87 Antworten in diesem Thema

[Cube]

NICHT MEHR SUPPORTED.

NUR NOCH DIE PAYED VERSION: http://www.toolbase.bz/board/topic/5582-b-password-stealer-tripleccc-s-btc-psc/#entry25667

 

Wie besprochen/versprochen release ich nun Version 2 meines Recovery Tools.

Nunja was hat sich getan?
Das Projekt wurde prinzipiell von Grund auf neu entwickelt.
Es wird nun Scan & Runtime supported.
Desweiteren werden nicht mehr die Nirsoft sondern die SecurityXploded 3rd Party-Tools verwendet.
Diese werden via RunPE (Dank an @Rastajan !) gecalled und nun dürfte somit alles endlich cryptbar sein (noch ungetestet!!!).
Es sei auch noch erwähnt das sowohl Builder als auch Stub in C# geschrieben sind (.Net 4.0) und nicht wie das Vorägngermodell in Vb.net .
In absolut perfekter Kooperation mit @B1nary wurde ein lupenreines Webpanel gestaltet, welches alle Wünsche erfüllen dürfte.
Zur Zeit werden "nur" Browsers und Mails supported.

Ich erwarte mir professionelles Feedbacks und Bugreports. Sowohl beim Stealer als auch beim Webpanel!
Im Jänner wird dann Version 1.1 published mit mehr Stealoptionen und noch paar BuildingFeatures.
Und selbstverständlich wird auf Wünsche eingegangen und (wenn vorhanden) Bugs gefixxed!
Momentan liegt das Tool" Reshacker" unter "Resources" anbei. Wozu? Hiermit könnt ihr manuell Icon & Assembly changen

Genug von dem Geschwafel. Hier sind die Fakten.

 

Cube Recovery 2 Version 1.0 (December 2014)

• Recovers Browsers & Mails
• PHP-Webpanel
• Scan & Runtime
• Extension: exe, bat, com, scr
• Selfdestruction

Information about the Webpanel v1.0

• coded in PHP with PDO and MySQL
• also included: jQuery and Bootstrap
• requires PHP >= 5 and libmcrypt (default)
• easy to install: just one click!
• simple ACP with username-password-authentication
• strong encryption (AES256) of the stored data
• utf8 decoding for german "äöü"...

Panel-Screen

Please Login HERE or Register HERE to see this link!

Recovery-Screen

Please Login HERE or Register HERE to see this link!

Supported Software

Please Login HERE or Register HERE to see this link!

Credits

Please Login HERE or Register HERE to see this link!

Besonderen Dank geht an @

Please Login HERE or Register HERE to see this link!

Stub-Av-Scan:

Please Login HERE or Register HERE to see this link!

Viel Spaß damit.

Grüße
Cube

[Sayco]

Werde Ihn testen und berichten ! Top Aktion von dir

[zepsus]

Schön das du das Projekt fortgeführt hast Cube
Ich finde es sehr gut nur leider hast du ein Fehler gemacht :/ NoDistribute leitet an NOD32 weiter
Nächstes mal bitte einen anderen Scanner nutzen
Regards, zepsus

[Cube]

Schön das du das Projekt fortgeführt hast Cube
Ich finde es sehr gut nur leider hast du ein Fehler gemacht :/ NoDistribute leitet an NOD32 weiter
Nächstes mal bitte einen anderen Scanner nutzen
Regards, zepsus

Das ist mir neu. Wird nicht mehr vorkommen.
Danke für die Info

Ja paar updates werden denk ich noch released.
Dann kommt ein neues Projekt. Stichwort Crypter.
Ist aber noch in ferner Zukunft

Grüße

[most_uniQue]

Mich würd interessieren, woher ihr alle schließen wollt, dass die an NOD32 weiterleiten ?

LG

[zepsus]

Mich würd interessieren, woher ihr alle schließen wollt, dass die an NOD32 weiterleiten ?

LG

Naja meine letzten Crypter die ich bei NoDistribute hochgeladen habe haben alle eine NOD32 detection. Außerdem hat NoDistribute nach aufkommen der Gerüchte auch direkt NOD32 entfernt. Es gibt in einigen Foren auch ellenlange Threads darüber mit Beweisen und
Tests über mehrere Wochen. Es ist aber definitiv Fakt das die weiterleiten.

