Партнер
Содержание статьи
- Многофункциональная стопа
- Монтаж
- Тестирование
- Что в сумке?
- Заявление
При пентестировании организации часто необходимо выполнить загрузку на скомпрометированном компьютере. Самым убедительным доказательством успеха для клиента станет список паролей от компьютеров сотрудников, а в их получении поможет отличный стайлер StormKitty. Это бесплатно, с открытым исходным кодом, стабильно работает и отправляет результаты прямо в Telegram. Это чудо, а не стайлер. Неудивительно, что его уже убрали с гитхаба (но ненадолго), и антивирусы завопили при его появлении.
Раз уж вы читаете Хакера, нет смысла говорить, зачем нужен стилист и чем он отличается от кодера или спасателя. Лучше возьмем исходники или готовый билд с зеркала проекта GitHub, распакуем и посмотрим повнимательнее.
warning
Автор и редакция не несут ответственности за любой ущерб, возникший в результате использования материалов, содержащихся в этой статье. Распространение вредоносных программ, несанкционированный доступ к информации и раскрытие тайны переписки являются преступлениями. При проведении тестирования на проникновение требуется письменное соглашение с заказчиком.
Лапки многофункциональные
Что наш кот вообще умеет? По словам автора — много. Есть собственно кража данных, снятие отпечатков системы и еще более продвинутые функции, такие как контранализ и обфускатор, встроенные в сборщик. Только он не умеет пить пиво! Вот полный список заявленных функций:
- Антианализ. Сюда входит обнаружение виртуальных машин Hyper-V, VirtualBox и VMware (по идентификаторам виртуальных машин), песочниц Sandboxie и COMODO (по списку процессов), а также анализ с помощью VirusTotal и Any.Run. Антиотладчик просто дергает функцию WinAPI CheckRemoteDebuggerPresent, а защита от запуска в системах онлайн-аналитики проверяет, принадлежит ли внешний IP хостинг-провайдеру. Честно говоря, я ожидал чего-то большего здесь.
- Отпечаток пальца. Он собирает версию операционной системы, модель и спецификацию процессора и графического процессора, оперативную память, IP-адреса, BSSID окружающих точек доступа, геолокацию, информацию об экране и установленных программах. Список довольно длинный, и StormKitty даже генерирует системный идентификатор для уникальной идентификации вашего компьютера. Также поставляется ключ активации системы и список процессов.
- Кража данных из браузеров. Браузеры на основе Chromium (пароли, картографические данные, файлы cookie, история, данные автозаполнения и закладки украдены), Firefox (файлы cookie, история и закладки, а также другие файлы базы данных из папки браузера), Internet Explorer и Microsoft Edge (скачивается с только пароли).
- Информация о сети Wi-Fi. Styler отправит вам сохраненные сети и результаты сканирования доступных сетей (SSID и BSSID найденных точек доступа включены в отчет).
- Соберите файлы с вашего компьютера. Документы, изображения, исходный код, базы данных — практически все, что имеет ценность. Стилизатор также умеет работать с флешками. В коде указаны форматы файлов, которые необходимо украсть. Если с картинками и документами все более-менее предсказуемо, то автор решил украсть много исходного кода: в список языков для кражи входят C, C++, C#, Assembler, Bash, Python, HTML и CSS (WTF?), PHP, Go, JavaScript, Ruby, Perl, Swift, Java и Kotlin.
- Обнаружение банковских и криптовалютных сервисов в браузерах. В то время как вышеперечисленные характеристики еще можно заработать в благих целях, тыкать финансовые страницы однозначно неправильно. Мы не тестировали эту функцию и не рекомендуем ее вам.
- Кража сессий с игровых платформ. К ним относятся Steam, Uplay, Battle.Net и, конечно же, всеми любимый Minecraft.
- Установка кейлоггера и клиппера. В то время как кейлоггер говорит сам за себя, и в предыдущей статье я даже показал вам, как сделать его самостоятельно, Clipper — менее известная форма вредоносного ПО. Суть его в том, что он ищет в буфере обмена определенную информацию и заменяет ее другими. Типичным примером являются адреса биткойн-кошельков и других криптовалют, которые вряд ли у кого-то хватит смелости ввести вручную. Хоба — и адрес сломался и на левый кошелек улетели ценные биткойны.
- Скриншоты и камера. Автор утверждает, что камера активируется, когда пользователя замечают во время просмотра непристойного контента.
- Кража VPN-аккаунта. В список входят ProtonVPN, OpenVPN и NordVPN.
- Коллекция важных файлов локального кошелька. Да-да, у Троя даже для этого есть специальная функция. Недаром его когда-то продавали на подпольных форумах. Что касается неработающих кошельков, к ним относятся Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi. Осмелюсь сказать, что вы никогда не будете использовать эту функцию.
- Структура каталогов с записями.
- Скопируйте сеансы Telegram. Злоумышленник будет использовать тот же токен, что и первоначальный пользователь, поэтому в списке активных сеансов не появятся дополнительные записи.
- Учетные записи Outlook, Pidgin, Skype, Discord и Filezilla. Здесь нет комментариев.
- Автозагрузка. Было бы странно, если бы его не было. Его реализация на удивление проста: исполняемый файл просто копируется в папку автозапуска — никаких реестров и планировщиков.
Как видите, набор функций весьма обширен (и добрая половина из них даже близко не легитимна). Но несмотря на это выходная сборка весит всего 239кб и все зависимости встроены.
Установка
Если вы загрузили исходный код, вам придется сначала его собрать. Код написан на C# и легко читается, поэтому можно вживую изучить структуру таких программ. Для построения я использовал Visual Studio 2019 с установленным компонентом разработки рабочего стола .NET. Все компилируется мгновенно и без заминок — потрясающе!
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе на определенный срок даст вам доступ ко ВСЕМ материалам «Хакера», позволит скачивать номера в формате PDF, отключит рекламу на сайте и увеличит вашу личную накопительную скидку! Более
