Кот атакует! Изучаем открытый стилер StormKitty

Не большой, но очень простой заработок...
9 часов назад
Не большой, но очень простой заработок...
7 часов назад

Партнер

Содержание статьи

  • Многофункциональная стопа
  • Монтаж
  • Тестирование
  • Что в сумке?
  • Заявление

При пентестировании организации часто необходимо выполнить загрузку на скомпрометированном компьютере. Самым убедительным доказательством успеха для клиента станет список паролей от компьютеров сотрудников, а в их получении поможет отличный стайлер StormKitty. Это бесплатно, с открытым исходным кодом, стабильно работает и отправляет результаты прямо в Telegram. Это чудо, а не стайлер. Неудивительно, что его уже убрали с гитхаба (но ненадолго), и антивирусы завопили при его появлении.

Раз уж вы читаете Хакера, нет смысла говорить, зачем нужен стилист и чем он отличается от кодера или спасателя. Лучше возьмем исходники или готовый билд с зеркала проекта GitHub, распакуем и посмотрим повнимательнее.

warning

Автор и редакция не несут ответственности за любой ущерб, возникший в результате использования материалов, содержащихся в этой статье. Распространение вредоносных программ, несанкционированный доступ к информации и раскрытие тайны переписки являются преступлениями. При проведении тестирования на проникновение требуется письменное соглашение с заказчиком.

Cпособ заработка, благодаря которому вы решите свои финансовые проблемы, и обеспечите себя...
7 часов назад
На какие тактики настраивать РСЯ, какие фразы подбирать, кому показывать рекламу, как получать...
8 часов назад

Лапки многофункциональные

Что наш кот вообще умеет? По словам автора — много. Есть собственно кража данных, снятие отпечатков системы и еще более продвинутые функции, такие как контранализ и обфускатор, встроенные в сборщик. Только он не умеет пить пиво! Вот полный список заявленных функций:

  • Антианализ. Сюда входит обнаружение виртуальных машин Hyper-V, VirtualBox и VMware (по идентификаторам виртуальных машин), песочниц Sandboxie и COMODO (по списку процессов), а также анализ с помощью VirusTotal и Any.Run. Антиотладчик просто дергает функцию WinAPI CheckRemoteDebuggerPresent, а защита от запуска в системах онлайн-аналитики проверяет, принадлежит ли внешний IP хостинг-провайдеру. Честно говоря, я ожидал чего-то большего здесь.
  • Отпечаток пальца. Он собирает версию операционной системы, модель и спецификацию процессора и графического процессора, оперативную память, IP-адреса, BSSID окружающих точек доступа, геолокацию, информацию об экране и установленных программах. Список довольно длинный, и StormKitty даже генерирует системный идентификатор для уникальной идентификации вашего компьютера. Также поставляется ключ активации системы и список процессов.
  • Кража данных из браузеров. Браузеры на основе Chromium (пароли, картографические данные, файлы cookie, история, данные автозаполнения и закладки украдены), Firefox (файлы cookie, история и закладки, а также другие файлы базы данных из папки браузера), Internet Explorer и Microsoft Edge (скачивается с только пароли).
  • Информация о сети Wi-Fi. Styler отправит вам сохраненные сети и результаты сканирования доступных сетей (SSID и BSSID найденных точек доступа включены в отчет).
  • Соберите файлы с вашего компьютера. Документы, изображения, исходный код, базы данных — практически все, что имеет ценность. Стилизатор также умеет работать с флешками. В коде указаны форматы файлов, которые необходимо украсть. Если с картинками и документами все более-менее предсказуемо, то автор решил украсть много исходного кода: в список языков для кражи входят C, C++, C#, Assembler, Bash, Python, HTML и CSS (WTF?), PHP, Go, JavaScript, Ruby, Perl, Swift, Java и Kotlin.
  • Обнаружение банковских и криптовалютных сервисов в браузерах. В то время как вышеперечисленные характеристики еще можно заработать в благих целях, тыкать финансовые страницы однозначно неправильно. Мы не тестировали эту функцию и не рекомендуем ее вам.
  • Кража сессий с игровых платформ. К ним относятся Steam, Uplay, Battle.Net и, конечно же, всеми любимый Minecraft.
  • Установка кейлоггера и клиппера. В то время как кейлоггер говорит сам за себя, и в предыдущей статье я даже показал вам, как сделать его самостоятельно, Clipper — менее известная форма вредоносного ПО. Суть его в том, что он ищет в буфере обмена определенную информацию и заменяет ее другими. Типичным примером являются адреса биткойн-кошельков и других криптовалют, которые вряд ли у кого-то хватит смелости ввести вручную. Хоба — и адрес сломался и на левый кошелек улетели ценные биткойны.
  • Скриншоты и камера. Автор утверждает, что камера активируется, когда пользователя замечают во время просмотра непристойного контента.
  • Кража VPN-аккаунта. В список входят ProtonVPN, OpenVPN и NordVPN.
  • Коллекция важных файлов локального кошелька. Да-да, у Троя даже для этого есть специальная функция. Недаром его когда-то продавали на подпольных форумах. Что касается неработающих кошельков, к ним относятся Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi. Осмелюсь сказать, что вы никогда не будете использовать эту функцию.
  • Структура каталогов с записями.
  • Скопируйте сеансы Telegram. Злоумышленник будет использовать тот же токен, что и первоначальный пользователь, поэтому в списке активных сеансов не появятся дополнительные записи.
  • Учетные записи Outlook, Pidgin, Skype, Discord и Filezilla. Здесь нет комментариев.
  • Автозагрузка. Было бы странно, если бы его не было. Его реализация на удивление проста: исполняемый файл просто копируется в папку автозапуска — никаких реестров и планировщиков.

Как видите, набор функций весьма обширен (и добрая половина из них даже близко не легитимна). Но несмотря на это выходная сборка весит всего 239кб и все зависимости встроены.

Установка

Если вы загрузили исходный код, вам придется сначала его собрать. Код написан на C# и легко читается, поэтому можно вживую изучить структуру таких программ. Для построения я использовал Visual Studio 2019 с установленным компонентом разработки рабочего стола .NET. Все компилируется мгновенно и без заминок — потрясающе!

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе на определенный срок даст вам доступ ко ВСЕМ материалам «Хакера», позволит скачивать номера в формате PDF, отключит рекламу на сайте и увеличит вашу личную накопительную скидку! Более

Получи все нужные навыки для заработка на NFT всего за 28 дней!
7 часов назад
Стань экспертом по маркетплейсам и управляй своими заработком
6 часов назад

Читайте также