|
Título: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Karcrack en 25 Junio 2013, 17:44 pm Se ha filtrado el código fuente del Carberp. Con una búsqueda en Google podéis ver el nivel de este malware.
(http://2.bp.blogspot.com/-pNz4dCXqfJQ/UcimdM49rzI/AAAAAAAAAD8/3M2uQNUKInc/s1600/fliker.png) (http://4.bp.blogspot.com/-v1-4k6JBLOs/Ucimr1J3WRI/AAAAAAAAAEU/zzvETCsslVw/s1600/bk1.png) (http://1.bp.blogspot.com/-uHEdJJWCfN4/UcimrxV7ICI/AAAAAAAAAEY/EivrI8skE_s/s1600/bk2.png) (http://3.bp.blogspot.com/-kAizF6jMZsw/Ucimsba90dI/AAAAAAAAAEc/6jl66Mf9DPI/s1600/bk3.png) (http://1.bp.blogspot.com/-iTSA66M-Egg/UcimoholTxI/AAAAAAAAAEM/5HsRdgrMgRU/s1600/code+injection.png) (Imágenes de http://touchmymalware.blogspot.com.es/2013/06/carberp-source-code-now-leaked.html) Descarga: https://mega.co.nz/#!0YsXWBRD!CMqd9nrm1d0XABKlifI9vmxprpQ6RnfsdhBHeKrDXao (https://twitter.com/Ivanlef0u/status/349315255312195584) Es bastante complicado obtener el password correcto, pero aquí os lo dejo (los espacios son importantes): Código: Kj1#w2*LadiOQpw3oi029)K Oa(28)uspeh Disfrutad de esta maravilla :-* Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: x64core en 25 Junio 2013, 20:21 pm incluye un monton de Copy-paste
Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: engel lex en 26 Junio 2013, 04:30 am para ser sincero, no entendi que tenian que ver los 50mil$ XD
Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: BlackZeroX en 26 Junio 2013, 05:22 am Ok me lo bajo.
Dulces Lunas!¡. Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: x64core en 26 Junio 2013, 07:14 am para ser sincero, no entendi que tenian que ver los 50mil$ XD No se preocupen gente el 80% es puro copy-paste con todo y bugs de los originales codigos hecho por script-kiddies Hay pocas cosas interesantes realmente. Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Karcrack en 27 Junio 2013, 16:52 pm Parte del código está duplicado y mal estructurado pero hay un par de técnicas poco conocidas ahí dentro... No está de más echarle un ojo :)
para ser sincero, no entendi que tenian que ver los 50mil$ XD Es el precio al que se vendía el bootkit con todos los plugins...Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Blaster en 27 Junio 2013, 17:09 pm En que lenguaje esta programado el troyano ya que no puedo descargarme el archivo
Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Karcrack en 27 Junio 2013, 19:47 pm Principalmente C++
Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Shaddy en 29 Junio 2013, 13:20 pm incluye un monton de Copy-paste Si nos ponemos quisquillosos, hasta tus respuestas son de Copy-paste. Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: engel lex en 29 Junio 2013, 14:13 pm Si nos ponemos quisquillosos, hasta tus respuestas son de Copy-paste. el problema no es que copie otros codigos... el problema es cuando lo copias con demasiados detalles (como los errores) tipico trabajo de escuela donde entregabas un trabajo impreso copy de internet que decía "haga click aqui" Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Shaddy en 29 Junio 2013, 16:10 pm el problema no es que copie otros codigos... el problema es cuando lo copias con demasiados detalles (como los errores) tipico trabajo de escuela donde entregabas un trabajo impreso copy de internet que decía "haga click aqui" No creo que eso sea algo reprochable. Todo el mundo copia snippets de código de los demás. Y muy pocos hacen cosas realmente innovadoras, así que tratándose además de alguien que gana dinero a través de ello, no creo que eso sea realmente el problema. Un saludo. Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: x64core en 29 Junio 2013, 21:21 pm No creo que eso sea algo reprochable. Todo el mundo copia snippets de código de los demás. Y muy pocos hacen cosas realmente innovadoras, así que tratándose además de alguien que gana dinero a través de ello, no creo que eso sea realmente el problema. Un saludo. Copiar snippets publicos esta bien para proyectos "dummy". Aquí no hablo nada de innovación no sé ni siquiera porque lo mencionas, aquí el hecho es, copiar codigos publicos sin nisiquiera saber si tiene posibles fallas y además usarlos en semenjante proyecto como es este o al menos aparta ser. Bueno propablemente tú lo haces también. Yo te pregunto, ¿Has visto el codigo? ¿Has podido identificar el monton de codigo copiado? ¿Has podido identificar al menos algunos errores en los codigos copy-paste? Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Karcrack en 29 Junio 2013, 23:30 pm Que todo el mundo se calme.
