Jump to content

Willkommen Gast

Navigation

Links

Als Gast hast du nur eingeschränkten Zugriff!


Sign In 

Create Account

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Photo

[Suche] Suche Panel Coder für kekbotHTTP Botnet

- - - - -
Started by rat123 ,

  • Please log in to reply
7 replies to this topic

#1
rat123
Posted 22 May 2016 - 21:28 Uhr

rat123

    Member

  • Premium Member
    • Likes
    97
  • 107 posts
  • 31 Bedankt
  • verifiziert

Development thread:

https://www.toolbase...tp-botnet-casm/

 

 

// closed here


Edited by rat123, 07 June 2016 - 17:15 Uhr.

Posted Image

#2
Bundespolizei
Posted 22 May 2016 - 21:46 Uhr

Bundespolizei

    Script Kiddie

  • Banned
  • PipPipPipPip
    • Likes
    27
  • 26 posts
  • 52 Bedankt

Frag doch mal den User B1nary. Der hat das Panel vom CubeStealer gecodet soweit ich weiß.


Staatliche Willkür. Ihr Service vor Ort.

Bundespolizei - bpol@exploit.im

Thanked by 1 Member:
B1nary

#3
smc2014
Posted 23 May 2016 - 16:17 Uhr

smc2014

    Moderator

  • Moderator
    • Likes
    343
  • 576 posts
  • 239 Bedankt
  • Spender
  • Android [root]
  • Windows, Linux

Also @B1nary ist ein sehr guter Coder und hat Erfahrungen, jedoch ist er zuwenig online zur Zeit und ob er es machen würde, wäre die nächste Frage.

 

Aber ich würde @Kaase vorschlagen.

 

Erfahrungen mit Panels hat er. (siehe Stealer von @ noTime " VirtualStealer - Password Stealer" https://www.toolbase...sc/#entry40280)

 

Und über das Design, kann man sehr gut "reden" / "schreiben", ich denke dass wäre alles möglich.

 

Kommt ja auch immer auf den Umgangston an ;)

 

 

BR / LG


  • B1nary likes this
Thanked by 1 Member:
B1nary

#4
noTime
Posted 23 May 2016 - 16:25 Uhr

noTime

    Script Kiddie

  • Banned
  • PipPipPipPip
    • Likes
    23
  • 49 posts
  • 12 Bedankt

Klingt doch mal gut.

Sieht aber zur Zeit aus wie ein Loader oder?

DDOS Methoden sind (noch?) nicht enthalten?

 

Wie siehts aus mit einem Plugin System?

Ließe sich da was machen. Wäre sehr interessant. Vor allem sollte ne Free Version rauskommen.

 

Und Panel technisch hilft dir vlt das hier:

Please Login HERE or Register HERE to see this link!

 

Ist ein OpenSource Panel geschrieben in PHP/MySQL für ein Botnet inklusive Stealer Modul von dem guten alten IRET :)

Habs selbst mal aufgesetzt und ist echt schick.

Eventuell fängst du damit was an.

 

Viel Erfolg damit noch.


Edited by noTime, 23 May 2016 - 16:25 Uhr.

#5
rat123
Posted 23 May 2016 - 16:39 Uhr

rat123

    Member

  • Premium Member
    • Likes
    97
  • 107 posts
  • 31 Bedankt
  • verifiziert

Hab mir die Usernames erstmal aufgeschrieben, 3xc3ll3nt hat mich auch bereits kontaktiert. 

Komme später wieder auf die User zurück. Bedankt :)

Anfragen für den Panel-Platz sind immernoch willkommen, HMU.

 

@ noTime

Ja, ist im Moment nur ein Loader. Werde später noch eine Core BH Funktion einbauen, das habe ich aber absichtlich nicht hier im Thread erwähnt :)

Den Link werde ich mir später anschauen, Danke.

EDIT: Ein Plugin-System ist nicht geplant.

