Обнал сервис MoneyTeam wwh PolisBlank
Взлом ВК
hacknet Продажа, изготовление водительских удостоверений (нового и старого образца)
hacknet

Melisara - bot for targeted attacks

Тема в разделе "Вирусы, черви, трояны", создана пользователем mesell, 9/3/16.

Статус темы:
Закрыта.
  1. TopicStarter Overlay
    mesell

    mesell Заглянувший

    Написать в ЛС
    Последняя активность:
    09.03.16
    Регистрация:
    9/3/16
    Сообщения:
    1
    Симпатии:
    0
    JID:
    melisaraseel@jabber.se
    Софт изначально писался для целей кибер-шпионажа и для использования в точечных атаках. Работает на "модулях" которые подгружаются в зависимости от запуска определенной задачи.

    Уникальность софта - все коммуникации происходят через эмэйл сервер (smtp сервер mail.ru/yandex.ru/gmail.com , по выбору), тем самым шифрование между C&C и ботом происходит через эмэйл-сервер доверенной компанией. Сделано это для того чтобы системы обнаружения вредоносного трафика не могли увидеть странную коммуникацию с нашим сервером (будет писаться не коннект к IP адресу, а то то через smtp.gmail.com/другой_smtp были отправлены данные через HTTPS протокол), тем самым - все будут думать что это простое письмо отправленное по электронной почте и ничего не заподозрят.
    Пример коммуникации: Консоль управления (введена команда) > smtp.gmail.com (к примеру) принял команду > smtp.gmail.com передал команду боту > Бот начал исполнение.

    Каждый раз когда боту отправляется команда на подключение какого-либо модуля (кейлоггера к примеру, о нем написано ниже), модуль скачивается и запускается. Модули работают отдельно от основного .exe (модули в .dll).

    Модуль Кейлоггера - у данного модуля есть 2 режима: обычный и по окну, 2-й режим уникален тем, что логинит клавиши только тогда, когда открыто определенное окно (его название передаётся через аргумент в команде) пример: вводим steam (регистр букв - нижний) и все клавиши которые нажаты во время открытого окна с названием "steam" буду записанны (так-же возможно добавить к нескольким окнам, т.е пишем steamyoutubeqiwi (включенна поддержка браузеров chrome / opera / tor / internet iexplorer (возможность поддержки других браузеров - добавление 5 строк кода))). Логи предоставляются когда работа модуля останавливается C&C (отправляются логи, удаляется модуль подчищая все данные о том что модуль когда-либо работал на компьютере бота).
    2-й режим работает только если указать ПОЛНОСТЬЮ ПРАВИЛЬНОЕ название окна.
    Кейлоггер может поддерживать кириллицу.

    Пример лога:
    TestPage - Google Chrome: Russian: m: Sun Feb 21 22:14:43 2016
    TestPage - Google Chrome: Russian: a: Sun Feb 21 22:14:45 2016
    TestPage - Google Chrome - Окно, в котором вводился текст | Russian - Раскладка (пока поддерживается только Русская и Английская раскладка, словари можно добавлять в исходник) | <сам символ> | Sun - Sunday - Воскресенье, день недели соответственно. | Feb - February - Февраль - месяц. | 21 - Число. | 22:14:43 - Время на компьютере | 2016 - Год на компьютере |
    Модуль Кейлоггера полностью FUD (Пруф:http://i.imgur.com/l8QBDLy.png). Вес - 196.5KB (виден на скриншоте).
    Модуль Кейлоггера отвечающий за работу как "формграббер":http://i.imgur.com/9Sj6YQy.png

    Мы знаем о проблемах веса, но к сожалению сделать с ними ничего не можем. Основной .exe весит - 150~KB с UPX, 400~KB без UPX (вес модулей можно найти на скриншотах)
    Результаты Анти-вирусовhttp://i.imgur.com/rDq34OA.png- Без UPX (3/35);http://i.imgur.com/tXnxBNy.png- С UPX (4/35);

    Присутсвует функция пользовательских модулей - возможность загрузки и инжекта стороних модулей.
    Так-же аналог по модулям - функция пользовательских приложений (загрузка .exe файлов, и запуск их с параметров SW_HIDE).

