<!--site_spoiler Инфо -->
<!--spoiler_text-->[ UFR Stealer ]
UFR Stealer - это стилер, т.е. программа, ворующая сохраненные в программах пароли.
Параметры командной строки
Парсинг отчетов
Для парсинга отчета следует использовать параметр /p.
Второй параметр - формат сохранения: /txt или /html.
Третий - файл отчета.
Четвертый - пароль, при условии, что отчеты дополнительно шифруются. Примеры:
UFR.exe /p /txt 123.bin
UFR.exe /p /txt 123.bin 71AE4286A74316AABD8569.....
Также возможно парсить несколько отчетов за один раз. Для этого вместо имени файла следует указать * (звездочка), тогда все найденные отчеты в папке с билдером пропарсятся и сохранятся. Пример:
UFR.exe /p /html *
При использовании множественного парсинга (использование "*" вместо имени файла), можно сохранять расшифрованные данные всех отчетов в один файл при помощи параметра /txtcoll вместо второго параметра. Пример:
UFR.exe /p /txtcoll *
При таком использовании все пароли сохранятся в один текстовик с именем первого отчета.
Защита отчетов паролем
Эта функция предназначена для полной защиты отчетов от чужих глаз. При включенной фиче отчеты дополнительно шифруются с помощью алгоритма RSA. Публичный ключ находится в билде стилера, приватный - в виде длинного пароля, который появляется после нажатия кнопки "Сгенерировать". Алгоритм использования таков:
1. Настраиваем билд на фтп/гейт/почту/флешку.
2. Нажимаем кнопку "Защита отчетов паролем (см. Справку)" в главном окне программы. Появится окно "Защита отчетов паролем", в котором жмем кнопку "Сгенерировать", в текстовом поле появится весьма длинный пароль, сохраняем его куда-нибудь (если потеряется - отчеты уже не откроешь).
3. Создаем билд и используем по назначению.
4. Расшифровываем отчеты: открываем отчет во вкладке парсера и видим окно, которое просит ввести пароль. Вводим ранее сохраненный пароль и получаем расшифрованный отчет.
Плюсов в этом достаточно: можно без опасений использовать фтп (еще лучше, если аккаунт будет только под стилер) — если пароль из билда достанут, то чужих отчетов все-равно не получат. То же касается и гейта с его уязвимостями.
Всем настоятельно рекомендую обязательно использовать эту опцию.
Downloader
В функционал стилера входит возможность скачивать и запускать исполняемые файлы. В соответствующем окне вводим URL'ы файлов, при запуске билда они будут скачаны и запущены.
Есть два момента:
1. Даунлоадер отрабатывает после стилинга паролей.
2. Даунлоадер поддерживает только исполняемые файлы, поэтому никаких других файлов добавлять не стоит.
Anti-VM и т.п.
Если были выбраны эти опции (а они включены по дефолту), то при обнаружении VBox'a, Wireshark'a и остальных, стилер завершится. Для виду билд может упасть, закосив под нерабочий бинарник.
Также билд можно настроить на выход при обнаружении выбранных процессов, к примеру разных анализаторов - FileMon или RegMon.
Отправка отчетов на почту
Отчеты стилера можно отправлять на почту. Главное в настройке - нужно иметь 2 ящика, а не один. С одного идёт отправка - отправитель, а на другой приходят отчеты - получатель. Только в таком случае отчеты будут в безопасности от ковыряния билдов.
Ниже приведен пример заполнения полей. Отправителем будет ящик mail_from@mail.ru, получателем - mail_to@yandex.ru
Отправитель - почтовый адрес отправителя, mail_from@mail.ru
Логин - логин аккаунта-отправителя, mail_from
Пароль - пароль аккаунта-отправителя
Получатель - почтовый адрес получателя, mail_to@yandex.ru
Сервер - почтовый сервер ящика-отправителя, smtp.mail.ru
Использование FTP
Стилер может отправлять отчеты на заданный фтп-сервер.
[Данные для доступа к серверу]
Хост - адрес сервера, например "vazonez.freehostia.com"
Логин - логин FTP-аккаунта, на который будут заливаться отчеты.
Пароль - пароль FTP-аккаунта.
[Опция "Passive Mode"]
Большинство хостингов требуют использования этого режима, поэтому эта опция должна быть включена.
Подробнее - http://ru.wikipedia.org/wiki/FTP
[Опция "Заливать отчеты на FTP в папку"]
Если опция включена, отчеты стилера будут заливаться в указанную папку на сервере, если нет - в корень фтп-аккаунта.
[Выбор Хостинга для FTP]
Стилер в режиме отправки на FTP-сервер работает практически со всеми хостингами.
