11.11.2015

[ RAT / Bot ] list 2015

"Список актуальных ботнетов и РАТов, их характеристики и описания 2015 (list botnet/RAT)"
https://fuckav.ru/showthread.php?t=26208
Smoke Bot

Smoke Bot - это модульный бот (возможны две версии - резидентная и нерезидентная).
* нерезидентная версия - после загрузки, бот выполняет все задания и самоудаляется, т.е не устанавливается в систему

Преимущества:
- наличие модулей-плагинов, которые расширяют функционал бота, при этом не влияют на размер бота
- подробная статистика по версия системы, странам и онлайну
- подробная статистика по заданиям, загрузки / запуски, ограничение на количество и т.п.
- задания для бота на загрузку EXE или DLL (LoadLibrary, regsvr32, запуск из памяти без необходимости в криптовании)
- гео-таргетинг (выборочные загрузки только для конкретных стран или блокировка для определенных стран)
- загрузка задания с удаленного URL
- индивидуальное задание для каждого бота и поиск ботов по ID, стране или префиксу селлера
- незаметная установка в системе, защита собственных файлов и записей в реестре *
- самообновление бота через админку (локально или удаленно) *
- резервные URL для отстука *
- возможность использования префиксов для селлеров (более точная статистика и разделение заданий)

- статистика по повторным запускам (удобно для оценки качества загрузок или трафика) *
- "гостевой" доступ к статистике заданий
- обход проактивных механизмов АВ
- антиотладка, антиэмуляция, детектирование "песочниц" и виртуальных машин
- легок в криптовании (не содержит в себе дополнительных DLL, оверлеев, TLS, всего одна секция кода)
- работа в Windows XP-10 x32/x64
- небольшой размер лоадера ~ 7-14 Кб **

* - только для резидентной версии
** - в зависимости от версии


Модули:
- STEALER - модуль для сбора сохраненных паролей из раличных программ (IM клиенты, браузеры, FTP, Mail и покерные программы и др.), все пароли собираются и отсылаются в админку, откуда их можно легко скачать
- FTP клиенты 2bit FTP, BitKinex, BulletProof FTP Client, Classic FTP, CoffeeCup FTP, Core FTP, CuteFTP, Directory Opus, ExpanDrive, FAR Manager FTP, FFFTP, FileZilla, FlashFXP, Fling, FreeFTP/DirectFTP, Frigate3 FTP, FTP Commander, FTP Control, FTP Explorer, FTP Navigator, FTP Uploader, FTPRush, LeapFTP, NetDrive, SecureFX, SmartFTP, SoftX FTP Client, TurboFTP, UltraFXP, WebDrive, WebSitePublisher, Windows/Total Commander, WinSCP, WS_FTP
- Браузеры Apple Safari, Flock, Google Chrome, Internet Explorer, Mozilla Browser, Mozilla Firefox, Mozilla Thunderbird, Opera, SeaMonkey
- Dialers & RDP
- Downloaders
- IM клиенты &RQ, AIM Pro, Digsby, Excite Private Messenger, Faim, GAIM, Gizmo Project, Google Talk, ICQ/AIM, ICQ2003/Lite, ICQ99b-2002, IM2 (Messenger 2), JAJC, Miranda, MSN Messenger, MySpaceIM, Odigo, Paltalk, Pandion, Pidgin, PSI, QIP, QIP.Online, SIM, Trillian, Trillian Astra, Windows Live Messenger, Yahoo! Messenger
- Poker клиенты Absolute Poker, Cake Poker, Full Tilt Poker, Party Poker, PokerStars, Titan Poker
- Mail клиенты Becky Internet Mail, Eudora, Forte Agent, Gmail Notifier, Group Mail Free, IncrediMail, Mail Commander, Mail.Ru Agent, Outlook, PocoMail, POP Peeper, Scribe, The Bat!, Vypress Auvis, Windows Live Mail