    Все модули проверялись и сканировались с помощью Kaspersky Internet Security (а так-же с помощь онлайн-сканнеров) с проактивной защитой и обновлёнными базами,
    Результат выдавал "Угроз не обнаружено", при запуске и загрузке->включение модулей касперский так-же молчал.
    (результат сканирования с KIShttp://i.imgur.com/WaYVfLS.jpgдо обновления баз, после обновления ничего не поменялось, к сожалению скрин не сохранил,
    но остался веб-результат сканирования:http://i.imgur.com/rDq34OA.png)
    (результат проактивной защиты KIShttp://i.imgur.com/UfC0zFH.png, было специально прикреплено консольное окно к основному .exe
    дабы показать что файл действительно запущен. В работе же это консольное окно никто не увидит, подгрузка модулей, их запуск и работа
    выполнялась, все логи приходили, касперский молчал)
    Тесты проводились на Windows XP / Windows 8.1 / Windows 10

    Автозагрузка происходит в скрытом режиме (msconfig ничего не выдаёт, в реестре ничего нету, никаких уведомлений о запуске файла)
    Для закрепления в системе не требуется uac, всё происходит из под юзера.

    Мы продаем данный софт в ОДНИ РУКИ, после оплаты покупатель получает так-же и исходники от всех модулей и основного .exe, поэтому после нашего исчезновения покупатель спокойно сможет дальше дорабатывать софт.
    Наша цена - 2000 USD, оплата происходит исключительно через гаранта (даже если вы готовы переводить первым - деньги пойдут через гаранта).
    Так-же присутствует реадми файл, в котором понятно расписанно как всё установить / настроить.
    Первоначальная помощь по сборке проекта только после покупки.
    Демонстрация софта производится только в том случае если покупатель переводит деньги гаранту, после - мы показываем софт, если он устраивает покупателя и он
    соглашается на его покупку, мы переводим софт (и исходники от него) гаранту, и соотвественно гарант уже сам все делает.
    Гарант будет выбран между покупателем и разработчиком когда дело подойдет к сделке (или к запросу демонстрации софта).

    Связь для покупки:melisaraseel@jabber.se

    Ремарка: Хотелось бы уточнить что разработчики не отвечают за то как софт будет использоваться после продажи, он был написан для того чтобы его не
    использовали в целях которые нарушают любой из кодексов РФ (и/или других стран), а для слежения за своим же оборудованием.

    //////////////////////////////////////////

    This software was first time written for the usage as cyber espionage tool that is acting as module loader.

    Unique thing about this software is that all communications are going under the e-mail server (smtp; mail.ru/yandex.ru/gmail.com , depends on your choice which to use), so the encryption between C&C and bot is the e-mail server of trusted company. It was done so the systems that detect malicious traffic won't see the strange communication from one of computers to C&C server (the system will not write that one of pc's (or ip's) was connected to some ip, but it will write that it connected to smtp.gmail.com/other_smtp and sent some data through the https), and so if security administrator will watch on graphs of malicious traffic detection system - he will just think that it was just message sent through some smtp server (just a letter for example).
    Example of how communication work: C&C (command sent) > smtp.gmail.com (for example, we can use any smtp how it was said before) accepted the command > smtp.gmail.com sent the command to the bot > bot accepted the command and started completing the task.

    Every time when bot receives the command to connect module (keylogger for example), module is being downloaded from trusted resource through https and starts. Modules are working separately from main .exe (modules are in .dll).

    Keylogger module - this module has 2 different modes: default and one that work on window, second mode is unique, he is logging keyboard only in specific window(s) that you listed when sending command, for example: we are writing steam (it depends whether symbols are capital or not) and keylogger will only log keyboard in "steam" window (it is able to use many windows, we just need to write something like: steampaypalfacebook (browsers supported: chrome / opera / tor / internet explorer (to support other browsers you'll just need to add around 5 lines of code)). Logs are being send to C&C server when tasks stops (another command being sent to stop from C&C, exactly what happens is - logs are being sent, module deletes and with module deletes all the information on system about that specific module).
    Second module is working perfect only if you write exactly right name of window.
    Keylogger supports Cyrillic.

