Содержание статьи
При пентесте организации часто бывает нужно выполнить нагрузку на взломанном компьютере. Максимально убедительным доказательством успеха для заказчика будет список паролей с компьютеров сотрудников, а получить их поможет прекрасный стилер StormKitty. Он бесплатный, открытый, стабильно работает, а еще присылает результаты работы прямо в Telegram. Сказка, а не стилер. Немудрено, что с гитхаба его уже снесли (впрочем, ненадолго), а антивирусы истошно кричат при его виде.
Раз уж ты читаешь «Хакер», бессмысленно рассказывать, зачем нужен стилер и чем он отличается от шифровальщика или ратника. Лучше давай скачаем исходники или готовый билд с зеркала проекта на GitHub, распакуем и посмотрим на него поближе.
warning
Автор и редакция не несут ответственности за любой вред, причиненный с использованием материалов этой статьи. Распространение вредоносных программ, несанкционированный доступ к информации, нарушение тайны переписки — уголовные преступления. При проведении тестов на проникновение необходим письменный договор с заказчиком.
Лапки многофункциональные
Что вообще может наш кот? По заверению автора — много чего. Тут и сама кража данных, и фингерпринтинг системы, и даже более продвинутые функции, вроде противодействия анализу и встроенного в сборщик обфускатора. Только за пивом ходить не умеет! Вот полный список заявленных функций:
-
Антианализ. Сюда входит обнаружение виртуальных машин Hyper-V, VirtualBox и VMware (по идентификаторам виртуального оборудования), песочниц Sandboxie и COMODO (по списку процессов), а также анализа на VirusTotal и Any.Run. Антидебаггер просто дергает WinAPI-функцию
CheckRemoteDebuggerPresent
, а защита от запуска в системах онлайн‑анализа проверяет, не принадлежит ли внешний IP хостинг‑провайдеру. Честно говоря, я ожидал тут чего‑то большего. - Фингерпринтинг. Собирает версию ОС, модель и характеристики центрального процессора и GPU, сведения об оперативной памяти, IP-адресах, BSSID окружающих точек доступа, геолокацию, информацию об экране и установленных программах. Список внушительный, и StormKitty генерирует даже идентификатор системы, позволяющий однозначно определить компьютер. В довесок улетают ключ активации системы и список процессов.
- Похищение данных из браузеров. Под раздачу (точнее, сбор) попадают браузеры на Chromium (похищаются пароли, данные карт, cookies, история, данные автозаполнения и закладки), Firefox (cookies, история и закладки, а также прочие файлы БД из папки браузера), Internet Explorer и Microsoft Edge (из них достаются только пароли).
- Информация о сетях Wi-Fi. Стилер отправит тебе сохраненные сети и результаты сканирования доступных сетей (тогда в отчет попадают SSID и BSSID найденных точек доступа).
- Сбор файлов с компьютера. Документы, картинки, исходный код, базы данных — в общем, все, что может представлять ценность. Стилер также умеет работать с флешками. В коде указаны форматы файлов, которые будут похищены. И если с картинками и документами все более‑менее предсказуемо, то исходного кода автор решил наворовать впрок: в списке похищаемых — языки C, C++, C#, ассемблер, Bash, Python, HTML и CSS (WTF?), PHP, Go, JavaScript, Ruby, Perl, Swift, Java и Kotlin.
- Обнаружение банковских и криптовалютных сервисов в браузерах. Если функции выше еще можно притянуть за уши к законным целям, то ковырять финансовые сайты — однозначно зло. Мы эту функцию не тестировали и тебе не рекомендуем.
- Кража сессий из игровых платформ. Сюда входят Steam, Uplay, Battle.Net и, конечно, всеми любимый Minecraft.
- Установка кейлоггера и клиппера. Если с кейлоггером все понятно и в одной из прошлых статей я даже показывал, как его сделать самостоятельно, то клиппер не такой известный вид вредоноса. Его суть в том, что он ищет в буфере обмена определенную информацию и подменяет ее другой. Типичный пример — адреса кошельков Bitcoin и других криптовалют, которые вручную набирать мало кто решается. Хоба — и адрес подменен, а драгоценные биткойны улетели на левый кошелек.
- Скриншоты с экрана и камеры. Автор заявляет, что камера активируется, когда пользователь будет замечен за просмотром непристойного контента.
- Кража аккаунтов VPN. В списке есть ProtonVPN, OpenVPN и NordVPN.
- Сбор критических файлов локальных кошельков. Да‑да, трой имеет специализированную функцию даже для этого. Неудивительно, что раньше он продавался на подпольных форумах. Что касается подверженных риску кошельков, то это Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi. Смею надеяться, что ты никогда не применишь эту функцию.
- Запись структуры директорий.
- Копирование сессий Telegram. При этом злоумышленник будет использовать тот же токен, что и оригинальный пользователь, так что лишних записей в списке активных сеансов не появится.
- Аккаунты Outlook, Pidgin, Skype, Discord и Filezilla. Тут без комментариев.
- Автозагрузка. Было бы странно, если бы ее не было. Реализована она неожиданно просто: исполняемый файл нагрузки просто копируется в папку автозапуска — никаких тебе реестров и планировщиков.
Как видишь, набор функций весьма обширный (и добрая половина возможностей даже близко не похожа на законные). Но, несмотря на это, выходной билд занимает всего 239 Кбайт и все зависимости встроены.
Установка
Если ты скачал исходники, то придется сначала собрать их. Код написан на C# и хорошо читается, так что можно «на живом пациенте» изучать устройство подобных программ. Для сборки я использовал Visual Studio 2019 с установленным компонентом .NET desktop development. Все скомпилировалось сразу и без фокусов — удивительно!
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»