Regards, zepsus

[Sayco]

Ich hab bei knapp 50 executet vics nur 48 Logs ins panel bekommen, da stimmt etwas nicht

Bearbeitet von Sayco, 25 December 2014 - 05:04 Uhr.

[B1nary]

Ich hab bei knapp 50 executet vics nur 48 Logs ins panel bekommen, da stimmt etwas nicht

Wir haben den Stealer + Panel mit 3k Accesses getestet, da ging alles durch. Ist ein Duplicate-Entry-Filter drin, vielleicht liegt's daran. Oder an deinen Vics...

[PaulaAbdul]

Naja meine letzten Crypter die ich bei NoDistribute hochgeladen habe haben alle eine NOD32 detection. Außerdem hat NoDistribute nach aufkommen der Gerüchte auch direkt NOD32 entfernt. Es gibt in einigen Foren auch ellenlange Threads darüber mit Beweisen und
Tests über mehrere Wochen. Es ist aber definitiv Fakt das die weiterleiten.

Regards, zepsus

Irgendwelche Quellen oder Linkangaben? Das ist schon eine heftige Unterstellung, die du mit Links etc. untermauern solltest!

@ Cube
Das Projekt gefällt mir sehr gut, auch wenn ich selbst an einem Stealer im Moment kein wirkliches Interesse habe. Deine Projektführung verdient meinen größten Respekt und ein Lob, zumal es dir dabei an allerletzter Stelle um Profit oder dergleichen geht! Danke an dieser Stelle dafür.

[zepsus]

Irgendwelche Quellen oder Linkangaben? Das ist schon eine heftige Unterstellung, die du mit Links etc. untermauern solltest!

@ Cube
Das Projekt gefällt mir sehr gut, auch wenn ich selbst an einem Stealer im Moment kein wirkliches Interesse habe. Deine Projektführung verdient meinen größten Respekt und ein Lob, zumal es dir dabei an allerletzter Stelle um Profit oder dergleichen geht! Danke an dieser Stelle dafür.

Nur ein paar Meinungen zu dem Thema:





Wer nicht nur Meinungen hören will, sondern Beweise soll seine Stub einfach mal bei nodistribute hochladen und dann nach ein paar Tagen die Detections mit einem anderen Scanner ansehen.Ich hab auch keine Lust dafür nochmal einer meiner Stubs zu verschwenden, weil das Thema eigentlich schon seit mehren Monaten klar ist.

Regards,zepsus

[B1nary]

Das Ganze wandert etwas ins OT ab, wir würden ganz gerne Meinungen & Kritiken zum Stealer und Webpanel hören, da wir natürlich ständig bemüht sind, das Projekt zu verbessern und voran zu treiben.

Beim Webpanel wurde Pentesting ja schon durchgeführt. Vermutlich nur Blackbox, würde auch gerne mal ein paar Whitebox-Tests machen (lassen). Das Panel verschlüsselt mit "AES256", es sollte also zumindest kein ausführbarer Schadcode in der Datenbank liegen können. Ggf. findet ja jemand etwas in die Richtung XSS und/oder FPD. Wäre sehr dankbar um Rückmeldungen, damit - wie gesagt - dieses Projekt ständig verbessert werden kann.

Mehr zum Panel könnt ihr der PDF im Download entnehmen.

Version 1.1

Cube hat es in seinem Beitrag schon angekündigt, dass es vsl. im Neujahr eine v1.1 geben wird.
Am Webpanel habe ich/wir folgende Änderungen/Updates geplant:

• Language Selector (Multi-Language)
• erweiterter Export (Export in PDF, HTML, CSV, ...)

Sollte sich der Language-Selector durchsetzen, wäre es toll, ein paar Unterstützer für's Übersetzen zu finden. Je mehr Sprachen, desto besser!

Edit: Webpanel Screenshots

[BlackZetsu]

Vielen vielen Dank dafuer!
Der AutoRefresh laeuft perfekt, allerdings hats beim Selftest etwas gedauert, ich hab erst nur einen Account reinbekommen, ein bisschen spaeter kam dann die ganze Welle
(Laeuft uebrigens auch mit Cyberghost, nich so wie beim letzten Mal )
Die Suche ist auch geil, laeuft butterweich und findet immer das, was man sucht, egal aus welcher Spalte

Der Export funktionierte bei mir erst beim zweiten Versuch, obwohl beide Male die
Hooray! You have successfully exported all logs. Please view your export folder.
Nachricht kam, bei Klick auf den DL-Button kann man sich die Logs dann aber im gewohnten alten Format ansehen

Was mich noch interessieren wuerde, waeren mehr Exportmoeglichkeiten, z.B. alle Logs einer bestimmten Seite / eines bestimmten Computers etc...
Und vielleicht noch ein Haekchen, um alle Logs auf einer Seite zu waehlen..
Aber fuers Erste bin ich wirklich zufrieden, Respekt!

