojdi se zeptat az budes mit ovladani pres http. a nikd nevidim dukaz ze je skutecne fud.
(odpovědět)
Shooogun | 193.200.150.*17.1.2011 20:30
re: Prodam IRC Bot#
Je to java = je to FUD..
Pokud myslis "odhalenim hnizda" ze strany providera IRC servru, resp. VPS na kterem ti IRC běží, pak máš pravdu.


Http jsem taky zvažoval, ale na druhou stranu, HTTP bot má celkem špatné ovládání - delay po odeslání příkazu atd..

Jedinou a hlavní výhodu v HTTP botu vidím v tom, že může běžet i za Web Proxy..

Jaké zásadní funkce by tu měli ještě být?
(odpovědět)
Prodam | 88.103.0.*17.1.2011 20:57
re: Prodam IRC Bot#
Ja jsem o cene nemluvil, tak nechapu, proc rikas neco o stokorunach. A tve tvrzeni
java = FUD jsi vzal jako kde ROFLMAO? To, ze neco udelas v jave, rozhodne neznamena, ze je to FUD.

Navic pokud spravne chapes termin FUD, tak i po odeslani na virustotal a po odeslani tvurcum antiviru by to melo byt stale FUD. FUD je nevystopovatelny, treba protoze pouziva kryptovani atd. Java neznamena FUD...

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail18.1.2011 12:08
re: Prodam IRC Bot#
Ano o ceně jsi nemluvil, sorry.
LKaždopádně vzhledem k tomu, že antivir nemuže scanovat Javu (může ale nepozná o co se jedná) tak tvrzení že java je FUD je správné.. Navíc běžící java program se pokaždé tváří jinak (pro antivir), takže on se nemůže vyhledávat jednotlivé "škodlivé" stringy, jelikož jsou pokaždé jinak a jinde.

A krypter ti pomůže jen na pár týdnů, protože po čase se tzvn. "stub", ktery krypter k programu přidává, stejně rozšíří a antivir ho začne detekovat jako hrozbu.
(odpovědět)
Prodam | 90.179.191.*18.1.2011 12:23
re: Prodam IRC Bot#
A co hash toho souboru ulozeny v databazi antiviru, vytazenych par bajtu nebo neco podobneho? To te nenapadlo?

To, ze antiviry neumi pouzivat heuristickou analyzu na soubory JAR jeste neznamena, ze je nedokazou odhalit jinak.
(odpovědět)
independent_ | 89.24.100.*18.1.2011 20:09
re: Prodam IRC Bot#
Ano podle hashe by se to odhalit dalo.. kazdopadne sebemensi uprava programu hash zmeni a zacina se od nuly takze tohle bych fakt neresil ^^
(odpovědět)
Prodam | 88.103.0.*18.1.2011 20:13
re: Prodam IRC Bot#
Proto taky AV neporovnávají hash, ale spíš vyhledávají určité řetězce v různých částech programu.
(odpovědět)
Bystroushaak_ | 147.230.164.*18.1.2011 23:40
re: Prodam IRC Bot#
Výborně, a proto to javu nemůže najít protože prostě nedokáže rozpoznat jednotlivé části Java Bytecodu.
(odpovědět)
Prodam | 90.179.191.*19.1.2011 10:39
re: Prodam IRC Bot#
Co je zase tohle za shit? AV se nemusí vůbec zabývat rozpoznáváním bytecodu a statickou analýzou, stačí mu porovnat sekvence bytů v dané binárce a jejich přibližné (!) umístění.

Obejít se to dá například tím, že každou fci napíšeš 20x jinak se stejným výsledkem, budeš je volat různě po sobě, do kódu vložíš různý bordel atp.. Nejlepší by yasi by,lo si na to napsat nějaký obfuskátor. Další možnost poskytuje packování, xorování a jiné šifrování. Třeba stuxnet to tuším řeší tak že si stáhne zašifrovanou dll, rozšifruje jí do paměti a pak jí předá řízení.

Dále je tu heuristika, která prostě porovnává chování daného programu a pokud se schoduje s nějakými vzory, nebo dělá něco co není očekávané od běžného programu, prohlásí ho za malware.

Téměř každý malware je FUD jen do té doby, dokud si ho někdo z av společnosti nezanalyzuje a nepopíše jeho chování..

BTW; Jak řešíš skrývání v systému, když ti tam musí běžet JRE, nebo nějaký jeho ekvivalent?
(odpovědět)
Bystroushaak_ | 147.230.3.*19.1.2011 12:52
re: Prodam IRC Bot#
Jelikož AV společnosti nemají žádný "dekompilátor" javy, tak jediné co jim zbývá, je porovnat bity jednoho JARu s bity již detekovaného JARu.. A vzhledem k tomu, že taková databáze je příliž malá tak moc šancí nemají..
a i když už by muj BOT byl prohlášen jako infikovaný tak stačí lehce pozměnit kod a sekvence bitů v JARu bude natolik odlišná od předchozího že to AV nerozpozná..
Každopádně bot je zatim FUD 0/16 :)

Běží to pod javou, takže v liště je vidět JVM ikona.
(odpovědět)
Prodam | 90.179.191.*19.1.2011 14:22
re: Prodam IRC Bot#
"Jelikož AV společnosti nemají žádný "dekompilátor" javy, tak jediné co jim zbývá, je porovnat bity jednoho JARu s bity již detekovaného JARu.."

