Pages

Thursday 25 August 2011

Ice IX Bot


 English Translation by Igor @Sherb1n

Coder Ice9 - Released in April 2011

Ice 9 is a new private ZeuS-based bot/form grabber and Zeus’s serious competitor. It’s built on the modified kernel of ZeuS 2.

The kernel has been revised and improved. Firewall- and proactive defense-bypass mechanisms have been perfected.

Injection technology has also been revised, improving injects’ stability.
The main goals were protection against trackers, higher response rate and improved resilience compared to its ancestor. The goals were successfully achieved.

The bot is constantly developed and updated with new functionality.

Main functions:

- Keylogging
- Grabs HTTP and HTTPS forms (IE, FF, Chrome), injects code into IE, IE-based browsers (AOL, Maxthon, etc), and FF
- Grabs cookies, .sol files and saved forms data
- Grabs the following FTP clients: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
- Grabs Windows Mail, Live Mail, Outlook
- SOCKS 5 with back-connect option
- Screenshots in real time, or triggered by specific URLs
- Gets certificates from “MY” storage (certificates marked “non-exportable” are not exported correctly) and clears it. After this any imported certificate will be saved to the server.
- Search for files on the logical drives using wildcards or install a specific file.
- TCP traffic sniffer
- A wide range of commands to control the infected PC

Advantages:

- Protection against trackers. Now you can host your botnet on a regular hosting, not just bulletproof;
- Better response rate and resilience;
- Functionality updates and tech support;
- Custom modules can be created for customers

Price for the current version 1.0.5.

- With hardcoded hosting: $600/LR/WMZ. Bot + builder that generates the config file.
- Unlimited builder license: $1800/LR/WMZ.

------------------------------------------------------

In response to numerous questions on changes and new capabilities we’re happy to present the following information:

Functionality:

- Keylogging
- Grabs HTTP and HTTPS forms (IE, FF, Chrome), injects code into IE, IE-based browsers (AOL, Maxthon, etc), and Mozilla Firefox
- Grabs cookies, .sol files and saved forms data
- Grabs the following FTP clients: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
- Grabs Windows Mail, Live Mail, Outlook
- SOCKS with back-connect option
- Screenshots in real time, or triggered by specific URLs
- Gets certificates from “MY” storage (certificates marked “non-exportable” are not exported correctly) and clears it. After this any imported certificate will be saved to the server.
- Search for files on the logical drives using wildcards or install a specific file.
- TCP traffic sniffer
- A wide range of commands to control the infected PC

Advantages:

- Even an unencrypted bot has a higher response rate than ZeuS – save money on traffic and installs
- Changes to the mutex kernel have improved the bot’s stealth and resilience
- Possibility to use an alternative autostart method – as a service.
- Constant functionality updates and tech support;
- Custom modules can be created for customers

Under development:

- New VNC module with improved stability
- Changes in the encryption algorithm and in the data communication channel “protocol”
- Ability to access ring0 to execute specific tasks at the customer’s request

------------------------------------------------------

New version 1.0.4

Added tracker protection for the config file:
Now, when deploying the config, you have to set the encryption key, to make sure only the bot can access it. Otherwise, it returns a 404 error.

We believe that this important update will provide a great advantage when building large botnets, since trackers have always been ZeuS’s biggest problem.

------------------------------------------------------
Version 1.0.5 released in Aug 2011

ICE9’s config (v. 1.0.5) is protected against download from its URL, which means it’s protected against analysis. It can only be downloaded by the bot, which will be generating a special key to access the config file.






---------------------------------------------------------------------------------

Original

Ice 9 новый приватный бот-формграббер на базе Зевса, являющийся его серьезным моперником. Он построен на модифицированном ядре Зевса 2.
Ядро было переработано и улучшено. Усовершенствован обход проактивных защит и фаерволлов.
Так же переработке подверглась технология инжектирования позволяющая инжектам работать гораздо стабильнее.
Главными задачами ставилось разработка защиты от трекеров, повышение отстука и живучести относительно своего прародителя и данные задачи была успешно выполнена.
Бот постоянно развивается и дополняется.

Основные функции:
-Кейлоггинг
-Граббинг http и https данных форм (IE, FF, Chrome) и инжектирование своего кода в IE и браузеры на его движке (AOL, Maxton, etc.) и FF
-Граббинг cookies .sol файлов а также сохраненных данных форм
-Грабинг FTP клиентов: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
-Граббинг Windows Mail, Live Mail, outlook
-Соксы 5 с возможностью бекконекта
-Скриншоты в реальном времени а так же возможность задания срабатывания при просмотре определенного URL
-Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка.
После этого любой импортируемый сертификат будет сохранен на сервер.
-Поиск на логических дисках файлов по маске или загрузка конкретного файла.
-Снифер трафика для протокола TCP
-Широкий набор команд для управления зараженным ПК

Преимущества:
- Защита от трекеров.
Теперь Вы можете размещать ботнет на обычном хостинге, а не только на абузоустойчивом;
- Выше отстук и дольше живучесть;
- Обновление функционала и тех. поддержка;
- Возможность дописки дополнительных модулей по желанию заказчика

Цена лицензии за текущую версию 1.0.5.
- С привязкой к хостингу: $600/LR/WMZ . Бот + билдер который генерит конфиг.
- Лицензия на билдер без ограничений: $1800/LR/WMZ/

-----------------------------------------------------

В связи с многочисленными вопросами об изменениях и новых возможностях мы рады предоставить нижеследующую информацию:

Функционал:

-Кейлоггинг
-Граббинг http и https данных форм и инжектирование своего кода в Internet Explorer и браузеры на его движке (AOL, Maxton, etc.), Mozilla FireFox
-Граббинг cookies .sol файлов а также сохраненных данных форм
-Грабинг FTP клиентов: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
-Граббинг Windows Mail, Live Mail, outlook
-Соксы с возможностью бекконекта
-Скриншоты в реальном времени а так же возможность задания срабатывания при просмотре определенного URL
-Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка.
После этого любой импортируемый сертификат будет сохранен на сервер.
-Поиск на логических дисках файлов по маске или загрузка конкретного файла.
-Снифер трафика для протокола TCP
-Широкий набор комманд для управления зараженным ПК

Приемущества:

-Отстук даже некриптованного бота, выше чем у ZeuS - экономия на траффике/загрузках
-За счет изменения ядра работы с мьютексами повышена скрытность и живучесть бота
-Возможность альтернативного метода прописки в автозапуск-сервисом.
-Постоянное обновление функционала и тех. поддержка
-Возможность дописки дополнительных модулей по желанию заказчика

В разработке:

-Новый VNC модуль обладающий повышенной стабильностью
-Смена алгоритма шифрования и "протокола" канала обмена данных
-Возможность выхода в ring0 для выполнения специфических задач по требованиям заказчика

----------------------------------------------------------------------

Новая версия 1.0.4

Добавлена защита конфига от трекеров:
теперь при размещении конфига нужно также задать ключ шифрования для того, чтобы конфиг отдавался только по запросу бота иначе возвращается 404 ошибка

Думаем это важное обновление дает большое преимущество при построении больших ботнетов. Так как основная проблема для зевса - это как раз трекеры.

----------------------------------------------------------------

Конфиг ICE9 версии 1.0.5 защищен от скачивания по его урлу а значит и защищен от анализа. Его может скачать только бот, который генерирует спец ключ для доступа к конфигу. 

No comments:

Post a Comment