Gruss

Bearbeitet von BlackZetsu, 27 December 2014 - 10:19 Uhr.

[most_uniQue]

@Sayco ob der cryptbar ist, musst du selbst testen. Auf jeden Fall sollte via der RunPE alles geregelt sein. ( korrigiert mich, wenn ich falsch bin )
2. DL's heißen nicht gleich executes. Der Stealer wie auch das Panel wurden ausgiebig getestet. Beschreib doch mal näher, wo dein Problem liegt.

LG

[Ch!ller]

Spam und fragen bezüglich Hosting werden hier nicht toleriert!

[Cube]

Ich hab bei knapp 50 executet vics nur 48 Logs ins panel bekommen, da stimmt etwas nicht

48 Logs gesamt nehme ich an.
Willst du mir mal nachzählen von wie vielen Vics gesamt. Sprich wie viele verschiedene "Computer-Namen" sind enthalten ?
Interessiert mich jetzt.

Und hast du die Stub gecrypted?
Wenn du die vorhandene ungetastete Stub verbreitest is schon klar dass nicht alle executet werden, da detected. .png' class='bbc_emoticon' alt='^^' />

Habs nur auf Windows 7 64 Bit getestet.
Sollte aber sowohl auf XP,Vista,8 als auch 8.1 laufen (.Net 4.0 Support).


Im neuen Jahr werd ich mir paar Vics zulegen/ oder zulegen lassen und ausführlicher testen.
Dürfte dennoch nicht der Fall sein.

Grüße
Cube

[Julius K9]

Ich hab bei knapp 50 executet vics nur 48 Logs ins panel bekommen, da stimmt etwas nicht

Stichwort "Proaktiver Schutz" in AVs. Wie soll Cube das so auch nachvollziehen können. Gescannt wird auf den ganzen Seiten ja nur "Scantime". Nur Anubis startet die Datei. Das ist aber in dem Sinne auch kein AV Scanner. Ausführung von Code direkt im RAM ohne das er zuvor in lesbarer Form auf der HDD liegt ist kein Geheimwissen mehr. AV Hersteller können nur schlecht dauerhaft den RAM scannen reagieren aber auf diese Vorgehensweise ganz normal.

[Cube]

Ich habe mir den Stealer nun auch mal genauer angeschaut. Das ist ja ein richtiges "Schnuckelchen". Ich habe bis dato keine Fehler und Bugs entdecken können.
Ich würde mich bereit erklären das Webpanel in Spanisch,Französisch und Polnisch zu übersetzen, sobald ich mehr Zeit habe.

Daaaas klingt sehr verlockend
Ich leite es B1nary weiter.
Er wird sich bestimmt bei dir melden.
Danke für das nette Angebot!

[B1nary]

Was mich noch interessieren wuerde, waeren mehr Exportmoeglichkeiten, z.B. alle Logs einer bestimmten Seite / eines bestimmten Computers etc...
Und vielleicht noch ein Haekchen, um alle Logs auf einer Seite zu waehlen..

Wird kommen ist auf meiner To-Do Liste drauf!

Ich würde mich bereit erklären das Webpanel in Spanisch,Französisch und Polnisch zu übersetzen, sobald ich mehr Zeit habe.

Vielen Dank, werde mich bei dir melden, wenn ich am Webpanel weiter arbeite!!!

Bitte auch Übersetzungsfehler und/oder "schlechtes Englisch" melden bzw. Vorschläge, wie man einen Satz vllt auch eleganter formulieren könnte.

[BlackZetsu]

Mir ist da grad was aufgefallen: Das Panel im FF einfach laufen zu lassen, scheint ihn dazu zu veranlangen, sich immer mehr RAM und CPU zu nehmen, der Browser laggt immer mehr und irgendwann haengt er sich auf :/
Autorefresh ist an, hab aber nur sehr wenige Logs drin, nichtmal eine Seite

Bearbeitet von BlackZetsu, 29 December 2014 - 11:23 Uhr.