Borr Malware By https://t.me/onek1lo_blog Published: 2020-02-04 · Archived: 2026-04-05 23:09:53 UTC Borr Malware https://t.me/onek1lo_blog Продажник: https://lolzteam.online/threads/1327287/ Семпл: https://twitter.com/ViriBack/status/1222704498923032576 Реверс Для начала откроем файл в ExeInfoPe. Исходный семпл DotNet файл, накрытый SmartAssembly. Первым делом попытаемся скормить его De4dot. https://telegra.ph/Borr-Malware-02-04 Page 1 of 17 Результат не порадовал, чистого файла мы не получили. Придется смотреть вручную. Открываем файл в DnSpy, переходим в .cctor .cctor Ничего интересного в этих методах я не нашел. Но зато меня привлек файл в ресурсах, очень похожий на шифрованный бинарник. https://telegra.ph/Borr-Malware-02-04 Page 2 of 17 Значит, в каком то куске кода он будет расшифрован и подгружен. Пропускаем методы (ставим брекпоинт в конце .cctor), шагаем и смотрим модули https://telegra.ph/Borr-Malware-02-04 Page 3 of 17 Подгрузилась Dll (1thzpxouagh). Сохраняем ее и открываем в DnSpy. Оказывается, стиллер накрыт криптом из SmartAssembly + RunPE. Стаб использует RunPE, а значит скорее всего в ресурсах нативный файл. https://telegra.ph/Borr-Malware-02-04 Page 4 of 17 Смотрим ресурсы, видим шифрованный файл. В самом коде все главные методы без обфускации. Написать декриптор будет просто. https://telegra.ph/Borr-Malware-02-04 Page 5 of 17 Пишем декриптор После расшифровки получаем чистый билд. Откроем его в ExeInfoPE. Чистый билд Файл нативен, и это правда. Но несовсем. Данный софт использует технологию CRL-Hosting. Грубо говоря, перед нами сейчас нативная обертка DotNet файла. https://telegra.ph/Borr-Malware-02-04 Page 6 of 17 С точки зрения написания малвари кажется, что этот способ сокрытия кода наиболее эффективен. Однако это не панацея. В процессе работы будет подгружен .net модуль, который легко сдампить. В нашем случае все еще проще. Стиллер работает какое-то время, а значит можно даже не искать нужные брекпоинты - просто запускаем приложение в дебаггере, ждем несколько секунд и ставим паузу. Net модуль загружен, можно дампить. Лично я испльзовал x32dbg и ExtremeDumper. Дампим, дампим, дампим... Что делаем? Правильно. https://telegra.ph/Borr-Malware-02-04 Page 7 of 17 Последний рывок Неизвестный обфускатор. Ничего страшного, открываем в DnSpy и видим мод конфузера. https://telegra.ph/Borr-Malware-02-04 Page 8 of 17 Шо, опять? Ставим брекпоинт на Main, чекаем переменные. https://telegra.ph/Borr-Malware-02-04 Page 9 of 17 Сохраняем, открываем, уже лучше. Однако строки и методы все равно обфусцированны. Теперь пришло время заюзать спец тулзы для конфузера. В конце концов имеем чистые сурсы. https://telegra.ph/Borr-Malware-02-04 Page 10 of 17 Анализ кода Первое что бросается в глаза - конфиг передается открытым текстом. Неужели так сложно было сделать банальный XOR+base64? Просто несерьезно. Лоадер дропает EXE со статичным именем в TEMP. Привет рантайм. https://telegra.ph/Borr-Malware-02-04 Page 11 of 17 Далее меня привлек конфиг. Как я понял, при запуске стиллер проверяет, действительна ли лицензия, и если все ок то продолжает работу. Как по мне это не самый лучший подход. Что если сервер/ip забанят? Как этот запрос в сеть скажется на рантайме, учитывая что все билды будут стучать на этот хост? Кстати, вот сюда стучит софт при запуске. Сбор данных с браузера осуществляется с помощью дроченого SqliteHandler. https://telegra.ph/Borr-Malware-02-04 Page 12 of 17 Я не знаю почему все юзают CryptUnprotectData, когда есть System.Security.Cryptography.ProtectedData Стиллер outlook в наглую спизжен с моих сурсов. Даже не оптимизировали по нормальному. https://telegra.ph/Borr-Malware-02-04 Page 13 of 17 Можно было бы добавить больше FTP. Лог собирается на диске, причем папка дропа статична. Снова рантайм. https://telegra.ph/Borr-Malware-02-04 Page 14 of 17 И самое большое огорчение - граббер. Софт/панель не предусматривают возможность добавления собственных путей сбора файлов. В топике было написано о обходе WindowsDefender, но где этот обход находится я так и не нашел. Детект чистого файла. Создается впечптление что софт написан на похуй. Ни многопоточности, ни каких то других фишек - абсолютно дефолтный стиллер с дефолтными методами с гитхаба. На этом желание копать дальше пропало - все это я уже видел. Панель В командах (?) Borr и Krown один и тот же web кодер, поэтому их панели похожи. Borr https://telegra.ph/Borr-Malware-02-04 Page 15 of 17 Krown Настройки граббера https://telegra.ph/Borr-Malware-02-04 Page 16 of 17 Поиск по логам Нужно отдать должное, панель в этом софте выглядит круто. Но настройки конфига скудноваты (имхо). Итог Borr Stealer - салат из правленных исходников с гитхаба с минимумом новизны и щепоткой конфузера. -Путей сбора файлов мало -При этом добалять свои пути невозможно -Судя по стилю написания кода, создается впечатление, что софт написан не малвар-кодером, а фрилансером за еду Как по мне, данный продукт не соответствует цене (30$ в неделю без крипта). Единственное что понравилось - обфускация (было интересно реверсить) и панель. Исходник Бинарники (onek1lo) Блог Source: https://telegra.ph/Borr-Malware-02-04 https://telegra.ph/Borr-Malware-02-04 Page 17 of 17