Статья XLL dropper C/C++

[admin]

Приветствую всех любителей малвари, на данный момент это не совсем актуально как было пару лет назад, но всё же решил выложить исходники своего XLL дроппера который был написан на заказ уже какое-то время, но в итоге не понадобился, а так может кому пригодится и откроет для себя что-нибудь интересное как я в своё время)



Зависимости:

• Код работает только из-под 32-битного Экселя.
• Для компиляции использовать студию 2017 или выше.
• Веб сервер на PHP

При запуске по желанию открывает ваш файл эксель (муляж) затем подключается к веб серверу откуда скачивается шифрованный бинарник, после чего в памяти происходит дешифровка и запуск.

Если нужен только запуск вашего exe то закомментируйте вызов OpenExcelSheet.

• Шифрование при помощи RC4
• Большая часть API вызовов скрыта
• Техника инъекции кода: Process hollowing (код позаимствован у ired.team)
• Коммуникация с сервером по HTTP протоколу осуществляются исключительно через API библиотеки ws2_32

Запуск:

1. Открываем проект CryptBinary -> Release, находим EncryptBinary.bat и запускаем, указываем файл который надо зашифровать.
2. Копируем файлы из папки php себе в корневую папку веб сервера.
3. Копируем файл из первого шага в папку где лежит пхп скрипт, изменяем скрипт пхп и ставим своё название файла.
4. Изменяем в файле dllmain.cpp строчку 155 где переменная DMAIN содержит шифрованный с помощью RC4 айпи адрес, ставим свой айпи или домен (находим онлайн RC4 шифрование либо сами через студию, ключ хранится в funcs.cpp)
5. Компилируем под x86, меняем расширение с DLL на XLL и всё готово.

Видео:
Для просмотра ссылки Войди или Зарегистрируйся

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[GiviGivi]

hz