- FORM GRAB - формграббер, работающий в реальном времени с браузерами (IE, FF, Opera, Chrome, Opera Next, Yandex.Browser, Mailru.Browser), перехватываются все POST запросы форм (авторизации, платежные данные и т.п), поддержка HTTPS, поиск в админке по части URL или ID бота или ключевому слову из данных
- PASS SNIF - сниффер паролей, работающий в реальном времени со всеми приложениями, умеет перехватывать пароли от FTP,POP3,IMAP,SMTP(AUTH LOGIN), данные отправляются в админку и имеют вид: ftp://user:pass@ip:port
- FAKE DNS - продвинутая подмена DNS (подмена выдачи), работает в реальном времени со всеми приложениями, позволяет изменить IP-адрес для домена согласно правилу, которое задается в админке в виде: site.ru=127.0.0.1
- FILE SEARCH - модуль поиска файлов, ищет согласно правилам и отправляет их в админку (возможно указывать сбор всех файлов с определенным расширением или точное имя файла)
- PROCMON - модуль для мониторинга процессов и выполнения задания при нахождении нужного процесса
- DDOS - модуль позволяет осуществлять DDOS-атаки на различные ресурсы (домен или ip-адрес) поддерживается несколько видов атак
- KEYLOGGER - модуль-кейлоггер, перехватывает нажатие клавиш в заданных приложениях, поддерживает Unicode
- HIDDNEN TV - модуль скрытого Team Viewer (без РДП и прочих "параллельных" сессий)

Стоимость:
- только бот (нерезидентная версия) - 200$ (не устанавливается в систему, удаляется после запуска всех заданий, не поддерживаются модули)
- только бот (резидентная версия) - 300$
- STEALER - 100$
- FORM GRAB - 200$
- PASS SNIF - 100$
- ROOTKIT - 100$
- FAKE DNS - 100$
- DDOS - 200$
- HIDDNEN TV - 150$
- KEYLOGGER- 100$
- PROCMON - 50$
- FILE SEARCH - 50$
- ребилд бота - 10$
- обновления: мелкие фиксы - бесплатно, остальное обговаривается отдельно

Контакты:
Jabber: smoke@exploit.im | smoke@im.apinc.org
----------------------------------------------------------------------------------

Kronos

Совместим с 64 и 32bit rootkit троян обеспечен инструментальными средствами, чтобы давать Вам успешные банковские действия.

Formgrabber: Работает на последних версиях Chrome, Internet Explorer, и Firefox.В большинство старых версиях также работает. formgrabber грабит логи для каждого сайта.

Webinjects: Работает на последних версиях Chrome, Internet Explorer, и firefox.В большинство старых версиях также работает.

Инжекты написаны в том же формате zeus config, так что легко трансфер конфига сделать.
32-bit и 64-bit ring 3 rootkit: Данный троян имеет те же 32 и 64 bit ring 3 rootkit который прячет и защищает от других троянцев.

Proactive Bypass: Троян использует необнаруженные методы инжекции, чтобы работать в надежном процессе и обходить proactive antivirus защиту.
Encrypted Communication: Связь между ботом и панелью зашифрована для защиты от снифера.

Usermode Sandbox и Rootkit bypass: Троян способный обходить любой hook установленный в usermode функциях, которые позволят, чтобы быть незатронутым rootkits или sandboxes, которые используют эти хуки.

$3,000 - Пожизненная лицензия продукта. Обновление и устарение багов будут бесплатными.
Новые модули будут платными. вы должны приобрести копию за дополнительную плату.

Контакт
vinny@exploit.im - пожалуйста напишите только с OTR.
URL: https://exploit.in/forum/index.php?showtopic=79705
----------------------------------------------------------------------------------

Neutrino bot
- Основной функционал -
* Formgrabber (Chrome, Firefox, IE, Tor browser (HTTP, SSL, SPDY...))
* DNS Spoofer (Chrome, Firefox, IE)
* Track 1/2 граббер
* HTTP флуд
* Кейлоггер (Multilang.) (поддержка виртуальных клавиатур (снятие скриншотов в области клика размером 100х100)) ( Возможность слежения за указанными окнами )
* Поиск по процессам запущенным на боте.
* Лоадер ( exe, dll, vbs, bat ... + возможность указать параметры для запуска файла)
* CMD Shell ( удалённое выполнение команд с помощью командного интерпретатора windows)
* Стилинг файлов по маске
* Определение чистоты загрузок ( количество найденных "соседей" на компьютере )
* Определение установленного АВ ( на всех ОС Windows кроме серверных )
* Обновление
* Работа через прокладки
* Возможность подключения сторонних плагинов
* ...