    Example of the log:
    TestPage - Google Chrome: Russian: m: Sun Feb 21 22:14:43 2016
    TestPage - Google Chrome: Russian: a: Sun Feb 21 22:14:45 2016
    TestPage - Google Chrome - Window in which text is being written | Russian - type of language (supports only Russian and English now, you can easily add new languages in source) | <symbols> | Sun - Sunday - Day of the week. | Feb - February - Month. | 21 - date. | 22:14:43 - Time on pc | 2016 - Year on pc |
    Module of keylogger is FUD (Proof: You are not allowed to view links. Register or Login). Weight - 196.5KB (screenshot proved).
    Module of keylogger that acts as a form grabber (window): You are not allowed to view links. Register or Login

    We are aware of the problems with the weight, however we cannot do anything about it. Main .exe weight - 150~KB with UPX, 400~KB without UPX (weight of modules you can see on screenshots)
    Results of Antivirus systems: You are not allowed to view links. Register or Login - without UPX (3/35); You are not allowed to view links. Register or Login - with UPX (4/35);

    There's a function of connection and injection 3rd party modules that are not originally in Melisara.
    And also small analogue of modules - function of users applications (download .exe file and their start-up with SW_HIDE).

    All the modules was checked and scanned with Kaspersky Internet Security (and others online-scanners) with proactive protection enabled.
    The result was "No threats detected", first boot and download -> modules start, kaspersky was also silent all the times.
    (result of scan with KIS You are not allowed to view links. Register or Login without updating db's, after update - no changes, web-result of scanning after updating db's: You are not allowed to view links. Register or Login).
    Result of proactive protection KIS You are not allowed to view links. Register or Login the console window was especially connected to .exe that time
    to show that file is really started. In real .exe no one will see that console window, module downloads, their first time boot and while they were working, all logs were sent without any problems, kapsersky was silent.
    Tests were done on Windows XP / Windows 8.1 / Windows 10

    Auto start-up is being in stealth mode (msconfig shows nothing, nothing is kept in registry, no pop-ups about that file is being started)
    To hold in system melisara do not need UAC and others, everything is being done under user-mode.

    We are selling that software in one hands only, after the payment buyer receives everything, including sources of all the modules and the main .exe, after our disappearance the buyer will be able to easily modify sources in way he wants to.
    Our price is - 2000 USD, payment will be done only through the middle-man (even if you want to sent first we still want middle-man).
    The read-me file for buyer is included, buyer will easily understand how to configure everything and use the system.
    Initial help of "compiling" the project is provided to buyer after payment.
    Demonstration of software is being done only if buyer will send money to middle-man and provide us with guarantee that if Melisara performs all functions that are being listed in that topic he is going to definitely buy it, afterwards we show the software, if everything goes good we move soft to middle-man with sources, and after that the middle-man work starts.
    Middle-man will be chosen by buyer and coder before the time of demonstration or/and before buying the software.

    Communication is being done only under OTR through jabbr:melisaraseel@jabber.se

    Note: Coders are not responsible for how software is going to be used after being sold, Melisara was written and used before only on our own hardware (and other our own resources) and only for keeping that hardware resources safe. Melisara is not created to break the law of Russian Federation or any other countries.
     
  2. Инфо. Бот Администратор

    Просьба ознакомиться с основными правилами проекта Читать.
    В сети полно мошенников, которые умело могут Вас развести и завладеть вашими денежными средствами.
    Для безопасности сделок рекомендуем пользоваться услугами Гарант сервиса.
     
  3. Admin

    Admin Авторитет Администратор

    Написать в ЛС
    Последняя активность:
    08.12.16
    Регистрация:
    28/11/14
    Сообщения:
    2.193
    Симпатии:
    316
    Закрыто на проверку! Для решения вопроса, обратитесь к Marlb0r0
     
Статус темы:
Закрыта.
Big.Bob