Pages

Wednesday 17 August 2011

Sky Loader

English translation by Igor- @sherb1n

Coder - Rev0lt

Description:

Non-resident loader, supports unlimited number of files to load per task, as well as unlimited number of tasks.

As of today, this mechanism satisfies all the conditions for maximum efficiency - small size, high speed, proactive protection bypass, etc.

[+] Dev environment - MASM32 (size - 6KB unencrypted and unpacked)

[+] Does not contain or use unnecessary DLL/files, etc.

[+] Stable perormance in Windows 2000/XP/2003/Vista/7 (x32)

[+] Works on any account type (even guest account)

[+] Doesn't trigger UAC (Vista/7) or system security service alerts (the OS shows no warnings that the file is not signed and is doing something it's not supposed to)

[+] Dynamic import of some API functions by their names' hashes

[+] Compatible with all encryptors/packers/protectors (doesn't use external libraries, files and so on. It's a standard EXE file)

[+] Anti-debugging, anti-emulation

[+] Detects almost all virtual machines (coprocessor query)

[+] Doesn't contain text strings (data is generated in real time)

[+] Delay of 10-60 seconds before connecting to admin panel

[+] File urls are Base64-encrypted

[+] Invisible in the system (the bot injects its payload into a trusted network process and deletes itself from the disk - without creating .bat files, etc.)

[+] Supports unlimited number of tasks and files of any size

[+] Bypasses firewalls and proactive protection (default settings).


Tested on the following products, all up-to-date:

ZoneAlarm Pro 9.3

Norton Internet Security 2011

Panda Internet Security 2011

Norman Security Suite

ESET NOD32 Smart Security 4.2

Sygate Personal Firewall 5.6*

Trend Micro Titanium Internet Security

AVS Firewall 2.1.2.241

* - injects successfully, but triggers firewall if the network process doesn't exist
in the list of trusted processes (very rare)

[+] Admin panel doesn't use MySQL (fast and convenient setup)

[+] Filter tasks by country

[+] Supports unlimited tasks

[+] Detailed stats per task (response/loaded/running/breakdown by country/OS/OS architecture)

[+] Functionality can be altered/expanded in any direction to suit the clients' needs (subject to negotiation, costs extra)

Performance:

Upon infection, the bot injects its functionality into a trusted network process, deletes its file from the disk, accepts and executes tasks (admin panel is notified of every action). When done, the bot teminates and removes itself from the memory.

AV Test results:

Admin panel host: 4 AV products

Loader: 2 AV products

The bot was loading aggressive spam software.

Pack stats: 135 loads (mixed traffic)

Loader response (# of bots responded): 129 (~95%)

Loader performance (running the files in the task): 97%


Prices:

We accept WebMoney.

1 personal license: 150 wmz

Rebuild to a different domain name: 15wmz

No cleanups now or in the future (can be encrytped with any encryptor)

Escrow (yours) is welcome.


Admin panel screenshots:








Original

Описание:

Нерезидентный лоадер, поддерживающий неограниченное количество загружаемых файлов в задании, а также неограниченное количество заданий.

На сегодняшний день данный механизм удовлетворяет всем условиям для максимальной эффективности использования - малый вес, высокая скорость, обход проактивных защит и тд.

[+] Среда разработки - MASM32 (размер - 6 кбайт некриптованный и непакованный)
[+] Не содержит в себе и не использует лишних DLL/файлов и тд.
[+] Стабильная работа в Windows 2000/XP/2003/Vista/7 (x32)
[+] Работа в любых учетных записях (даже под гостем)
[+] Нет оповещений от UAC (Vista/7) и службы безопасности системы (OS не оповещает что файл не имеет цифровой подписи или делает что-то запрещенное)
[+] Динамический импорт части API функций по хешам от их имен
[+] Совместим с любыми крипторами/пакерами/протекторами (не используются сторонние библиотеки, файлы и тд. стандартный ЕХЕ файл)
[+] Антиотладка, антиэмуляция
[+] Детект практически всех виртуальных машин (опрос сопроцессора)
[+] Не содержит в себе текстовых строк (данные генерируются в риал-тайме)
[+] Перед запросом в админку происходит ожидание 10-60 секунд
[+] Шифрование ссылок файлов для загрузки в Base64
[+] Невидимость в системе (бот инжектирует свой payload в доверенный сетевой процесс и удаляет себя с диска - без создания .bat файлов и т.д.)
[+] Поддерживает неограниченное количество заданий и загружаемых файлов любого размера
[+] Обход фаерволов и проактивных защит (настройки по умолчанию).

Тесты производились на следующих продуктах с последними обновлениями:

ZoneAlarm Pro 9.3
Norton Internet Security 2011
Panda Internet Security 2011
Norman Security Suite
ESET NOD32 Smart Security 4.2
Sygate Personal Firewall 5.6*
Trend Micro Titanium Internet Security
AVS Firewall 2.1.2.241

* - инжект проходит, но палит файервол если сетевого процесса нет
в списке доверенных (что бывает крайне редко)

[+] Админ-панель реализована без MySQL (быстрая и удобная настройка)
[+] Фильтр распределения заданий по странам
[+] Поддержка неограниченного числа заданий
[+] Информативная статистика по каждому заданию (отклик/закачано/запущено/статистика по странам/статистика по ОС/статистика по разрядности OC)

[+] Возможность изменения/расширения функционала под нужны клиентов
в любом направлении (по договоренности и за отдельную плату)

Работа:
При попадании в систему бот инжектирует свой функционал в доверенный
сетевой процесс, удаляет свой файл с диска, принимает и выполняет задания
(о каждом действии уведомляя админку). После всех манипуляций бот завершает свою
работу и выгружается из памяти.

Результаты тестирования:
Палевность хоста админки: 4 АВ
Палевность лоадера: 2 АВ
Грузился агрессивный спам-софт
Стата со связки: 135 лоадов (траф - микс)
Отклик лоадера (постучало за заданием): 129 (~95%)
КПД лоадера(запуск загруженных файлов задания) 97%

Цены:
К оплате принимаются WebMoney.
Лицензия на одну персону: 150 wmz
Ребилд на другой домен: 15 wmz
Чисток нет и не предвидится (криптуется любыми крипторами)
Гарант (с вашей стороны) приветствуется.

No comments:

Post a Comment