- Дополнительные функции -
* Антиотладка
* AntiVM
* Детект песочниц
* Детект всех онлайн сервисов автоматического анализа

* Защита бота ( защита процесса\файла\веток реестра )
* Неограниченное количество одновременно выполняемых команд ( Некоторые команды имеют более высокий приоритет по отношению к другим и их выполнение останавливает другие )
* Неограниченное количество резервных доменов
* Тихая работа даже под ограниченной учётной записью
* Не нагружает CPU

- Функционал админки -
* Гибкая система создания заданий
* Подробная статистика по ботам
* Возможность отдавать команды каждому боту или стране отдельно
* Настраиваемое время отстука ботов
* Сортировка ботов в стате по IP\Онлайну\Стране\OS
* Система банов.
* ....

- Вес несжатого бинарника ~ 80kb
- Бот протестирован на всей линейке Windows, от XP до 8.1 (x32/64)

-Ценники -
Полный комплект ( админка + бот + билд на неограниченное кол-во доменов ) - 500$
Ребилд ( также неогр. кол-во доменов ) - 10$
Обновление ( функциональное ) - 20$
Оплата - BTC

Бинарник лицензирован, слив - остаётесь без поддержки.

-Контакты
ПМ или 3trino@exploit.im / n3utrino@fuckav.in
Селлер - nnseller@exploit.im
URL: https://exploit.in/forum/index.php?showtopic=78268
----------------------------------------------------------------------------------

Betabot

Betabot это мультизадачный софт включающий в себя все нужные для эффективной работы функции.

Функции

1. Руткит (Usermode) использующий самые низкоуровненные перехваты (Windows 8+ x86 использует сплайсинг системных вызовов из за отсутсвия KiFastSystemCall)
**Бот убирает чужие хуки с критических системных функций а так же восстанавливает собственные при модификации
**Бот включает в себя x64 руткит, но выключен по умолчанию т.к его полезность сомнительна (большинство ботов всё еще x32), вы можете активировать функцию через панель.
2. Боткиллер который удаляет большинство Usermode "конкурентов" с помощью эвристики + анализа поведения.
**Является эффективным средством для поддержки чистоты системы ваших ботов
3. Самозащитный механизм который восстановит бота при удалении или модификации. (Ключи реестра и пр).
**Бот использует множество методов для сопротивления любым модификациям
4. Формграббер - перехватывает формы в браузерах Internet Explorer, Firefox, Chrome. Бот сортирует в панели определенные данные указанные в настройках фильтра.
**Возможно использовать фильтры по URL или контенту в POST форме.
5. Реалтайм граббер Mail/FTP клиентов а так же POP3 (из под SSL), шанс успеха для POP3 зависит от клиента, поддерживается Outlook. Функция перехвата через SSL улучшила рейты на 30-40%.
6. Обход HIPS(проактивной защиты) большинства антивирусных средств (Есть постоянные проблемы с Kaspersky, шанс успеха +- 50%).
**Не поддерживаются такие специфичные средства как Comodo или Outpost
7. Модификатор DNS - настраивается через панель управления, перенаправляет ботов на указанный домен.
**Round-robin не поддерживается
8. Поиск файлов - бот будет искать определенные файлы по фильтру указанному в панели управления, если файл найден он будет загружен на сервер.
9. Проактивная защита - В настройках панели управления есть несколько режимов проактивной защиты:
**Проактивная защита по умолчанию: Автоматически блокирует работу различного вредоносного софта / методов иньекции кода для предотвращения загрязнения системы. Рекомендуется в том случае, если вы используете только Betabot 1.8 и не хотите что бы ваши боты заражались чем то другим.
**Анти-майнер защита: Блокирует работу множества биткойн майнеров, данная функция полезна т.к майнеры сильно нагружают систему и могут уменьшить время жизни загрузок.
**Бетабот-киллер : Бетабот 1.8.0.8 отключает все критические функции старых версий софта 1.6.x.x - 1.8.0.7
**Анти-буткит : Блокирует возможность модификации VBR/MBR и установки буткита.
10. Функционал DDOS атак на данном этапе поддерживает 4 метода (UDP флуд, connect-disconnect флуд, HTTP Get флуд и Slowloris)
11. Бот распостраняется через USB носители.
12. SOCKS4 сервер с поддержкой UPNP
13. Деление загрузок на различные группы/подгруппы , для редактирования группы каждого билда вам дается специальный тулкит. Всё отображается в панели управления.
**Упрощает работу с различными билдами / загрузками
14. Стандартные функции СКАЧАТЬ/ЗАПУСТИТЬ.
**Поддерживает загрузку CPL/DLL файлов и запуск DLL посредством rundll32 или же иньекции библиотеки в trusted процесс с обходом HIPS.
15. Поддержка до 10 доменов
16. Anti-VM / Дебаггер
17. Дополнительные функции :
**Посетить ссылку, установить страницу по умолчанию в браузере,очистить куки в браузере,выполнить команду (через cmd.exe) и Botscript.
**Botscript это функция в разработке которая позволит выполнять VBScript код в trusted процессах (Таких как msiexec.exe, например)
**Данная функция существенно улучшит "гибкость" бота и позволит выполнять различные "внештатные" задачи
18. Функциональная панель управления которая содержит всю нужную информацию о загрузках.
**Списки активных процессов, установленного софта, список автозагрузки и пр.