Jestli se jedná o JAR, tak tam ani dekompilátor mít nepotřebují, jedná se o normální archiv postavenej nad ZIPem ([link]).

Co tě navíc vede k tomu že ho nemají? Java je z velké části opensource a dekompilátor si tak může napsat každá kdo chce.

"a i když už by muj BOT byl prohlášen jako infikovaný tak stačí lehce pozměnit kod a sekvence bitů v JARu bude natolik odlišná od předchozího že to AV nerozpozná.."

Ne.

Jakmile se to dostane do rukou AV firmám, tak to příslušní lidé zanalyzují, označí sekvence bitů potřebné pro detekci a případně zmapují profil chování. Nebudou to roboti ani idioti, ale odborníci v oboru, kteří jsou za tuto práci dobře placení. Pak už to rozhodně FUD nebude a nepomůže ti nic než podstatné přepsání.

"Běží to pod javou, takže v liště je vidět JVM ikona."

Aha, takže je to fakt FUD - antiviry to nedetekují, ale prosté lidské oko ano :P. To se ani nebavím o tom co bude vidět v hijackthis a tasklistu.

BTW: Neukládájí se náhodou do jaru lehce obfuskované zdrojáky, XML soubory a další, na informace bohaté, textové soubory?
(odpovědět)
Bystroushaak_ | 147.230.164.*19.1.2011 15:01
re: Prodam IRC Bot#
Naivní si ty, pokud si myslíš, že ti někdo něco takového (bez jakéhokoliv důkazu o pravosti, funkčnosti) koupí.
(odpovědět)
sLa | 89.103.69.*17.1.2011 20:16
re: Prodam IRC Bot#
Samozřejmě že nemám problém dokázat funkčnost ani pravost (zdroják nedam ale teamviwer neni problém)

Stačí když někdo má zájem..

(odpovědět)
Prodam | 88.103.0.*17.1.2011 20:30
re: Prodam IRC Bot#
Ale ok máš pravdu,

doladim pár much a během týdne udělam nový topic včetně "trial" verze..
(odpovědět)
Prodam | 88.103.0.*17.1.2011 20:37
re: Prodam IRC Bot#
Pro neznalé: co je FUD?
Google zná jen Fear, uncertainty and doubt...
Díky

----------
Dal bych všechno co vím za polovinu toho co neznám.
(odpovědět)
Taypan | E-mail17.1.2011 21:30
re: Prodam IRC Bot#
Ne, Googla zna u Fully Undetectable. To jen ty neumis google pouzivat ;-)

Hint: [link]

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail18.1.2011 12:09
re: Prodam IRC Bot#
Fully Undetectable - žádná antivir ho neodhalí :)
(odpovědět)
Prodam | 88.103.0.*17.1.2011 21:33
re: Prodam IRC Bot#
Neexistuje java decompilator. Lul. Exe decompilator do C++ jo, ze?

[link]


(odpovědět)
cicilover | 109.74.146.*19.1.2011 14:53
re: Prodam IRC Bot#
...protoze jak jinak by mohly AV spolecnosti analyzovat, nez binarka > C*
(odpovědět)
rpte | 109.74.146.*19.1.2011 14:55
re: Prodam IRC Bot#
JAVA <> FUD
Co se týče toho FUD, myslím, že už bylo dost řečeno Bystroushákem. O tom, že se to reverznout dá, a že to někdo dřív nebo později udělá nemůže být pochyb.
Co se týče funkcí, nevidím tam nic převratného - spíše naopak. Všechno co uvádíš je trochu studia public kódu, socketů...
UDP flood ? pfff :))
File download, screen capture, exec ? S trochou nadsázky 50 řádek WINAPI kódu.
UAC/Firewall bypass ? Divím se, že tam nemáš připsánou ještě "antiemulaci" (samozřejmě c&p už dávno nefunkčních public codes).
Je úsměvné, že jako server jsi zvolil právě IRC - předpokládám, že SSL ten tvůj bot nepodporuje..
Sečteno a podtrženo, za zdrojáky toho kódu bych nedal ani kilo :P
Komunikace s HTTP serverem není tak úplně real-time. Ale to je z mého pohledu první a poslední nevýhoda, která vlastně není zase tak moc důležitá. Pokud má bot něco jako "cron/at", laicky řečeno "něco co spouští události v předem určený okamžik", prodleva mezi zadáním a provedením příkazu může být v řádu pár minut. A pokud člověk potřebuje se zombie komunikovat v reálném čase, máme tu sockety, bind/reverse shelly, a nebo třeba jen přepnutí do režimu kdy jsou data čtený třeba z ICMP requestů (ano, já vím, zastaralé :o)). Ale co jsem chtěl říct je, že při řešení například JAVA (klient) vs. PHP/MYSQL (server) můžeš využívat dalších výhod - třeba záznam dat do databáze > jednoduchý managment dat (keylog/sniffed/whatever data, správa uživatelů/úloh/logů). Také komunikace s boty se dá velice dobře zamaskovat, můžeš příkazy třeba předávat v HTTP hlavičce.
Na spoustě serverů se dá výhodně parazitovat, a ne každý musí být řídící - některé můžou sloužit jen jako "redirektory" právě na ty řídící. Fantazii se meze nekladou. Jako jednu z posledních výhod, kterou bych rád vyzdvihnul je, že web serverů je mnohem více než IRC serverů, takže si člověk může hrát na větším písečku.
Na závěr už jen taková maličkost. Šíření spamováním fór/chatů/... je blbost. Zaměřil bych se na skutečnost exploitaci. Především dobře automatizovanou. Ono třeba takové pasivní skenování vůbec není těžké, když člověk na webserveru může jednoduchým PHP scriptem vyčíst co návštěvník používá za OS, jakou má verzi prohlížeče, ... ;)
Tímhle vším tě, prosím, nechci urazit (a doufám, že se tak nestalo) a myslím, že bude dobré když budeš v tom co děláš pokračovat.