Использование Гейта
Стилер также можно использовать в связке с гейтом - кто использовал пинч, тем будет проще понять. Гейт - скрипт на языке PHP, принимающий данные (в нашем случае - отчеты) от троя и сохраняющий их на сервере. В чем же преимущества этого способа перед фтп? Во-первых, при использовании фтп, в билд вводятся данные сервера - логин и пароль, т.е. имея небольшой опыт работы с отладчиком, жертва может вытащить данные авторизации из билда, зайти на сервер и скачать/удалить отчеты. При использовании гейта, на все файлы на сервере устанавливаются права, запрещающие публичный доступ к ним, т.е. скачать их или просто прочитать можно только из админки, вход в которую защищен паролем. Гейт - это скрипт "ufr.php".
[Как этим пользоваться]
Для начала, нужно найти хостинг с PHP. Для примера, я возьму FreeHostia (только для примера, её не стоит использовать).
1) Регистрируемся и получаем данные нашего фтп-аккаунта.
2) Заходим на фтп-сервер в папку своего аккаунта (сразу после захода на сервер мы окажемся в корне аккаунта, рядом будет папка, например "vazonez.freehostia.com" - заходим туда и работаем именно в ней).
3) Создаем папку, например "gate".
4) Создаем в стилере билд, в настройках гейта ставим галочку "Отсылать отчеты на гейт", в первое поле вводим адрес зарегистрированного сайта, в моем случае - vazonez.freehostia.com, во второе поле - адрес до гейта относительно папки аккаунта. Т.е. если мы создали в своей папке "vazonez.freehostia.com" папку "gate", то путь должен выглядеть так: "/gate/ufr.php", где "ufr.php" - имя скрипта гейта. Создаем билд.
5) Жмем в билдере стилера кнопку "Скрипт гейта" и сохраняем его куда-нибудь.
5.1) Меняем пароль админки: открываем сохраненный гейт и во второй строке меняем MD5-хеш пароля. По дефолту там вбит пароль "123456".
5.2) Меняем имя папки, в которую будут заливаться отчеты: открываем сохраненный гейт и в третей строке меняем имя на что-нибудь случайное. По дефолту там вбито "reports".
6) Заливаем этот скрипт на фтп-сервер в созданную нами папку "gate".
7) Выставляем права (команда "chmod"): на папку "gate" - 0777, на "ufr.php" - 0755.
8) Чтобы зайти в админку гейта, нужно пройти по адресу: "vazonez.freehostia.com/gate/ufr.php" вводим пароль и управляем присланными отчетами.
Локальное использование
Самый простой и понятный способ использование стилера - локальный. Т.е. после запуска билд стилера отчет никуда отправлять не станет, а сохранит рядом с собой в папочке. Это удобно использовать при походах к гостям с флешкой: воткнул, запустил, ушел.
[Опция "Копировать отчеты в папку"]
Если она включена, стилер просто скопирует отчет в указанную в билдере папку. Если нужно использовать отсылку на FTP-сервер или гейт, лучше выключить эту опцию.
[Опция "Имя папки"]
Здесь можно задать имя папки, в которую будет производится копирование очтета. Можно задать что-нибудь неприметное, например "system".
[Опция "Прятать папку с очтетами"]
Если опция включена, то папке с отчетами присваивается атрибут "скрытый" - это минимальная защита отчетов от лишних глаз. Включить показ скрытых файлов и папок можно в меню проводника (подробнее в гугл).
Дополнительные Опции
[Смена иконки]
Стилеру можно сменить иконку на любую другую в формате "ico", например иконку антивируса, что способствует незаметности использования.
[Опция "Извлекать жертве"]
Если опция включена, стилер скопируется жертве на машину в указанную папку и будет производить стилинг паролей оттуда. Пример использования - создать с настроенным фтп, склеить или просто впарить жертве и ждать отчеты на фтп.
[Опция "Самоудаление"]
После завершения стилинга паролей, стилер удалится с компьютера. Удобная опция при использовании с FTP или гейтом.
[Опция "Склейка Файлов"]
Вместе со стилером, можно использовать какой-либо другой софт или троянов. Выбранные файлы будут склеены со стилером. При запуске они извлекутся (до или после стилинга - по выбору).
Это можно использовать для отвлечения внимания, склеив стилер с видеофайлом.
[Опция "Маскировка файла"]
Данная опция переносит из выбранного ЕХЕ иконку и VersionInfo в билд стилера. Тем самым обеспечивая билду стилера некую скрытность в глазах юзера.
[Опция "Дописать в оверлей"]
Чтобы увеличить размер создаваемого билда, надо включить эту опцию и ввести количество байт, на которое увеличится билд.