Требования
1. Последняя версия IonCube Loader
**На всех панелях стоит привязка к домену
2. PHP 5.4 + MySQL
3. Проверяйте билд перед использованием на реальных загрузках во избежание проблем
4. Продукт все ещё дорабатывается , поэтому могут быть баги. При обнаружении таковых прошу связаться со мной.

Связь и цена

**Билд = 800$
**К оплате принимается исключительно BTC!
**Крупные обновления не всегда но в основном будут платными, за адекватную цену. Исправления ошибок/патчи бесплатно.
**Ребилд 30$

Jabber - nightcrawler_sh@exploit.im или nightcrawler@exploit.im
URL: https://exploit.in/forum/index.php?showtopic=89724
----------------------------------------------------------------------------------

Andromeda bot

Описание:
Универсальный модульный бот. На основе этого продукта можно построить ботнет с безгранично разнообразными возможностями. Функционал бота расширяется с помощью системы плагинов, которые могут быть подгружены в нужном количестве и в любое время.

Не ограниченная по количеству поддержка резервных доменов.
Протокол обмена данными между ботом и админкой зашифрован с помощью RC4.
Модульный. Вы сами можете перепрофилировать свой ботнет под Ваши нужды в любое время.
В системе не агресивен, для установки не требуются права администратора, окно UAC не выскакивает.
Защищает себя, не подготовленный юзер не сможет удалить бота из системы.
Обходит фаерволы, не палится в процессах, используется инжект в доверенный процесс.
Не выбрасывает из себя никаких DLL, не содержит TLS, легко криптуется.
Не зависимо от успеха установки исходный exe удаляется.
Работает на линейке от WinXP до Win8 включая x64 системы.
Малый размер, полностью написан на ассемблере.

Обзор от Ar3s'a

Панель управления:
Написана на PHP в связке с MySQL.

Определение ботов находящихся за NAT.
Подсчет статистики по ботнету. Боты онлайн/боты оффлайн/мертвые боты/статистика по странам/статистика по платформам.
Подсчет количества выполненных/не выполненных задач.
Можно установить лимит на количество выполнений задания.
Можно давать задания конкретному боту.
Распределение задач по странам.
Удаление всей статы/удаление мертвых ботов из базы.