El código ha sido hecho por 20-25 people under the age of 30. (http://krebsonsecurity.com/2013/06/carberp-code-leak-stokes-copycat-fears/) Hay mucho código y es difícil encontrar un estilo. Yo no he hecho un análisis muy profundo pero no he visto ninguna función que haya podido identificar como un copia exacta de otra que me haya encontrado por la red. Aunque muchos de los pasos que hace son comunes en un malware de su tipo y es normal encontrar similitudes... Y sí bien a algunos no les puede parecer interesante hay que destacar que se han vertido muchos bytes analizando su código en blogs de seguridad y ha causado mucho revuelo en internet :rolleyes: Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: x64core en 30 Junio 2013, 08:35 am Solo para demostrar algunos errores:
Libreria para llamar funciones del NTDLL de 64-bits desde proceso de 32-bits: Código: __declspec() unsigned __int64 X64Call( void * lvpFunctionPtr, int nArgc, ... ) Si todo eso estuviera bien escrito ahora llamemos a una funcion que tome un puntero de 64-bits en algun registro de la convención de llamadas en x64, y antes del call analizemos los registros. Sabiendo que solo podemos redireccionar hasta 0xFFFFFFFF pero por obvias razones en Ntoskrnl se tomara los 64-bits enteros de los registros. Decirme si funciona, no no lo hace. No yo no estoy tomando de menos la libreria de la persona porque sabemos que más bien se hizo como POC. y ahora la gente hace un solo copy-paste y le llaman codigo "profesional". Dropper: Código: HMODULE GetKernel32(void) Además mirar las implementaciónes de memcpy,memset y toda función dentro del grupo de las instrictic que han sido implementadas. # Codígo no es portable # Lejos de ayudar a la optimización del codígo [sarcasm] Injeción bastante sofisticada en el dropper [/sarcasm]: Código: bool InjectIntoExplorer( DWORD (WINAPI f_Main)(LPVOID) ) Un Rootkit de modo usuario bastante lamer, nisiquiera usan un desensamblador: Código: ZwQueryDirectoryFileReal = (PZwQueryDirectoryFile)lpMem; Mi pregunta es, realmente creen que esto es un codigo profesional? Y muchos más codigos con fallas que no quiero que más script-kiddies vengan y reparen los codigos. Además, como yo dije hay cosas interesantes en el paquete... exploits son siempre bienvenidos aunque no sean 0-day :) Y respecto a la publicidad que le hacen, cualquier nuevo malware creado por un scriptkiddie que aparece en la red luego a los meses compañias de antivirus diciendo que es nuevo y complejo/avanzado malware. Bueno eso es normal, compañias de antivirus necesitan hacer publicidad para sus productos. Y yo realmente pensé que Panda contrataba a gente mejor capacitada, no otro scriptkiddie que solo sabe escarvar en malware y encuentra este src y propablemente ya esta agregandole más basura, bueno solamente estoy diciendo Shaddy :) Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: x64core en 30 Junio 2013, 08:37 am Creo que hay que destacar las palabras de shaddy:
Todo el mundo copia snippets de código de los demás. Y muy pocos hacen cosas realmente innovadoras, así que tratándose además de alguien que gana dinero a través de ello, no creo que eso sea realmente el problema. [sarcasm]Por favor que alguíen lo lleve a la NASA, ellos realmente necesitan gente con esa intelectualidad.[/sarcasm] Título: Re: [SRC][FILTRACIÓN] Carberp Bootkit - Precio 50.000$ Publicado por: Shaddy en 30 Junio 2013, 11:33 am Creo que hay que destacar las palabras de shaddy: Todo el mundo copia snippets de código de los demás. Y muy pocos hacen cosas realmente innovadoras, así que tratándose además de alguien que gana dinero a través de ello, no creo que eso sea realmente el problema. [sarcasm]Por favor que alguíen lo lleve a la NASA, ellos realmente necesitan gente con esa intelectualidad.[/sarcasm] Buenas x64Core, En primer lugar ya no trabajo en Panda, pero eso no es algo de tu incumbencia. Para lo que ellos me contrataron no es para programar, y menos para debatir con gente que cree que sabe de programación como tu. Me contrataron para hacer reversing, y en esos términos creo que estás un poco perdido. A mi este código de este malware me parece solamente el código como tu valoración: un juego de niños. Quieres que la gente piense que eres muy purista a la hora de valorarlo pero realmente valorar algo como esto y leerlo para mi es bastante hilarante, la verdad. La gente que se gana la vida con el Malware como este no son profesionales. Solamente buscan hacer caja. La gente profesional generalmente hace cosas más ad-hoc y tiene sus propios 0day. Y por supuesto, sabe programar en bajo nivel. En 2013 estos códigos que todavía andan jugueteando en USER_MODE son para que tengas tu momentito de gloria x64Core. Un saludo. |