Как я Evrial ломал

Недавно на руки мне попал новый образец, ставшего в последнее время популярным, Evrial.

О трояне
Evrial Project — MaaS (Malware as a service) троян с функционалом клиппера (подмена буфера обмена) и стиллера паролей/файлов

Сам файл файл является .NET-приложением, которое, к слову, ничем не накрыто в отличие от предыдущих версий.


Прогнав его декомпилятором, без труда получаю исходный код и узнаю что это модификация нашумевшего Ovidiy

image

Разбирать функционал, отвечающий за стиллер/клиппер я не буду, т.к. до меня это уже сделали во множестве статей. Для меня основной целью было узнать, насколько защищена веб-часть, которой пользуются все клиенты данной малвари.

В коде без труда можно найти ссылку на домен панели, а также, методы, в которых он используется:

Методы для передачи данных на сервер
image
image
image

Безуспешно провтыкав полчаса на поиск SQL-инъекций, я решил посмотреть, куда на сервере дропаются все файлы. Для этого я создал проект на шарпе и попробовал загрузить свой файл владельцу лицензии:

new WebClient().UploadFile("https://projectevrial.ru/files/upload.php?/user=%username%&hwid=file", "POST", "1.zip");

Исходя из логики, что не зря есть директория files и HWID жертвы, я решил глянуть следующую ссылку projectevrial.ru/files/file и оказался прав, судя по тому, что мне выбило ошибку 403. Попробовав еще разные комбинации, меня снова осенило и я нашел свой файл по ссылке projectevrial.ru/files/file/file.zip. Попытки загрузить файлы с другими расширениями не увенчались успехом, единственное, что получилось — залить файл с произвольным содержанием (php и другие скрипты таким способом не воспроизведутся):

image

Далее я начал пробовать пробить xss в админке (пришлось искать лицензию). Данные там отображаются следующим образом:

image

Как я выяснил на опыте, XSS-защита работает таким образом (почти не работает), что не пропускает записи, содержащие закрывающий тег "</...>". Отсюда формируем следующий запрос:

new WebClient().UploadFile("https://projectevrial.ru/files/upload.php?/user=%username%&hwid=\"><BODY onload=alert(\"Omae-wa-mou-shindeiru!\")><a href=\"", "POST", "1.zip");

И получаем +1 очко в копилку:

image

Следующую дырку я нашел на странице настроек клиппера. Даны три формы, в которых вбиваются ссылки/кошельки такого типа:

image

При сохранении значения, инпут принимает следующий вид

image

Исходя из этого формируем запрос

image

И получаем результат:

image

На этом все, берегите свои панельки.
Метки:
reverse engineering,malware,evrial,analyse