[C] Extracteur de panel iStealer

[supersnail]

Bonjour à tous,

Certains le savent peut-être, j'ai travaillé il y a quelque temps sur le reversing de stubs d'un malware appelé iStealer, dont le but est de récupérer les mots de passe stockés sur le PC de la victime et de les envoyer à l'attaquant via un panel web.

Le but de ce code est de justement extraire l'URL du panel où le stub iStealer va renvoyer les données (pour ensuite faire fermer le compte par l'hébergeur et empêcher le lamer de nuire).

Bref, voici le code, je vous laisse l'étudier

Code C :


#include <windows.h>
#include <stdio.h>

/**
 *  by aaSSfxxx
 *  Usage: pwnz-istealer.exe c:\path\to\executable
 *  Works with Windows, Linux & MacOS under Wine
**/

//Prototypes
void unxor(char* chr);
char* locate_str(char *data);

int main(int argc, char** argv)
{
        int exe_ptr = 0;
        char *cfg;
       
        printf("iStealer extractor by aaSSfxxx\r\n");
        printf("This tool is provided to detect and get data from an iStealer spywares.\r\n");
        printf("This program is under BeerWare licence.\r\n");
        //If no executable, exiting.
        if(argc == 1)
        {
                printf(" Executable path needed ! Exiting.\r\n");
                return 0;
        }
       
        //Loads executable in memory
        printf(" [+] Loading executable\r\n");
        exe_ptr = (int)LoadLibrary(argv[1]);
        if(exe_ptr == 0) {
                printf(" [-] Load failed, aborting.\r\n");
                return 0;
        }
       
        //Check if executable is istealer (weak checking)
        printf(" [+] Checking if executable is a iStealer stub... \r\n");
        if(memchr((void*)exe_ptr, 0x454d5201, 0x40000) == NULL) {
                printf (" [-] Not an iStealer program (maybe encrypted?)\r\n");
                return 0;
        }
       
        //Okay, do it!
        //Extracting resources
        int hRes = (int)FindResource((HMODULE)exe_ptr, "#1", RT_RCDATA);
        if (hRes == 0)
        {
                printf(" [-] Unable to extract resource!\r\n");
                return 0;
        }
        cfg = (char*)LoadResource((HMODULE)exe_ptr, (HANDLE)hRes);
        printf(" [+] Encrypted host is %s \r\n",locate_str(cfg));
       
        unxor(locate_str(cfg));
        printf(" [+] Decrypted host is %s \r\n",locate_str(cfg));
}

char* locate_str(char *data)
{
        int i;
        for(i=0;i<40;i++)
        {
                if(data[i] != 0 && data[i]!=1)
                        return data + i;
        }
        return data;
}

void unxor(char* chr)
{
        unsigned long i;
        for (i=0; i<strlen(chr); i++)
                chr[i] ^= (char)((i % 5) + 1);
}
 

[fr0g]

Nice dude , bon boulot

[InFamouZz]

merci beaucoup je me fais chier a decompiler en hexa les serveurs a chaque fois pour essayer de relancher les logs
ce tool va me servire
merci beaucoup

[fr0g]

Tiens , histoire de compléter le sujet, un petit script bidon envoyant des requêtes au panel iStealer pour le blinder de spams en tous genres:

[EDIT] dans le cas présent mon code parcours une wordlist et envoie le contenu de la wordlist au panel.

Code Python :

Code PHP :

#coding=utf-8
import urllib


# la variable j est limitée à 18 car istealer gere 18 logiciels differents
# pour ses logs, 0 est egal a un logiciel, 1 a un autre (exemple : 10 = firefox)



url = "votre_url_de_panel"     # Url du panel iStealer

f = open("list.txt","r")        # nom de la wordlist (un mdp par ligne)
i = 0                    # declaration de i et initialisation a 0
for line in f:                # pour chaque ligne dans le fichier f (la wordlist)
    j = 0                # declaration et initialisation de j a 0
    while j <= 18:            # tant que j est plus petit ou egal à 18
        urllib.urlopen(url+"/?action=add&a="+str(j)+"&p="+line+"&u="+line+"&c="+line+"&l="+line) # requete GET avec en paramètres la ligne de la wordlist
        print "Req num : "+str(i)                                 # affichage du numero de la requete
        j += 1                                                
        i += 1                                            # incrementation de i & j 


