Loading...

BTC Address to donate : [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

X01do3 :: عضو خاص ::
  • شكراً: 1399
  • تم شكره 1624 مرة في 364 مشاركة

السلام عليكم

اليوم راح نتكلم عن POS-Malware جديد ظهر على الساحة

كود:
http://blog.trendmicro.com/trendlabs-security-intelligence/two-new-pos-malware-affecting-us-smbs/
بعد اختراق Panel و Rdp لأحد russian mafia

و حصلت على كل شئ



حاولت أعمل مقارنه معه و مع ALINA

للأسف لم يتغير شئ ، فقط تغيير في Panel و بعض التخطيات كما أشار حبيبنا هنا



الهدف الذي وصلت اليه :



كيفية الوصول الى الهدف :

SE

نخلوها الحلقة الجاية ان شاء الله

المهم

كيفية عمل Malware

يقوم بالبحث في POS يعمل ملف في windows/system32/katrina.dat

محتوى الملف :



بعد ذلك يعمل Collect للـ Dumps فقط و يرفعهم على Panel

----

Live from POS





Panel :



Builder source





ملاحظة : لي يحتاج السورس ليقوم بالبحث في المجال الأخلاقي ، ممكن أرسل له السورس

السورس لا يختلف على ALINA

كود:
http://exploit.rktestlab.com/files/malware/LIVE/Alina%20POS/Source/
بالتوفيق

Good Night

توقيع
لا اله الا الله محمد رسول الله
24 أعضاء قالوا شكراً لـ X01do3 على المشاركة المفيدة:
moetezissaoui موقوف
  • شكراً: 48
  • تم شكره 34 مرة في 14 مشاركة

ممكن رابط katrina بوتنت

cyberman عضو نشيط
  • شكراً: 85
  • تم شكره 43 مرة في 20 مشاركة

عمل رائع حاولت إكتشاف كيف دخلت لاكني لم أستطع لاحظت أنك متصل ب Rdp والسرفر Linux ههههه لقد جننتني

x0Slotleet عضو مشرف للمنتدى
  • شكراً: 2219
  • تم شكره 3894 مرة في 1030 مشاركة

المشاركة الأصلية كتبت بواسطة cyberman اقتباس :
عمل رائع حاولت إكتشاف كيف دخلت لاكني لم أستطع لاحظت أنك متصل ب Rdp والسرفر Linux ههههه لقد جننتني

لينوكس لي دخلت عليه سيرفر البانل يعني مجرد وسيط والسيرفر الـrdp الي داخل عليه هو موضوع عليه المالوير

فهمت ؟


شكرا لك يا صاحب الموضوع معلومات مفيدة جدا

توقيع
one single vulnerability, all an attacker needs

الأعضاء الذين قالوا شكراً لـ x0Slotleet على المشاركة المفيدة:
Ays4R-H4rB عضو مميز
  • شكراً: 280
  • تم شكره 345 مرة في 55 مشاركة

هتلاحظ عند استهداف سيرفرات مركبة بوت نت , هتلاقي جميع الملفات البوت الا ملف عمل الفايروس نفسه ,

لانو جميع الملفات المرفوعه تكون فقط لاستقبال اللوج والضحايا ,

توقيع

X01do3 :: عضو خاص ::
  • شكراً: 1399
  • تم شكره 1624 مرة في 364 مشاركة

المشاركة الأصلية كتبت بواسطة Ays4R-H4rB اقتباس :
هتلاحظ عند استهداف سيرفرات مركبة بوت نت , هتلاقي جميع الملفات البوت الا ملف عمل الفايروس نفسه ,

لانو جميع الملفات المرفوعه تكون فقط لاستقبال اللوج والضحايا ,
بخصوص كيفية الوصول الى Source of the builder كان يعمل على RDP وواضع فيه جميع الأدوات ، حتى POS's

توقيع
لا اله الا الله محمد رسول الله
2 أعضاء قالوا شكراً لـ X01do3 على المشاركة المفيدة: