[B] n0ise BlackBox offline-dumper

[EBFE]

Macht die Tools offline verfügbar. Detailierte Anleitung in der ZIP, Source auch.
Achtung: bevor hier unüberlegt kopiert oder rumgemeckert wird:
das Tool funktioniert nur bei Leuten, die die BlackBox + einen gültigen "Account" bei n0ise haben.
http://www.xup.in/dl,11222320/noise_...inedumper.zip/
Source:

auth-server.py

Code:

# autor: EBFE
# mail: ebfe@inbox.ru
# python 2.6/2.7
import sys, urllib, time
from BaseHTTPServer import BaseHTTPRequestHandler, HTTPServer
import urlparse

class SimpleServer(BaseHTTPRequestHandler):
    def log(self, msg):
        print (msg)# self.log_message
        
    def do_GET(self):
        self.http_ok("<html>EBFE's simple n0ise 'Black Box' auth-server</html>")    

    def do_POST(self):
        self.log("HTTP POST %s\n"  % self.path)
        form = None

        if "content-length" in self.headers:
            length = int(self.headers["content-length"])
            form = urlparse.parse_qs(self.rfile.read(length),
                                     keep_blank_values = 1)
            self.log("POST values:")
            for key, value in form.items():
                self.log("%s: %s" % (key, value[0]))           

        if form and "/login.php" in self.path:
            self.log("\nlogin request(hwid) %s" % form['hardwareid'][0])            
            self.http_ok("1-1-1-1-1-1")
            
        elif form and "/tools.php" in self.path:
            self.log("\ntool stub request:\nhardwareid: %s\ntool: %s" %
                     (form['hardwareid'][0], form['tool'][0]))
            try:                
                f = open("dumps/"+form['tool'][0], "r")
                self.http_ok(f.read())
                self.log("OK")
            except IOError:
                self.log(("\nunknown tool '%s' " +
                        "request from n0ise Black Box :( \n") % form['tool'][0])
                self.http_ok("")
            else:
                f.close()
                
        else:
            self.log("\nunknown http-request from n0ise Black Box :( \n")
            self.http_ok("")

    def http_ok(self, msg, content_type = "text/html"):
        self.send_response(200)
        self.send_header("Content-type", content_type)
        self.send_header("Content-length", str(len(msg)))
        self.end_headers()
        self.wfile.write(msg)

def main():
    try:
        server = HTTPServer(('', 80), SimpleServer)
        print('starting auth-server')
        server.serve_forever()
    except KeyboardInterrupt:
        server.socket.close()

if __name__ == '__main__':
    main()

n0isedumper.py

Code:

# autor: EBFE
# mail: ebfe@inbox.ru
# python 2.7
import sys, urllib, time

tools = ['Crypter', 'Binder', 'Downloader', 'Keylogger', 'Bot']
myurl = "http://localhost"#"http://www.fuckddoskiddies.com"
dumpdir = "dumps"

def dump(url, hwid, tool, dumpfile):
    # POST: export_all=Export+All+Logs    
    print ("dumping '%s' to: '%s'" % (tool, dumpfile.name))
    post = urllib.urlencode({'hardwareid':hwid, 'tool':tool,
            'firstsurprise':'explorer', 'secondsurprise':'0'})
    page = urllib.urlopen(url, post)
    print ("HTTP %d" % page.getcode())
    data = page.read()
    dumpfile.write(data)
    page.close()

def main():
    date = time.gmtime()
    url = myurl + "/tools.php"
    hwid = sys.argv[1]
    for tool in tools:
        try:
            filename = dumpdir + "/" + tool + \
                       "__%02d%02d%02d_%02d%02d%02d" % (date.tm_mday,
                       date.tm_mon, date.tm_year, date.tm_hour,
                       date.tm_min, date.tm_sec)
            with open(filename, "w") as f:
                dump(url, hwid, tool, f) 
            
        except IOError:
            print("error while dumping '%s' :(" % tool)

main()

[Razorback66]