<!--spoiler_text_end-->
<!--/site_spoiler-->
UFR Stealer - это стилер, т.е. программа, ворующая сохраненные в программах пароли.
Параметры командной строки
Парсинг отчетов
Для парсинга отчета следует использовать параметр /p.
Второй параметр - формат сохранения: /txt или /html.
Третий - файл отчета.
Четвертый - пароль, при условии, что отчеты дополнительно шифруются. Примеры:
UFR.exe /p /txt 123.bin
UFR.exe /p /txt 123.bin 71AE4286A74316AABD8569.....
Также возможно парсить несколько отчетов за один раз. Для этого вместо имени файла следует указать * (звездочка), тогда все найденные отчеты в папке с билдером пропарсятся и сохранятся. Пример:
UFR.exe /p /html *
При использовании множественного парсинга (использование "*" вместо имени файла), можно сохранять расшифрованные данные всех отчетов в один файл при помощи параметра /txtcoll вместо второго параметра. Пример:
UFR.exe /p /txtcoll *
При таком использовании все пароли сохранятся в один текстовик с именем первого отчета.
Защита отчетов паролем
Эта функция предназначена для полной защиты отчетов от чужих глаз. При включенной фиче отчеты дополнительно шифруются с помощью алгоритма RSA. Публичный ключ находится в билде стилера, приватный - в виде длинного пароля, который появляется после нажатия кнопки "Сгенерировать". Алгоритм использования таков:
1. Настраиваем билд на фтп/гейт/почту/флешку.
2. Нажимаем кнопку "Защита отчетов паролем (см. Справку)" в главном окне программы. Появится окно "Защита отчетов паролем", в котором жмем кнопку "Сгенерировать", в текстовом поле появится весьма длинный пароль, сохраняем его куда-нибудь (если потеряется - отчеты уже не откроешь).
3. Создаем билд и используем по назначению.
4. Расшифровываем отчеты: открываем отчет во вкладке парсера и видим окно, которое просит ввести пароль. Вводим ранее сохраненный пароль и получаем расшифрованный отчет.
Плюсов в этом достаточно: можно без опасений использовать фтп (еще лучше, если аккаунт будет только под стилер) — если пароль из билда достанут, то чужих отчетов все-равно не получат. То же касается и гейта с его уязвимостями.
Всем настоятельно рекомендую обязательно использовать эту опцию.
Downloader
В функционал стилера входит возможность скачивать и запускать исполняемые файлы. В соответствующем окне вводим URL'ы файлов, при запуске билда они будут скачаны и запущены.
Есть два момента:
1. Даунлоадер отрабатывает после стилинга паролей.
2. Даунлоадер поддерживает только исполняемые файлы, поэтому никаких других файлов добавлять не стоит.
Anti-VM и т.п.
Если были выбраны эти опции (а они включены по дефолту), то при обнаружении VBox'a, Wireshark'a и остальных, стилер завершится. Для виду билд может упасть, закосив под нерабочий бинарник.
Также билд можно настроить на выход при обнаружении выбранных процессов, к примеру разных анализаторов - FileMon или RegMon.
Отправка отчетов на почту
Отчеты стилера можно отправлять на почту. Главное в настройке - нужно иметь 2 ящика, а не один. С одного идёт отправка - отправитель, а на другой приходят отчеты - получатель. Только в таком случае отчеты будут в безопасности от ковыряния билдов.
Ниже приведен пример заполнения полей. Отправителем будет ящик mail_from@mail.ru, получателем - mail_to@yandex.ru
Отправитель - почтовый адрес отправителя, mail_from@mail.ru
Логин - логин аккаунта-отправителя, mail_from
Пароль - пароль аккаунта-отправителя
Получатель - почтовый адрес получателя, mail_to@yandex.ru
Сервер - почтовый сервер ящика-отправителя, smtp.mail.ru
Использование FTP
Стилер может отправлять отчеты на заданный фтп-сервер.
[Данные для доступа к серверу]
Хост - адрес сервера, например "vazonez.freehostia.com"
Логин - логин FTP-аккаунта, на который будут заливаться отчеты.
Пароль - пароль FTP-аккаунта.
[Опция "Passive Mode"]
Большинство хостингов требуют использования этого режима, поэтому эта опция должна быть включена.
Подробнее - http://ru.wikipedia.org/wiki/FTP
[Опция "Заливать отчеты на FTP в папку"]
Если опция включена, отчеты стилера будут заливаться в указанную папку на сервере, если нет - в корень фтп-аккаунта.
[Выбор Хостинга для FTP]
Стилер в режиме отправки на FTP-сервер работает практически со всеми хостингами.
