Об­щеиз­вес­тно, что, если ты вдруг забыл (или никог­да не знал) пароль от какого‑нибудь сер­виса, но он сох­ранен в бра­узе­ре, есть воз­можность его отту­да дос­тать. Не менее извес­тно и то, что с такой же лег­костью сох­ранен­ные пароли дос­танет и любой тро­ян, по сте­чению обсто­ятель­ств попав­ший к тебе в комп. Сегод­ня мы рас­смот­рим один такой вре­донос с милым наз­вани­ем и покажем, как он работа­ет.

При пен­тесте орга­низа­ции час­то быва­ет нуж­но выпол­нить наг­рузку на взло­ман­ном компь­юте­ре. Мак­сималь­но убе­дитель­ным доказа­тель­ством успе­ха для заказ­чика будет спи­сок паролей с компь­юте­ров сот­рудни­ков, а получить их поможет прек­расный сти­лер StormKitty. Он бес­плат­ный, откры­тый, ста­биль­но работа­ет, а еще при­сыла­ет резуль­таты работы пря­мо в Telegram. Сказ­ка, а не сти­лер. Немуд­рено, что с гит­хаба его уже снес­ли (впро­чем, ненадол­го), а анти­виру­сы истошно кри­чат при его виде.

Раз уж ты чита­ешь «Хакер», бес­смыс­ленно рас­ска­зывать, зачем нужен сти­лер и чем он отли­чает­ся от шиф­роваль­щика или рат­ника. Луч­ше давай ска­чаем исходни­ки или готовый билд с зер­кала про­екта на GitHub, рас­паку­ем и пос­мотрим на него поб­лиже.

warning

Ав­тор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с исполь­зовани­ем матери­алов этой статьи. Рас­простра­нение вре­донос­ных прог­рамм, несан­кци­они­рован­ный дос­туп к информа­ции, наруше­ние тай­ны перепис­ки — уго­лов­ные прес­тупле­ния. При про­веде­нии тес­тов на про­ник­новение необ­ходим пись­мен­ный договор с заказ­чиком.

 

Лапки многофункциональные

Что вооб­ще может наш кот? По завере­нию ав­тора — мно­го чего. Тут и сама кра­жа дан­ных, и фин­гер­прин­тинг сис­темы, и даже более прод­винутые фун­кции, вро­де про­тиво­дей­ствия ана­лизу и встро­енно­го в сбор­щик обфуска­тора. Толь­ко за пивом ходить не уме­ет! Вот пол­ный спи­сок заяв­ленных фун­кций:

  • Ан­тиана­лиз. Сюда вхо­дит обна­руже­ние вир­туаль­ных машин Hyper-V, VirtualBox и VMware (по иден­тифика­торам вир­туаль­ного обо­рудо­вания), песоч­ниц Sandboxie и COMODO (по спис­ку про­цес­сов), а так­же ана­лиза на VirusTotal и Any.Run. Анти­дебаг­гер прос­то дер­гает WinAPI-фун­кцию CheckRemoteDebuggerPresent, а защита от запус­ка в сис­темах онлайн‑ана­лиза про­веря­ет, не при­над­лежит ли внеш­ний IP хос­тинг‑про­вай­деру. Чес­тно говоря, я ожи­дал тут чего‑то боль­шего.
  • Фин­гер­прин­тинг. Собира­ет вер­сию ОС, модель и харак­терис­тики цен­траль­ного про­цес­сора и GPU, све­дения об опе­ратив­ной памяти, IP-адре­сах, BSSID окру­жающих точек дос­тупа, геоло­кацию, информа­цию об экра­не и уста­нов­ленных прог­раммах. Спи­сок вну­шитель­ный, и StormKitty генери­рует даже иден­тифика­тор сис­темы, поз­воля­ющий однознач­но опре­делить компь­ютер. В довесок уле­тают ключ акти­вации сис­темы и спи­сок про­цес­сов.
  • По­хище­ние дан­ных из бра­узе­ров. Под раз­дачу (точ­нее, сбор) попада­ют бра­узе­ры на Chromium (похища­ются пароли, дан­ные карт, cookies, исто­рия, дан­ные авто­запол­нения и зак­ладки), Firefox (cookies, исто­рия и зак­ладки, а так­же про­чие фай­лы БД из пап­ки бра­узе­ра), Internet Explorer и Microsoft Edge (из них дос­тают­ся толь­ко пароли).
  • Ин­форма­ция о сетях Wi-Fi. Сти­лер отпра­вит тебе сох­ранен­ные сети и резуль­таты ска­ниро­вания дос­тупных сетей (тог­да в отчет попада­ют SSID и BSSID най­ден­ных точек дос­тупа).
  • Сбор фай­лов с компь­юте­ра. Докумен­ты, кар­тинки, исходный код, базы дан­ных — в общем, все, что может пред­став­лять цен­ность. Сти­лер так­же уме­ет работать с флеш­ками. В коде ука­заны фор­маты фай­лов, которые будут похище­ны. И если с кар­тинка­ми и докумен­тами все более‑менее пред­ска­зуемо, то исходно­го кода автор решил наворо­вать впрок: в спис­ке похища­емых — язы­ки C, C++, C#, ассем­блер, Bash, Python, HTML и CSS (WTF?), PHP, Go, JavaScript, Ruby, Perl, Swift, Java и Kotlin.
  • Об­наруже­ние бан­ков­ских и крип­товалют­ных сер­висов в бра­узе­рах. Если фун­кции выше еще мож­но при­тянуть за уши к закон­ным целям, то ковырять финан­совые сай­ты — однознач­но зло. Мы эту фун­кцию не тес­тирова­ли и тебе не рекомен­дуем.
  • Кра­жа сес­сий из игро­вых плат­форм. Сюда вхо­дят Steam, Uplay, Battle.Net и, конеч­но, все­ми любимый Minecraft.
  • Ус­танов­ка кей­лог­гера и клип­пера. Если с кей­лог­гером все понят­но и в одной из прош­лых ста­тей я даже по­казы­вал, как его сде­лать самос­тоятель­но, то клип­пер не такой извес­тный вид вре­доно­са. Его суть в том, что он ищет в буфере обме­на опре­делен­ную информа­цию и под­меня­ет ее дру­гой. Типич­ный при­мер — адре­са кошель­ков Bitcoin и дру­гих крип­товалют, которые вруч­ную набирать мало кто реша­ется. Хоба — и адрес под­менен, а дра­гоцен­ные бит­кой­ны уле­тели на левый кошелек.
  • Скрин­шоты с экра­на и камеры. Автор заяв­ляет, что камера акти­виру­ется, ког­да поль­зователь будет замечен за прос­мотром неп­ристой­ного кон­тента.
  • Кра­жа акка­унтов VPN. В спис­ке есть ProtonVPN, OpenVPN и NordVPN.
  • Сбор кри­тичес­ких фай­лов локаль­ных кошель­ков. Да‑да, трой име­ет спе­циали­зиро­ван­ную фун­кцию даже для это­го. Неуди­витель­но, что рань­ше он про­давал­ся на под­поль­ных форумах. Что каса­ется под­вержен­ных рис­ку кошель­ков, то это Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda и Coinomi. Смею наде­ять­ся, что ты никог­да не при­менишь эту фун­кцию.
  • За­пись струк­туры дирек­торий.
  • Ко­пиро­вание сес­сий Telegram. При этом зло­умыш­ленник будет исполь­зовать тот же токен, что и ори­гиналь­ный поль­зователь, так что лиш­них записей в спис­ке активных сеан­сов не появит­ся.
  • Ак­каун­ты Outlook, Pidgin, Skype, Discord и Filezilla. Тут без ком­мента­риев.
  • Ав­тозаг­рузка. Было бы стран­но, если бы ее не было. Реали­зова­на она неожи­дан­но прос­то: исполня­емый файл наг­рузки прос­то копиру­ется в пап­ку авто­запус­ка — никаких тебе реес­тров и пла­ниров­щиков.

Как видишь, набор фун­кций весь­ма обширный (и доб­рая полови­на воз­можнос­тей даже близ­ко не похожа на закон­ные). Но, нес­мотря на это, выход­ной билд занима­ет все­го 239 Кбайт и все зависи­мос­ти встро­ены.

 

Установка

Ес­ли ты ска­чал исходни­ки, то при­дет­ся сна­чала соб­рать их. Код написан на C# и хорошо чита­ется, так что мож­но «на живом паци­енте» изу­чать устрой­ство подоб­ных прог­рамм. Для сбор­ки я исполь­зовал Visual Studio 2019 с уста­нов­ленным ком­понен­том .NET desktop development. Все ском­пилиро­валось сра­зу и без фокусов — уди­витель­но!

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


11 комментарий

  1. Аватар

    otamanz

    23.03.2021 в 20:28

    В дополнение:
    Хороший анализ кода был тут https://xss.is/threads/45880/

  2. Аватар

    l0mer0k

    24.03.2021 в 17:25

    Какой смысл от статьи, если исходники недоступны.

  3. Аватар

    syntexs

    14.04.2021 в 15:41

    на этапе указания chat id выдаёт ошибку disconected, в чём может быть причина?

  4. Аватар

    syntexs

    14.04.2021 в 16:10

    При сборке из исходников и формирования билда посредством запуска .exe есть вероятность самому заразиться? Типа Стилер в стилере?

Оставить мнение