Kann ich mir die Black Box nicht auch iwo anders herholen oder muss ich mir das dumme Tool noch kaufen bevor ichs offline verwenden kann? Oo

[n0ise]

Sehr nice
Versteh was du machst xD Obwohls nicht wirklich viel bringt.
Aber ne coole Idee ;-)

[EBFE]

@Razorback66
Also ich kauf's mir nicht
Die BlackBox ist quasi ein Builder und "AccLogin+Downloader" in einem. Sie lädt unter "url/tools.php?hwid+Toolname" die Stubs für Tools herunter und compiliert sie.
Und der Server lässt den Download nur zu, wenn man eine "gültige" HWID hat. Die BB alleine ist also an sich erstmal wertlos, da sie NICHT den Stub-Code beinhaltet.

Btw:
Die alten Versionen der Tools werden anscheinend von Avira erkann (siehe letztes Update auf coding-revolution.to Seite)
Was mich auch nicht wundert, da die Stub zwar wirklich compiliert/generiert wird, dann aber mit einer "Mono-DLL" der Entwicklers, die die ganzen "Zusatzfunktionen" der Tools enthält (Anti-Settings, Auto-Start, Decompress, Fake-Error, Melt-Server usw.) gemergt wurden. Und die war "statisch". D.h jede "unique" Stub hat dann noch eine ~80KB "non-unique" Beigabe erhalten.
D.h: nach diesem Update schätze ich, dass auch eine neue BB an den "man" gebracht werden muss (-> alte BBs haben noch die alte DLL)

@n0ise:
Wenn man zusäztlich der BlackBox die HWID des Rechners unterschiebt (Loadermäßig ), auf dem der Dump erstellt wurde, geht das Ganze dann offline+rechnerübergreifend .

Edit:
@OpCodez: da muss noch ein Loader hin, der der BlackBox die HWID unterschiebt. Denn die Stubs sind über Rijndael + HWID verschlüsselt. Wenn die BB den "normalen" Dump vom Auth-server bekommt, wird sie ihn ohne "richtige" HWID nicht entschlüsseln können.

[n0ise]

Hmmm hast recht. Ach jesus. Ihr müsst einem auch immer das leben so schwer machen... xD

[Razorback66]

Hmmm hast recht. Ach jesus. Ihr müsst einem auch immer das leben so schwer machen... xD

Dann liefer vernünftige Programme und nicht so nen crap.

[n0ise]

Kann ich mir die Black Box nicht auch iwo anders herholen oder muss ich mir das dumme Tool noch kaufen bevor ichs offline verwenden kann? Oo

Aber du scheinst den Crap ja haben zu wollen.
So crappy kann der dann ja nicht sein oder? xD

[Razorback66]

Aber du scheinst den Crap ja haben zu wollen.
So crappy kann der dann ja nicht sein oder? xD

Da hast du vlt recht, aber als ich dann als Antwort gelesen habe das ich mir die Tools zusammensuchen soll und das dann eh Versionen von vor paar Monaten sind und diese auch sowieso schon wertlos sind habe ich den Gedanken wieder verworfen...
Außerdem bezog sich meine Aussage nicht auf die Tools selbst, sondern auf die protection die man in seine Programme steckt.

Aber naja wenn kiddies mit Mamas Taschengeld deine Toolz kaufen sollen sie es doch

[0x30]

Du wärst auch so ein Kiddie gewesen, wäre EBFE nicht so sozial und ein whitehate

[n0ise]

Naja. Ich hab mir eingentlich dieses Mal halbwegs Mühe bei der Protection gegeben.
Es ist ja noch nicht Hopfen und Malz verloren.
Geleakt ist noch nichts.
Wenn die Tools geleakt werden, dann hab ich nicht drunter zu leiden sonder einfach nur die Kunden.
Und die Kids die sich über den Leak freuen haben nach einer Woche einen Public Detected Crypter Sehr nice.
Aus Leaks zieht niemand einen Gewinn.
Aber wenn ihr meint Tools leaken zu müssen....