Проект Andromeda и все права на него полностью передаются Ar3s'у. Далее с ним и только с ним ведутся/решаются все вопросы по боту. С меня еще обновление до версии 02.07, оно затянулось, да, но оно будет, просто у меня некоторые заминочки выходят.
Прошу прощения у ожидающих.

Обновление. Текущая версия 02.07 - полная несовместимость с предыдущими версиями.
Более точная и информативная стата по платформам, системы теперь распознаются со 100% точностью, начиная от Win2000 и заканчивая Win8, включая серверные сборки.
Немного переделан дизайн, а также появился русский перевод панели.
Статистика вынесена на отдельную страницу и дополнена визуализацией. Для просмотра необходимо включить JavaScript и Flash.
GeoIP обновлен до январской версии.
Переписан плагинный движок, плагины работают стабильнее. К языку программирования мы теперь не привязаны и в скором времени будет выложен SDK в свободный доступ.
Пофикшен баг Socks4 плагина, при котором иногда выскакивал вопрос от Windows Firewall.
Соксы теперь сидят на рандомном порту в диапазоне от 1024 и до 65535.
Изменена логика работы при запуске второй копии бота на одной машине. Теперь старая, та что уже была на машине, заменяется (читай убивается) новой копией, а не наоборот как было раньше.
В связи с тем, что у некоторых абузных хостеров IP адрес бота может передаваться не в $_SERVER['REMOTE_ADDR'] добавлена возможность ручного выставления нужного имени переменной.
Работа с сетью переведена с сокетов на WinHTTP, теперь стало возможным использование HTTPS, а также стало возможным повесить вебсервер на любой порт. Теоретически будет меньше палева по трафику т.к. используется HTTP/1.1 и всякие приблуды типа chunked/gzip/deflate т.е. трафик больше смахивает на "легальный". Посмотрим, что из этого получится. Важно: префиксы http:// и https:// при билде теперь ОБЯЗАТЕЛЬНЫ!
Количество доменов теперь не ограничено 6-ю, при билде можно вписать столько сколько нужно.
[+] Добавлен AntiBotKill механизм, убить процесс бота стало гораздо сложнее.
[+] Теперь бот мониторит реестр и файловую систему в динамике, при любом изменении состояния ключевых точек происходит немедленная перезапись, и бинарника, и ключа на автозапуск.
[+] Логи формграббера переехали в базу, добавлен поиск, добавлен парсер.
[+] В стату по странам добавлено отображение онлайна по конкретной стране.
[+] В фильтр ботов добавлен новый параметр "Страна", можно указать несколько через запятую, например "de,it,fr"
[+] В панель добавлен Jabber стукач, задача стукача сообщать о логинах и возможном бруте админки.
[+] Ребилдер обучен новым командам, теперь можно получать доступные плагины самостоятельно.
[-] Убрана игра с DACL на ключах реестра, теоритически это повышает отстук других ботов которые ломились в теже ключи и соответственно обламывались.
[-] Линейка 01.* снята с продажи и более не поддежривается.
Кнопочка KeyLogger теперь не просто занимает место на экране, теперь она еще и работает smile.gif
К покупке доступен модуль KeyLogger. Функционал стандартный:
Захват только нужных приложений, список указывается в админке, весь прочий шлак отсеивается.
Захват всех печатных символов + Escape, Tab, Backspace, Enter и клики мышки.
Поддержка Unicode, закорючек не будет, все распознается.
Захват буфера обмена.
Логи в админке, есть поиск, юзабилити схоже с формграббером.
Ценник: 200$, за приобретением стучим к Ar3s'у
Плагин Ring3 Rootkit теперь входит в базовый комплект т.е. он стал бесплатным также как и Socks5

Ценники:
Бот - 500$
Socks5 - в комплекте
Ring3 RootKit - в комплекте
Formgrabber, без инжектов, http/https, все браузеры включая Chrome - 500$
Keylogger - 200$


К оплате принимаются:
Perfect Money
Чеки Paymer

Контакты:
Ar3s@dlab.org.in
----------------------------------------------------------------------------------

OVERFLOW BOT - Linux

Ботнет работает только с операционными системами семейства Linux.
В отличии от других Linux ботов, в OVERFLOW BOT реализованы атаки L3-L7.
Соотвественно вы можете атаковать как сетевой стэк (TCP Reflection, Syn, ACK, etc)
Так и утилизировать каналы провайдеров противника (NTP Amplification, DNS Amplification, SSDP Amplification)
Но даже если это не поможет у нас реализованы атаки уровня приложения L7 (XMLRPC http flood, Proxy Flood).