Использование Гейта
Стилер также можно использовать в связке с гейтом - кто использовал пинч, тем будет проще понять. Гейт - скрипт на языке PHP, принимающий данные (в нашем случае - отчеты) от троя и сохраняющий их на сервере. В чем же преимущества этого способа перед фтп? Во-первых, при использовании фтп, в билд вводятся данные сервера - логин и пароль, т.е. имея небольшой опыт работы с отладчиком, жертва может вытащить данные авторизации из билда, зайти на сервер и скачать/удалить отчеты. При использовании гейта, на все файлы на сервере устанавливаются права, запрещающие публичный доступ к ним, т.е. скачать их или просто прочитать можно только из админки, вход в которую защищен паролем. Гейт - это скрипт "ufr.php".
[Как этим пользоваться]
Для начала, нужно найти хостинг с PHP. Для примера, я возьму FreeHostia (только для примера, её не стоит использовать).
1) Регистрируемся и получаем данные нашего фтп-аккаунта.
2) Заходим на фтп-сервер в папку своего аккаунта (сразу после захода на сервер мы окажемся в корне аккаунта, рядом будет папка, например "vazonez.freehostia.com" - заходим туда и работаем именно в ней).
3) Создаем папку, например "gate".
4) Создаем в стилере билд, в настройках гейта ставим галочку "Отсылать отчеты на гейт", в первое поле вводим адрес зарегистрированного сайта, в моем случае - vazonez.freehostia.com, во второе поле - адрес до гейта относительно папки аккаунта. Т.е. если мы создали в своей папке "vazonez.freehostia.com" папку "gate", то путь должен выглядеть так: "/gate/ufr.php", где "ufr.php" - имя скрипта гейта. Создаем билд.
5) Жмем в билдере стилера кнопку "Скрипт гейта" и сохраняем его куда-нибудь.
5.1) Меняем пароль админки: открываем сохраненный гейт и во второй строке меняем MD5-хеш пароля. По дефолту там вбит пароль "123456".
5.2) Меняем имя папки, в которую будут заливаться отчеты: открываем сохраненный гейт и в третей строке меняем имя на что-нибудь случайное. По дефолту там вбито "reports".
6) Заливаем этот скрипт на фтп-сервер в созданную нами папку "gate".
7) Выставляем права (команда "chmod"): на папку "gate" - 0777, на "ufr.php" - 0755.
8) Чтобы зайти в админку гейта, нужно пройти по адресу: "vazonez.freehostia.com/gate/ufr.php" вводим пароль и управляем присланными отчетами.
Локальное использование
Самый простой и понятный способ использование стилера - локальный. Т.е. после запуска билд стилера отчет никуда отправлять не станет, а сохранит рядом с собой в папочке. Это удобно использовать при походах к гостям с флешкой: воткнул, запустил, ушел.
[Опция "Копировать отчеты в папку"]
Если она включена, стилер просто скопирует отчет в указанную в билдере папку. Если нужно использовать отсылку на FTP-сервер или гейт, лучше выключить эту опцию.
[Опция "Имя папки"]
Здесь можно задать имя папки, в которую будет производится копирование очтета. Можно задать что-нибудь неприметное, например "system".
[Опция "Прятать папку с очтетами"]
Если опция включена, то папке с отчетами присваивается атрибут "скрытый" - это минимальная защита отчетов от лишних глаз. Включить показ скрытых файлов и папок можно в меню проводника (подробнее в гугл).
Дополнительные Опции
[Смена иконки]
Стилеру можно сменить иконку на любую другую в формате "ico", например иконку антивируса, что способствует незаметности использования.
[Опция "Извлекать жертве"]
Если опция включена, стилер скопируется жертве на машину в указанную папку и будет производить стилинг паролей оттуда. Пример использования - создать с настроенным фтп, склеить или просто впарить жертве и ждать отчеты на фтп.
[Опция "Самоудаление"]
После завершения стилинга паролей, стилер удалится с компьютера. Удобная опция при использовании с FTP или гейтом.
[Опция "Склейка Файлов"]
Вместе со стилером, можно использовать какой-либо другой софт или троянов. Выбранные файлы будут склеены со стилером. При запуске они извлекутся (до или после стилинга - по выбору).
Это можно использовать для отвлечения внимания, склеив стилер с видеофайлом.
[Опция "Маскировка файла"]
Данная опция переносит из выбранного ЕХЕ иконку и VersionInfo в билд стилера. Тем самым обеспечивая билду стилера некую скрытность в глазах юзера.
[Опция "Дописать в оверлей"]
Чтобы увеличить размер создаваемого билда, надо включить эту опцию и ввести количество байт, на которое увеличится билд.
<!--spoiler_text_end-->