[supersnail]

Uep, j'en avais codé un à l'arrache en JS, mais en py c'est plus classe :þ

Par contre, iStealer a une (minable) protection contre le flood, mais il faut mettre une valeur qui change sur au moins l'un des champs

[fr0g]

J'ai modifié ça, pour que les infos changent régulièrement (wordlist ^^) (le code à été édité )

pi j'ai rendu ça plus propre

[Kiwazaru]

Super boulot, çà me donne encore plus envie de continuer mon ascension dans le langage C !

[sakiir]

ahhh pas mal ! bon boulot

[sakiir]

Un ptit up ! j'aimerais savoir comment tu sais si c'est un exe istealer ?
j'ai pas bien compris ça :

Code C :

  //Check if executable is istealer (weak checking)
    printf(" [+] Checking if executable is a iStealer stub... \r\n");
    if(memchr((void*)exe_ptr, 0x454d5201, 0x40000) == NULL) {
        printf (" [-] Not an iStealer program (maybe encrypted?)\r\n");
        return 0;
    }

[gruik]

Un ptit up ! j'aimerais savoir comment tu sais si c'est un exe istealer ?
j'ai pas bien compris ça :

Code C :

  //Check if executable is istealer (weak checking)
    printf(" [+] Checking if executable is a iStealer stub... \r\n");
    if(memchr((void*)exe_ptr, 0x454d5201, 0x40000) == NULL) {
        printf (" [-] Not an iStealer program (maybe encrypted?)\r\n");
        return 0;
    }

en fait tout est dans la fonction memchr()
il cherche dans les 0x4000 premiers octets du buffer exe_ptr la signature 454d5201, si il ne la trouve pas il part du principe que ce n'est pas un executable iStealer

[thxer]

Yop si j'ai bien suivit :
http://manpages.ubuntu.com/manpages/rari...chr.3.html
'La fonction memchr() examine les n premiers octets de la zone mémoire pointée.'
Donc il cherche 'c' soit : 0x454d5201 dans le .exe
Donc si il n'y a pas cela iStealer ne doit pas être présent, à moins qu'il soit packed.

J'espère avoir bien compris :p

Edit : j'étais en train de rédiger ... XD bah cf gruik (ça fait un peu bête du coup)

[sakiir]

Mais alors est-ce que c'est hazard que je trouve 4000 en Hexa dans l'editeur ASCII environ à l'adresse 0x454d5201 ?

---

Un ptit up ! j'aimerais savoir comment tu sais si c'est un exe istealer ?
j'ai pas bien compris ça :

Code C :

  //Check if executable is istealer (weak checking)
    printf(" [+] Checking if executable is a iStealer stub... \r\n");
    if(memchr((void*)exe_ptr, 0x454d5201, 0x40000) == NULL) {
        printf (" [-] Not an iStealer program (maybe encrypted?)\r\n");
        return 0;
    }

en fait tout est dans la fonction memchr()
il cherche dans les 0x4000 premiers octets du buffer exe_ptr la signature 454d5201, si il ne la trouve pas il part du principe que ce n'est pas un executable iStealer

Et je ne coprend pas vraiment ce que tu appelles Signature ?? :/

[thxer]

Oui je pense , ce n'est pas la signature on cherche 45 4d 52 01

Si tu ouvres un éditeur hexa et que tu cherche la valeur : 45 4d 42 01 cela revient au même.
et c'est 40 00 que tu dis or toi tu as 04 00 00. Soit en hex : 40 00 00 != 04 00 00.

[sakiir]

Mais alors comment supersnail à eu l'idée de faire se bout de code ? comment a t'il sut que c'etait ca qu'il fallais utiliser ?

[thxer]

Tiens
http://www.garykessler.net/library/file_sigs.html

Exemple signature d'un JPEG : FF D8 FF E0
C'est grâce à cela que tu sais que c'est une JPEG et que tu la lis comme il faut.

Mais ici c'est pas pareil, mais le principe est là.
Une suite Hexa qui permet d'identifier en tant que ...