COOCKIE.PRO Анализ и Реверс Sorano Stealer от 3xpl01t

Привет, сегодня разберём Sorano Stealer. Функционал стиллера:




Этап I. Анализ файла.
Получив готовый билд, сразу же проверяем его на протект, для этого открываем файл в ExeInfo PE или DiE и смотрим вывод:


1574865944617.png

Видим, что файл накрыт с помощью dotNet Reactor'a, для того, чтобы снять этот обфускатор не требуется особых навыков реверса, нам хватит лишь de4dot'a

Перекидываем билд стиллера на иконку de4dot'a:

1574866413402.png

И получаем более-менее чистый семпл, сразу же открываем его в dnSpy:

1574866512767.png


Этап II. Анализ кода.
Начнём с граббера файлов с рабочего стола, и остальных папок. Вот так выглядит метод получения папок, откуда далее и будут собираться файлы:
1574866977018.png

Что это такое блять? Чтобы вы понимали, если Винда у жертвы установлена не на диске C, граббер не отработает.. Ну а получения папок, неужели разраб этого софта не слышал про Environment.GetFolderPath() ?

Ладно, перейдём к методу получения данных из браузеров. Получение данных точно такое-же, как и в небызисвестном N0F1L3:
1574867617325.png

Куки воруются лишь из 8 браузеров в массиве:
1574867986991.png

С паролями так-же как и у нофайла, из отличительного лишь проверка на имя браузера:
1574868098906.png

Боль в моих глазах появилась снова. Неужели нельзя занести имена браузеров в массив, и с помощью switch'a сделать эту же проверку, но только в несколько строк. Просто пиздец.

Кстати, при анализе Sql-движка, с которым софт и расшифровывает данные, нашёл два довольно серьёзных бага.
1) Если записей в базе данных Login Data нет, то софт просто крашится.
2) Так-же софт не отработает на 32-ух битных машинах.

Как было сказано в теме с продажей, данные отправляются в телеграм, смотрим метод отправки:
1574868656567.png

Ссылка лежит в открытом виде, да ещё и логи проходят через сервер разраба.. Хостится сайт, кстати на НЕ абузоустойчевом хостинге, то есть если создателем этой малвари кто-то заинтересуется, то этот хост выдаст все данные о владельце хоста, и всё, сушите сухари, клиенты Сорано :D.
1574869043074.png

Ну и последнее.
1574869099567.png

Дебаг код в релизе? Да и опять же, если винда жертвы установлена не на диске C, то стиллер просто не отправит вам заветный лог. Вот такие дела.


Подведём итоги.
Логи от 32ух битных машин не идут. При пустой БД софт крашится. Если винда установлена не на диске C, софт крашится.
Достаточное количество CTRL C + CTRL V кода.
Ну и ваши логи на сервере разработчика, как вишинка на торте.

Спасибо за внимание, с уважением @3xpl01t

Скачать сурсы можно тут :
Hidden content. You need Log in or Register.
***Hidden content***
 

Комментарии

veeter

Well-known member
Special User
Регистрация
21.12.2018
Сообщения
114
Симпатии
117
#2
Красиво всё расписал , спасибо за информацию.
Правильно что сделал Анализ и выявил на публику исход стиллера.
 
Симпатии: Понравилось 3xpl01t

Отказ от ответственности!

  • Администрация форума НЕ НЕСЕТ ответственности за контент, размещаемый пользователями.
    Вся информация на сайте coockie.pro - ТОЛЬКО ДЛЯ ОЗНАКОМЛЕНИЯ!
    АДМИНИСТРАЦИЯ НИКОГО НЕ ПРИЗЫВАЕТ К ПРОТИПРАВНЫМ ДЕЙСТВИЯМ!
    При нарушении чьих-либо прав обращайтесь в Telegram "@ping3r"

Быстрая Навигация

Главная Форум

Меню пользователя