 

Noch zu erwähnen: Der Bot wird 100% Freeware in der ersten Version, jedoch ohne Formgrabber, Botkiller, und Anti Botkill

 

Update: 

[+] Firefox Formgrabber fast fertig, fehlt noch ein Feinschliff.

[+] Anti Debug/Anti Virtualization/Anti VM/Anti Disasm

[100%] Advanced Botkiller

 

Der Botkiller besitzt folgende Features:

  • Heuristik Scanner (Fertig)
  • RunPE/Injection Scanner (Fertig) (x86/x64)
  • Startup Checker (Fertig)
  • .NET Process Detection (Fertig)
  • Detect active TCP connections (Fertig)
  • Suspicious handles detection
  • Function Calls Watchdog (In Bearbeitung)

Ausgestattet mit:

  • .NET Disabler (Fertig)
  • Process Dumper (x86 / x64) (Fertig)
  • Malware Remover Technique (Attempts to remove the threat securely from the system) (Fertig)
  • Aggresive Remover Module (Module which will be injected into the target process to corrupt it's stability and presence) (Fertig)
  • Detecting direct syscalls from usermode (Warteschlange)

 

 

HQ Botkiller, wahrscheinlich einer der Besten bis jetzt.

 

Getestet mit den folgenden managed-language Bots (.NET):

-LumniosityLink (Erkannt, 100% entfernt)

-Zemra HTTP (Erkannt, 100% entfernt)

-Zyklon HTTP (Erkannt, 100% entfernt)

-Nanocore (Erkannt, 100% entfernt)

-Imminent Monitor (Erkannt, 100% entfernt)

-Orcus RAT (Erkannt, 100% entfernt)

-Quasar-RAT (Erkannt, 100% entfernt)

 

Getestet mit den folgenden native-language Bots (Delphi/C/C++/ASM):

-Babylon RAT (Erkannt, 100% entfernt)

-DiamondFox HTTP (Erkannt, 100% entfernt)

-Spectral HTTP (Erkannt, 100% entfernt)

-Neutrino HTTP (Erkannt, 100% entfernt)

-DarkComet RAT (Erkannt, 100% entfernt)

-Athena HTTP (Erkannt, 100% entfernt)

-Gaudox HTTP (Erkannt, unschädlich gemacht)

-BetaBot (Erkannt, unschädlich gemacht)

 

 

.NET Applikationen werden mit großer Leichtigkeit erkannt und niedergemetzelt.

Ist noch sehr viel zu verbessern, mache morgen weiter mit kekbot :)


Edited by rat123, 27 May 2016 - 19:54 Uhr.

Posted Image

#6
noTime
Posted 24 May 2016 - 20:15 Uhr

noTime

    Script Kiddie

  • Banned
  • PipPipPipPip
    • Likes
    23
  • 49 posts
  • 12 Bedankt

Nettes Update.

Vorallem der BotKiller ist nicht übel.

 

Aber eine Verständnisfrage tut sich mir auf:

 

[+] Anti Debug/Anti Virtualization/Anti VM/Anti Decompile

 

Kannst du mir das genauer erklären.

.net zu decompilen ist klar.

Auch AutoIT.

Aber du schreibst in Native C/C++ oder?

Mit RE bisher nicht beschäftigt.

Aber man sagt doch immer C/C++ native ist nich easy bishin zu unmöglich zu decompilen.

Oder ist da "decompilen" ein übergeordneter Begriff?

Bin ich da von einer falschen Annahme ausgegangen?

 

Grüße


#7
rat123
Posted 24 May 2016 - 20:52 Uhr

rat123

    Member

  • Premium Member
    • Likes
    97
  • 107 posts
  • 31 Bedankt
  • verifiziert

Nettes Update.

Vorallem der BotKiller ist nicht übel.

 

Aber eine Verständnisfrage tut sich mir auf:

 

[+] Anti Debug/Anti Virtualization/Anti VM/Anti Decompile

 

Kannst du mir das genauer erklären.

