# Borr Malware – Telegraph **telegra.ph/Borr-Malware-02-04** ## Borr Malware [https://t.me/onek1lo_blogFebruary 04, 2020](https://t.me/onek1lo_blog) ## Borr Malware [https://t.me/onek1lo_blog](https://t.me/onek1lo_blog) Продажник: [https://lolzteam.online/threads/1327287/](https://lolzteam.online/threads/1327287/) Семпл: [https://twitter.com/ViriBack/status/1222704498923032576](https://twitter.com/ViriBack/status/1222704498923032576) ### Реверс Для начала откроем файл в ExeInfoPe. February 4, 2020 Исходный семпл DotNet файл, накрытый SmartAssembly. Первым делом попытаемся скормить его De4dot. ----- Результат не порадовал, чистого файла мы не получили. Придется смотреть вручную. Открываем файл в DnSpy, переходим в .cctor .cctor Ничего интересного в этих методах я не нашел. Но зато меня привлек файл в ресурсах, очень похожий на шифрованный бинарник. ----- Значит, в каком то куске кода он будет расшифрован и подгружен. Пропускаем методы (ставим брекпоинт в конце .cctor), шагаем и смотрим модули ----- Подгрузилась Dll (1thzpxouagh). Сохраняем ее и открываем в DnSpy. Оказывается, стиллер накрыт криптом из SmartAssembly + RunPE. Стаб использует RunPE, а значит скорее всего в ресурсах нативный файл. ----- Смотрим ресурсы, видим шифрованный файл. В самом коде все главные методы без обфускации. Написать декриптор будет просто. ----- Пишем декриптор После расшифровки получаем чистый билд. Откроем его в ExeInfoPE. Чистый билд ----- Файл нативен, и это правда. Но несовсем. Данный софт использует технологию _CRL-_ _Hosting. Грубо говоря, перед нами сейчас нативная обертка DotNet файла._ С точки зрения написания малвари кажется, что этот способ сокрытия кода наиболее эффективен. Однако это не панацея. В процессе работы будет подгружен .net модуль, который легко сдампить. В нашем случае все еще проще. Стиллер работает какое-то время, а значит можно даже не искать нужные брекпоинты - просто запускаем приложение в дебаггере, ждем несколько секунд и ставим паузу. Net модуль загружен, можно дампить. Лично я испльзовал x32dbg и ExtremeDumper. Дампим, дампим, дампим... Что делаем? Правильно. ----- Последний рывок Неизвестный обфускатор. Ничего страшного, открываем в DnSpy и видим мод конфузера. ----- Шо, опять? Ставим брекпоинт на Main, чекаем переменные. ----- Сохраняем, открываем, уже лучше. Однако строки и методы все равно обфусцированны. Теперь пришло время заюзать спец тулзы для конфузера. В конце концов имеем чистые сурсы. ----- ### Анализ кода Первое что бросается в глаза - конфиг передается открытым текстом. Неужели так сложно было сделать банальный XOR+base64? Просто несерьезно. ----- Лоадер дропает EXE со статичным именем в TEMP. Привет рантайм. Далее меня привлек конфиг. Как я понял, при запуске стиллер проверяет, действительна ли лицензия, и если все ок то продолжает работу. Как по мне это не самый лучший подход. Что если сервер/ip забанят? Как этот запрос в сеть скажется на рантайме, учитывая что все билды будут стучать на этот хост? ----- Кстати, вот _[сюда стучит софт при запуске.](http://92.63.197.188/Auth/index.php)_ Сбор данных с браузера осуществляется с помощью дроченого SqliteHandler. ----- Я не знаю почему все юзают CryptUnprotectData, когда есть System.Security.Cryptography.ProtectedData Стиллер outlook в наглую спизжен с моих сурсов. Даже не оптимизировали по нормальному. ----- Можно было бы добавить больше FTP. Лог собирается на диске, причем папка дропа статична. Снова рантайм. ----- И самое большое огорчение - граббер. Софт/панель не предусматривают возможность добавления собственных путей сбора файлов. В топике было написано о обходе WindowsDefender, но где этот обход находится я так и не нашел. _[Детект чистого файла.](https://cyberscan.org/results.php?id=10uZhNgjOC&__cf_chl_jschl_tk__=e974ba64090ec6d23ca5f12e95c3f5db928db78e-1580828700-0-Ac0ob_ln-Uz-Qp1hNItCdex-BaJOIWeMY8Sv3HTJ5vWn2X-C9c54nm6yxOdVdMOwwysXiQ1Snts2rdKSzVjtM13HKN0x4FWoJgly7s0d-iJsg62432jtEKCFp9IyhE_B8PWfDvicccRaiesYEA7N8EQkrlASABTVM5icRhyaLayfRKRKIjnIMfPzhHUI2aInkyFaMO7c2EcjwMMSP9bAPwg0gKfRWdeVUSAMKeDg2hMsz2QrwjFRRdTOTCOTTMNvfwrVoQFnslIRdORSZG6Ggy4ONVS4kGTTTdZX-ohiDFdxmkhGhBsQa3pvOqiogGtPVClerHZ9y17zEf06g5AWYX-3Aoxr8po0atTVAyb2BZWR)_ Создается впечптление что софт написан на похуй. Ни многопоточности, ни каких то других фишек - абсолютно дефолтный стиллер с дефолтными методами с гитхаба. На этом желание копать дальше пропало - все это я уже видел. ### Панель В командах (?) Borr и Krown один и тот же web кодер, поэтому их панели похожи. ----- Borr Krown ----- Настройки граббера Поиск по логам Нужно отдать должное, панель в этом софте выглядит круто. Но настройки конфига скудноваты (имхо). ### Итог **Borr Stealer - салат из правленных исходников с гитхаба с минимумом новизны и** щепоткой конфузера. -Путей сбора файлов мало ----- -При этом добалять свои пути невозможно -Судя по стилю написания кода, создается впечатление, что софт написан не малваркодером, а фрилансером за еду Как по мне, данный продукт не соответствует цене (30$ в неделю без крипта). Единственное что понравилось - обфускация (было интересно реверсить) и панель. [Исходник](https://github.com/onek1lo/Borr-Stealer) [Бинарники (onek1lo)](https://anonfile.com/53406bVfn2/BINS_rar) [Блог](https://t.me/onek1lo_blog) -----