0
[ UFR Stealer ]
UFR Stealer - это стилер, т.е. программа, ворующая сохраненные в программах пароли.
Параметры командной строки
Парсинг отчетов
Для парсинга отчета следует использовать параметр "/p". Второй параметр - формат сохранения: "/txt" или "/html". Третий - файл отчета. Четвертый - пароль, при условии, что отчеты дополнительно шифруются. Примеры:
UFR_Stealer.exe /p /txt 123.bin
UFR_Stealer.exe /p /txt 123.bin 71AE4286A74316AABD8569.....
Также возможно парсить несколько отчетов за один раз. Для этого вместо имени файла следует указать "*" (без кавычек), тогда все найденные отчеты в папке с билдером пропарсятся и сохранятся. Пример:
UFR_Stealer.exe /p /html *
Защита отчетов паролем
Эта функция предназначена для полной защиты отчетов от чужих глаз. При включенной фиче отчеты дополнительно шифруются с помощью алгоритма RSA. Публичный ключ находится в билде стилера, приватный - в виде длинного пароля, который появляется после нажатия кнопки "Сгенерировать". Алгоритм использования таков:
- Настраиваем билд на фтп/гейт/почту/флешку.
- Нажимаем кнопку "Защита отчетов паролем (см. Справку)" в главном окне программы. Появится окно "Защита отчетов паролем", в котором жмем кнопку "Сгенерировать", в текстовом поле появится весьма длинный пароль, сохраняем его куда-нибудь (если потеряется - отчеты уже не откроешь).
- Создаем билд и используем по назначению.
- Расшифровываем отчеты: открываем отчет во вкладке парсера и видим окно, которое просит ввести пароль. Вводим ранее сохраненный пароль и получаем расшифрованный отчет.
Плюсов в этом достаточно: можно без опасений использовать фтп (еще лучше, если аккаунт будет только под стилер) — если пароль из билда достанут, то чужих отчетов все-равно не получат. То же касается и гейта с его уязвимостями.
Downloader
В функционал стилера входит возможность скачивать и запускать исполняемые файлы. В соответствующем окне вводим URL'ы файлов, при запуске билда они будут скачаны и запущены.
Есть два момента:
- Даунлоадер отрабатывает после стилинга паролей.
- Даунлоадер поддерживает только исполняемые файлы, поэтому никаких других файлов добавлять не стоит.
Если были выбраны эти опции (а они включены по дефолту), то при обнаружении VBox'a, Wireshark'a и остальных, стилер завершится. Для виду билд может упасть, закосив под нерабочий бинарник.
Также билд можно настроить на выход при обнаружении выбранных процессов, к примеру разных анализаторов - FileMon или RegMon.
Отправка отчетов на почту
Отчеты стилера можно отправлять на почту. Главное в настройке - нужно иметь 2 ящика, а не один. С одного идёт отправка - отправитель, а на другой приходят отчеты - получатель. Только в таком случае отчеты будут в безопасности от ковыряния билдов.
Ниже приведен пример заполнения полей. Отправителем будет ящик mail_from@mail.ru, получателем - mail_to@yandex.ru
Отправитель - почтовый адрес отправителя, mail_from@mail.ru
Логин - логин аккаунта-отправителя, mail_from
Пароль - пароль аккаунта-отправителя
Получатель - почтовый адрес получателя, mail_to@yandex.ru
Сервер - почтовый сервер ящика-отправителя, smtp.mail.ru
Использование FTP
Стилер может отправлять отчеты на заданный фтп-сервер.
[Данные для доступа к серверу]
Хост - адрес сервера, например "vazonez.freehostia.com"
Логин - логин FTP-аккаунта, на который будут заливаться отчеты.
Пароль - пароль FTP-аккаунта.
[Опция "Passive Mode"]
Большинство хостингов требуют использования этого режима, поэтому эта опция должна быть включена.
Подробнее - http://ru.wikipedia.org/wiki/FTP
[Опция "Заливать отчеты на FTP в папку"]
Если опция включена, отчеты стилера будут заливаться в указанную папку на сервере, если нет - в корень фтп-аккаунта.
[Выбор Хостинга для FTP]
Стилер в режиме отправки на FTP-сервер работает практически со всеми хостингами.
