About Teletype
Join
Obsiy Account
@uzbekrar
June 25, 2024

XWorm Руководство

XWorm - относительно стандартный RAT. Из особенностей можно лишь подметить то, что он почти лишён какой-либо встроенной защиты, что делает его весьма универсальным и непривередливым в плане крипта или любых подобных инструментов, техник для обхода антивируса (AV Evasion). Тем не менее, если у вас нет такового, не советую использовать его в качестве основного.

ВАЖНО: Также крайне не рекомендую запускать его (билдер) на основной (Host) машине.

Немного пройдемся по графам:

  • ID — ваш уникальный идентификатор, бесполезен, использовался администрацией XWorm для управления подписками, но поскольку это кряк, система была деактивирована.
  • Bin — своего рода код активации, как мы видим сверху, для кряка от R.E. Lab это "@ReverseEngineeringLab".
  • Port — наш локальный порт.
  • С этого момента все становится немного сложнее — у нас есть 2 варианта:
  • Ваш IP белый, доступен напрямую из сети Internet.
  • Ваш IP серый, доступен только через IP вашего сетевого маршрутизатора (роутера, например).

Вариант 1 мы пока отбросим, поскольку он весьма опасен из-за проблем с анонимностью. Между вашим юзером и вами ничего нет, то есть продвинутый юзер сможет узнать по крайней мере ваш IP, что вполне сомнительно.

Немного отойдем от темы и вернемся к порту. Я советую выбрать какой-то популярный, но тот, который не использует ваша система, поскольку из-за этого могут возникнуть проблемы с подключением. Вот несколько примеров таких портов:

  • 5432 (Сервис базы данных PostgreSQL)
  • 3389 (RDP)
  • 995 (Протокол почтового сервера POP3)
  • 445 (Сетевое управление ресурсами Windows, SMB) и другие.

После того как мы определились с портом, можем запускать панель кнопкой "Start":

Группа в черном прямоугольнике — основная панель управления:

  1. User панель — здесь мы можем смотреть и управлять нашими юзерами.
  2. Logs — панель, где мы можем посмотреть логи XWorm.
  3. Tasks — здесь мы можем посмотреть процесс выполнения какого-либо процесса, запущенного XWorm на ПК юзера.
  4. HVNC — скрытый просмотр и управление юзером при помощи VNC.
  5. Builder — там, где мы будем создавать наш "ратник" (a.k.a. payload, stub, build).
  6. Extra's — различные дополнительные функции.
  7. About — информация о XWorm.

Для нашего билда мы будем использовать метод Port Forwarding (переброса портов) при помощи playit[.gg], но вы можете использовать также Pastebin + ngrok.

И так, сразу переходим в Билдер:

Hosts — удаляем наш локальный хост (127.0.0.1). Если вы просто хотите протестировать билд на себе, можете оставить локальный IP и Port. Не волнуйтесь, вы сможете потом удалить свой билд. Вместо локального хоста вводим URL-адрес, полученный с playit.
Port — (у меня стоит локальный порт 7000, он задался по умолчанию, но, как я говорил, я крайне не рекомендую использовать подобные порты) меняем его на порт нашего сетевого экрана (порт, который нам дал playit).
Как тут:

Так что в итоге у нас должно получится что-то вроде:

Всё, серверная часть настроена.

  • Key — просто не трогаем.
  • Group — называете как хотите, в панели юзеров у вас будет отображаться эта группа. Например, вы можете распространять свой билд на YouTube, а также отдельно сделать билд специально для Васи Пупкина. Когда он запустит ваш билд, вы сможете понять, что это вероятнее всего именно он, а не очередной любитель Roblox читов с YouTube.
  • Небольшая справка по фичам:

AntiKill — инжектит процесс XWorm'а в какой-либо системный (например, fontdrvhost.exe, svchost.exe), чтобы попытка его убить приводила к BSOD.
TBot — отправляет вам лог в TG бота, если юзер запустил билд.
Clipper — подменяет крипто-кошельки в буфере обмена юзера на ваши.
WDEX — добавляет билд в исключения Windows Defender.
Keylogger — записывает нажатия клавиш.
Anti Analysis — старается защитить ваш билд от анализа (может сломать некоторые импорты).
Registry — записать в автозапуск через реестр.
S. Tasks — записать автозапуск через Task Scheduler.
%AppData% — место, куда сохранится билд.
XClient.exe — имя сборки. Обязательно измените на имя программы, которую вы пытаетесь подделать.

Sleep — сколько времени программа будет бездействовать после запуска.
USB — при подключении к ПК юзера, под каким именем XWorm сохранится на USB.

Obfuscator — запутывает строки XWorm'а для усложнения декомпиляции и анализа.
Assembly — спиздить данные сборки с другой программы.
Icon — поменять иконку билда.

ЕСЛИ ВАМ ХОЧЕТСЯ ПРОВЕРИТЬ СВОЙ БИЛД В ДЕЙСТВИИ НО НЕТУ ЮЗЕРА(ЭТО МОЖЕТ НЕ СРАБОТАТЬ ЕСЛИ У БИЛДА ВКЛЮЧЕН AntiAnalysis):
Загрузите билд на эти фреймворки, они анализируют вирусы с помощью runtime-анализа (запускают ваш билд на своих виртуалках):
https://tria.ge/
https://www.virustotal.com/gui/
ВАЖНО! НЕ ДЕЛАЙТЕ ЭТО С ЗАКРИПТОВАННЫМ ВИРУСОМ, ИЛИ НА ПОСТОЯННОЙ ОСНОВЕ,
"VirusTotal использует несколько антивирусных движков для сканирования загружаемых файлов. Если файл попадает на VirusTotal и хотя бы один из антивирусов опознает его как вредоносный, это может привести к быстрому распространению информации об угрозе и увеличению шансов на его обнаружение другими антивирусами в будущем.".

Obsiy Account
June 25, 2024, 16:31
0 views
1 reaction
0 replies
0 reposts