(odpovědět)
20dacd6184f3a1b0a2b5064622269cfb | 192.251.226.*19.1.2011 22:41
re: Prodam IRC Bot#
Diký za konstruktivní komentář :)
U Javy a FUD, jsem stále přesvědčen, že mají značně delší "FUD time" než běžný .exe. Např, co se týče runtime scanu, tak antivir nemá šanci, jelikož to běží pod JVM. A i při scantimu je java program kryptován.. a i tak je lehčí udělat program scantime FUD než runtime FUD.

O tom HTTP botu jsem nyní začal vážně uvažovat, jelikož, jak říkáš, real-time komunikace s botem jsem použil opravdu málokdy, a navíc by to nemělo být ani moc náročné, php zvládám dobře.. Každopádně čeká mě maturita tak se mi do toho ted moc pouštět nechce :D


Jen bych se zeptal, jak by jsi řešil nastavování adres, kam se má bot připojit. Zakompilovat jednu fixní do bota je blbost.. spíše jsem si řikal třeba 2 adresy na webzdarma, kde by si to přečetlo .txt s dalšíma linkama kam se připojit, a tam by už běžela www aplikace. A kdyby www aplikace byli zrušeny, tak se jen přepíše .txt na webzdarma a jede se dál..

Každopádně díky ahoj
(odpovědět)
Prodam | 88.103.0.*21.1.2011 10:20
re: Prodam IRC Bot#
a co kdyz ti zrusi ty dva ucty na wz? =)
dela se to tak, ze se adresy serveru s instrukcemi generuji, pokud je server nedostupny (nebo proste jen v pravidelnych intervalech), vygeneruje se dalsi adresa, ktera jiz musi existovat, v samotnem klientu vsak natvrdo zapsana neni. jednoduchy priklad:
kazdy tyden se bude menit adresa serveru s prikazy, pokud se tedy AV spolecnosti nebo CERTu podari znepristupnit jeden uzel, bude to na mene nez 7 dni (v realu je to mnohem lepe vychytane, tohle je jen jednoduchy priklad pro predstavu). v klientu je generator jmen serveru podle tydne, neco jako

substr(md5(StrFTime("%W", Time())), 0, 10);

tento tyden by se tedy klient pripojoval na adresu
e45ee7ce7e.wz.cz
pristi tyden na
7d0665438e.wz.cz
atd.
(odpovědět)
Emkei | E-mail | Website | PGP21.1.2011 11:06
re: Prodam IRC Bot#
to je pěkný!

no řikal jsem si že učet, kde bude jen txt nezrušej.. Ale je fakt že kdyby to někdo analyzoval tak na to přijdou hned.
Díky
(odpovědět)
Prodam | 88.103.0.*21.1.2011 11:34
re: Prodam IRC Bot#
Já jsem to prozatimně vyřešil tak, že používám komentáře na blozích. Z legálního hlediska by asi nebylo úplně jednoduché jejich sestřelení (nutno dodat že se jedná o pouhý výzkum za účelem studia, žádný botnet neprovozuji). Díky různým blogovacím systémům existují jejich seznamy a pro bota tak není problém v nich vyhledat nové stanoviště v případě že ten původní přestane existovat.

Zpráva má podobu b64 s hlavičkou která obsahuje timestamp a adresou pro koho je určená. Samotné tělo zprávy je šifrováno a na konci následuje md5sum dat.
(odpovědět)
Bystroushaak_ | 83.208.175.*21.1.2011 22:05
re: Prodam IRC Bot#
Proc TXT? proc ne PHP, ktere to v sobe bude mit zasifrovane napr klicem $_SERVER['HTTP_USER_AGENT'] a $_GET['verze'] ?
(odpovědět)
L | 109.74.146.*21.1.2011 22:47

Zpět
 
 
 

 
BBCode