Использование Гейта
Стилер также можно использовать в связке с гейтом - кто использовал пинч, тем будет проще понять. Гейт - скрипт на языке PHP, принимающий данные (в нашем случае - отчеты) от троя и сохраняющий их на сервере. В чем же преимущества этого способа перед фтп? Во-первых, при использовании фтп, в билд вводятся данные сервера - логин и пароль, т.е. имея небольшой опыт работы с отладчиком, жертва может вытащить данные авторизации из билда, зайти на сервер и скачать/удалить отчеты. При использовании гейта, на все файлы на сервере устанавливаются права, запрещающие публичный доступ к ним, т.е. скачать их или просто прочитать можно только из админки, вход в которую защищен паролем. Гейт - это скрипт "ufr.php".
[Как этим пользоваться]
Для начала, нужно найти хостинг с PHP. Для примера, я возьму FreeHostia (только для примера, её не стоит использовать).
- Регистрируемся и получаем данные нашего фтп-аккаунта.
- Заходим на фтп-сервер в папку своего аккаунта (сразу после захода на сервер мы окажемся в корне аккаунта, рядом будет папка, например "vazonez.freehostia.com" - заходим туда и работаем именно в ней).
- Создаем папку, например "gate".
- Создаем в стилере билд, в настройках гейта ставим галочку "Отсылать отчеты на гейт", в первое поле вводим адрес зарегистрированного сайта, в моем случае - vazonez.freehostia.com, о второе поле - адрес до гейта относительно папки аккаунта. Т.е. если мы создали в своей папке "vazonez.freehostia.com" папку "gate", то путь должен выглядеть так: "/gate/ufr.php", где "ufr.php" - имя скрипта гейта. Создаем билд.
- Жмем в билдере стилера кнопку "Скрипт гейта" и сохраняем его куда-нибудь.
- Меняем пароль админки: открываем сохраненный гейт и во второй строке меняем MD5-хеш пароля. По дефолту там вбит пароль "123456".
- Меняем имя папки, в которую буду заливаться отчеты: открываем сохраненный гейт и в третей строке меняем имя на что-нибудь случайное. По дефолту там вбито "reports".
- Заливаем этот скрипт на фтп-сервер в созданную нами папку "gate".
- Выставляем права (команда "chmod"): на папку "gate" - 0777, на "ufr.php" - 0755.
- Чтобы зайти в админку гейта, нужно пройти по адресу: "vazonez.freehostia.com/gate/ufr.php" вводим пароль и управляем присланными отчетами.
Самый простой и понятный способ использование стилера - локальный. Т.е. после запуска билд стилера отчет никуда отправлять не станет, а сохранит рядом с собой в папочке. Это удобно использовать при походах к гостям с флешкой: воткнул, запустил, ушел.
[Опция "Копировать отчеты в папку"]
Если она включена, стилер просто скопирует отчет в указанную в билдере папку. Если нужно использовать отсылку на FTP-сервер или гейт, лучше выключить эту опцию.
[Опция "Имя папки"]
Здесь можно задать имя папки, в которую будет производится копирование очтета. Можно задать что-нибудь неприметное, например "system".
[Опция "Прятать папку с очтетами"]
Если опция включена, то папке с отчетами присваивается атрибут "скрытый" - это минимальная защита отчетов от лишних глаз. Включить показ скрытых файлов и папок можно в меню проводника (подробнее в гугл).
Дополнительные Опции
[Смена иконки]
Стилеру можно сменить иконку а любую другую в формате "ico", например иконку антивируса, что способствует незаметности использования.
[Опция "Извлекать жертве"]
Если опция включена, стилер скопируется жертве на машину в указанную папку и будет производить стилинг паролей оттуда. Пример использования - создать с настроенным фтп, склеить или просто впарить жертве и ждать отчеты на фтп.
[Опция "Самоудаление"]
После завершения стилинга паролей, стилер удалится с компьютера. Удобная опция при использовании с FTP или гейтом.
[Опция "Склейка Файлов"]
Вместе со стилером, можно использовать какой-либо другой софт или троянов. Выбранные файлы будут склеены со стилером. При запуске они извлекутся (до или после стилинга - по выбору).
Это можно использовать для отвлечения внимания, склеив стилер с видеофайлом.
[Опция "Маскировка файла"]
Данная опция переносит из выбранного ЕХЕ иконку и VersionInfo в билд стилера. Тем самым обеспечивая билду стилера некую скрытность в глазах юзера.
[Опция "Дописать в оверлей"]
Чтобы увеличить размер создаваемого билда, надо включить эту опцию и ввести количество байт, на которое увеличится билд.
Наверх