- Все бинарники бота защищены своим лоадером (бинарник не может попасть в руки другому клиенту или злоумышленнику который получил доступ к вашему серверу.)
- Общение Веб панели с сервером шифруется специальными PGP ключами.
- После запуска атакера, демон сам проверяет запуск бота и наличие загруженных листов в памяти и удаляет бинари.
- Бот хорошо спрятан в системе, что усложняет его поиск.
- При каждом запуске очищаются все возможные логи сервера начиная от .bash_history, заканчивая системными.
- C&C(админ-панель) автоматически заливает бота при каждой атаке.
- Работает на любых системах семейства Linux
- Ведет собственную статистику PPS / BPS / LAN / CPU / RAM / LA
- Имеет собственный Resolver (AS / IP / Network Name)
- Полное управление листами
- Возможность создать свой индивидуальный лист для атаки
- Управление привелегиями пользователей OVERFLOW BOT
- Возможность добавить свой бинарь для атаки через OVERFLOW BOT
- Интегрированая система логирования всех действий в панели, выборочно по юзерам

Module TCP:

Модуль TCP включается в себя практически все виды TCP L3 атак.

- Syn FLood (полностью рандомизированый Syn, меняет ttl, исходящие порты, полностью идентичен реальному пакету)
- Syn Source (атака spoof SYN пакетами, с вашего списка IP адресов)
- Syn Reflection (TCP амлификация)
- OVH (отдельный TCP модуль который со 100% успехом пробивает VAC-OVH, все пакеты идут точно в цель)
- ACK (отдельный TCP модуль, подобран по структуре пакетов специально для защит типа Voxility / Akrino)

Модуль UDP атак:

- DNS Amplification Attack (Атака по любым портам, атака по подсетям от /18 до /24, возможность запускать атаку с несколькими BIG SIZE доменами)
- NTP Amplification Attack (Амплификация NTP, очень большое плечо атаки, но мало резольверов).
- SSDP Amplification Attack (Амплификация SSDP)

Модуль L7:

- Атака http XMLRPC (WordPress ping.back)
- Атака http proxy (Web Proxy attack)

- SYN FLOOD 1.1MPPS (пакеты легитимные, без аппаратных решений обработать очень не просто)
- DNS Amplification 21GB/S (при наличии хороших DNS и чистых доменов)
- ACK Flood (900k PPS, убивает некоторые Voxility с 2 серверов)
- OVH (с 1 сервера убивает любой гигабитный сервер в OVH, если 10GE порт, то нужно примерно 2-4 сервера)
- http (с 1 сервера генерирует 26к RPS, любой сервер без защиты L7 (клиентский OVH, Voxility, ddos-protection, иногда даже DDos-guard, перестает отвечать на http запросы)

Преимущества нашего бота перед конкурентами:
- Мы работаем исключительно на актуальность поставляемых атак в нашем боте;
- Возможна любая реализация ваших атак или модулей в нашей панели за дополнительную плату;
- В нашем боте реализованы атаки уровня Layer 7;
- Полный обход защит типо VAC / Voxility / etc
- Частые обновления;
- Круглосуточный онлайн службы поддержки;
- Адекватное ценообразование на продукт;
- Бот написан на чистом СИ, веб морда на php PDO;
- Огромная скорость и стабильность работы;

Покупка:
Для покупки данного продукта свяжитесь с нами: overflow@pizdec.today

Цена: 1800$
URL: https://exploit.in/forum/index.php?showtopic=94671