.net zu decompilen ist klar.

Auch AutoIT.

Aber du schreibst in Native C/C++ oder?

Mit RE bisher nicht beschäftigt.

Aber man sagt doch immer C/C++ native ist nich easy bishin zu unmöglich zu decompilen.

Oder ist da "decompilen" ein übergeordneter Begriff?

Bin ich da von einer falschen Annahme ausgegangen?

 

Grüße

Aufgrund der massenhaften Metadaten im IL, kann man eine .NET Assembly ziemlich einfach Reflecten und einen leßbaren Code sehen. 

Wie das mit AutoIt ist weiss ich nicht.

 

Hab mich da leider verschrieben, gemeint war Anti Disasm und nicht Decompile, hocke seit 6 Stunden vor dem Rechner rum. Danke :)

 

Ein Decompiler übersetzt deine Applikation zurück in eine wieder leßbare Sprache, so auch bei .NET Assemblies.


  • noTime likes this

Posted Image

#8
rat123
Posted 27 May 2016 - 19:51 Uhr

rat123

    Member

  • Premium Member
    • Likes
    97
  • 107 posts
  • 31 Bedankt
  • verifiziert

Update: 

[Update] Full Botkiller

[Update] Anti-Botkill

[Update] Persistence Module

 

Changelog: 

-[27.05.2016] Botkiller now detects suspicious handles from other processes and analyzes it's behaviour

-[27.05.2016] Anti Botkill now detects handles to it's own process and attacks the process.

-[27.05.2016] Anti Botkill prevents usermode hooks on it's own process

-[27.05.2016] Overworked the botkiller routine (fixed memory leaks and critical parts which could cause a runtime instability)

-[28.05.2016] Botkiller now supports 32/64 Bit architectures

-[28.05.2016] Botkiller now blocks communication to suspicious hosts contacted by the detected bot (by the HOSTS file)

-[29.05.2016] Updated killer-module

-[29.05.2016] If the botkiller has no success when removing the detected bot, the botkiller dumps the threat from memory and sends to C&C

-[29.05.2016] Persistence module has been added

-[30.05.2016] Bidirectional process protection (main <> watchdog && watchdog <> main)

 

 

Persistence:

  • Creates a ghost process and injects a watchdog module into it 
  • Installation persistence (Startup, Drop)
  • Injection persistence
  • Executes shellcode of main malware inside the ghost process if something has been corrupted (no shitty restart of the executable).
  • Completely independent of kekbotHTTP's main instance
  • Currently supports 32 Bit only

 

Todo: WOW64 support


Edited by rat123, 04 June 2016 - 20:08 Uhr.

Posted Image

Back to   Hilfe / Fragen / Unterstützung

  Topic Forum Started By Stats Last Post Info

user(s) are reading this topic

members, guests, anonymous users


This topic has been visited by 68 user(s)


    0*ptr, 3xc3ll3nt, Arthurarsch, B1nary, BlackZetsu, Bloodman, Boneau, Born2Hack, brucereed64, Bundespolizei, Caruso, Ch!ller, Crap, Cyber Tjak, darknide, dasistwurscht, Dean36, dep0x, easysurfer, exploitablerootkit, Exynos, Framerater, funstyler, gtawelt, gutzuu, h04x, hacked, Huseijnx3, IRET, Irhabi, JU571C3, Kaase, keyb0ardz, kingkev0, kpakpando, Layer7, leonalexkraus, loginman1, loken, mettbrot, n1nja, Noki3310, nong_dan, notfound, noTime, nykshay, pdr0, pi^2, Radat., rat123, Saphire, shiznith, shok0, Slixer, smc2014, Stanley, Subnet, t33t86, Take1T, Terrafaux, TheUlti, twixeis, umarex, vital, vitovice, x1z0ng, xxas, Zorrez
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.
  1. Toolbase.bz
  2.   Hacking & Security
  3.   Hilfe / Fragen / Unterstützung