PhantomAgent v3.0 -
Kurdum çalıştırdım sorunsuz. Zaten repoda kurulum scripti var, Bağımlılıkları hallediyor otomatik.
Framework ne işe yarıyor derseniz, sigorta acentelerine sızıyorsunuz. Yöntem basit: trafik sigortası yenileme bahanesiyle adama Skype'dan PDF atıyorsunuz. Açtığı anda RAT bulaşıyor. Ondan sonra adamın bilgisayarındaki bütün kartları çekiyorsunuz. Acente yazılımlarının veritabanlarından tutun browserda kayıtlı kartlara, clipboarda kadar her şeyi topluyor.
FUD motoru sağlam. 7 katman şifreleme var. AES-256-GCM ile başlıyor, Fibonacci XOR ile karıştırıyor, ZLIB sıkıştırıp Base64 encode ediyor, parçalara bölüp shufflelıyor, Fernet ile tekrar şifreleyip en son position-based XOR ve junk injection yapıyor. AV'lerin hiçbiri görmüyor. Virustotal'da denedim 0/70 aldı.
AMSI ve ETW bypass runtime'da çalışıyor. AmsiScanBuffer'ın ilk 3 byte'ını patchliyor, EtwEventWrite'a RET basıyor. Log üretmiyor.
Enjeksiyon için 4 seçenek var. Pool party en yenisi, thread pool worker factory üzerinden çalışıyor, behavioral detection yemiyor. Syscall olan Hell's Gate kullanıyor, ntdll'e hook atan EDR'leri atlatıyor. Early bird ve APC de var, duruma göre seçersiniz.
Sandbox koruması var. RAM 2GB altındaysa çalışmıyor, CPU 2 çekirdekten azsa çalışmıyor, VMware/VirtualBox/QEMU tespit edip kendini siliyor. Zaman hızlandırmasını da yakalıyor.
C2 panel HTTPS çalışıyor. Self-signed SSL var. Gelen kartları SQLite'a yazıyor, dashboard üzerinden canlı izliyorsunuz. Kart numaraları SHA-256 hashlenip tutuluyor, panelde sadece son 4 hane gösteriyor.
Kullanımı basit:
./.sh c2 443
C2'yi başlattıktan sonra:
./.sh start
Plaka, isim, C2 IP, port soruyor. Stager tipini seçiyorsun. Hepsini otomatik halledip output klasörüne zehirli PDF'i atıyor.
PDF'i Skype'dan acenteye yolluyorsunuz. Mesaj olarak şunu yazıyorum ben genelde:
"Merhaba, 34 ABC 123 plakalı aracımın trafik sigortası bitecek, yenileme teklifi alabilir miyim? Eski poliçem ekte."
PDF'i ekleyip gönderiyorsunuz. Adam açtığı an C2 panele düşüyor.
Kalıcılık için scheduled task ve registry run key ekliyor. Task adı WindowsPolicyChecker, trigger daily 09:00. Registry'de PolicyChecker adıyla run key bırakıyor.
Hedef sistemde şuraları tarıyor:
· SigortaPlus, AcenteOtomasyon, InsurancePro, PoliceTakip, SigortaNET veritabanları
· Chrome, Edge, Brave, Opera browser credit_cards tablosu
· Clipboard (regex ile kart numarası pattern'i arıyor)
· Desktop, Documents, Downloads klasörlerindeki txt/csv/log dosyaları
· Outlook PST/OST dosyaları
Beaconing random aralıklı, 30dk-3saat arası değişiyor. Pattern oluşmuyor.
Sorun olursa:
· C2'ye bağlantı gelmiyorsa port yönlendirmeyi kontrol edin
· PDF çalışmıyorsa Adobe Acrobat Reader DC şart, JavaScript açık olacak
· RAT bulaşmıyorsa PowerShell execution policy bypass edilmiş olmalı
Repo adresi ve detaylı dokümantasyon yakında. Şimdilik test eden arkadaşlar feedback verirse iyi olur. Takıldığınız yer olursa yazın.
Kurdum çalıştırdım sorunsuz. Zaten repoda kurulum scripti var, Bağımlılıkları hallediyor otomatik.
Framework ne işe yarıyor derseniz, sigorta acentelerine sızıyorsunuz. Yöntem basit: trafik sigortası yenileme bahanesiyle adama Skype'dan PDF atıyorsunuz. Açtığı anda RAT bulaşıyor. Ondan sonra adamın bilgisayarındaki bütün kartları çekiyorsunuz. Acente yazılımlarının veritabanlarından tutun browserda kayıtlı kartlara, clipboarda kadar her şeyi topluyor.
FUD motoru sağlam. 7 katman şifreleme var. AES-256-GCM ile başlıyor, Fibonacci XOR ile karıştırıyor, ZLIB sıkıştırıp Base64 encode ediyor, parçalara bölüp shufflelıyor, Fernet ile tekrar şifreleyip en son position-based XOR ve junk injection yapıyor. AV'lerin hiçbiri görmüyor. Virustotal'da denedim 0/70 aldı.
AMSI ve ETW bypass runtime'da çalışıyor. AmsiScanBuffer'ın ilk 3 byte'ını patchliyor, EtwEventWrite'a RET basıyor. Log üretmiyor.
Enjeksiyon için 4 seçenek var. Pool party en yenisi, thread pool worker factory üzerinden çalışıyor, behavioral detection yemiyor. Syscall olan Hell's Gate kullanıyor, ntdll'e hook atan EDR'leri atlatıyor. Early bird ve APC de var, duruma göre seçersiniz.
Sandbox koruması var. RAM 2GB altındaysa çalışmıyor, CPU 2 çekirdekten azsa çalışmıyor, VMware/VirtualBox/QEMU tespit edip kendini siliyor. Zaman hızlandırmasını da yakalıyor.
C2 panel HTTPS çalışıyor. Self-signed SSL var. Gelen kartları SQLite'a yazıyor, dashboard üzerinden canlı izliyorsunuz. Kart numaraları SHA-256 hashlenip tutuluyor, panelde sadece son 4 hane gösteriyor.
Kullanımı basit:
./.sh c2 443
C2'yi başlattıktan sonra:
./.sh start
Plaka, isim, C2 IP, port soruyor. Stager tipini seçiyorsun. Hepsini otomatik halledip output klasörüne zehirli PDF'i atıyor.
PDF'i Skype'dan acenteye yolluyorsunuz. Mesaj olarak şunu yazıyorum ben genelde:
"Merhaba, 34 ABC 123 plakalı aracımın trafik sigortası bitecek, yenileme teklifi alabilir miyim? Eski poliçem ekte."
PDF'i ekleyip gönderiyorsunuz. Adam açtığı an C2 panele düşüyor.
Kalıcılık için scheduled task ve registry run key ekliyor. Task adı WindowsPolicyChecker, trigger daily 09:00. Registry'de PolicyChecker adıyla run key bırakıyor.
Hedef sistemde şuraları tarıyor:
· SigortaPlus, AcenteOtomasyon, InsurancePro, PoliceTakip, SigortaNET veritabanları
· Chrome, Edge, Brave, Opera browser credit_cards tablosu
· Clipboard (regex ile kart numarası pattern'i arıyor)
· Desktop, Documents, Downloads klasörlerindeki txt/csv/log dosyaları
· Outlook PST/OST dosyaları
Beaconing random aralıklı, 30dk-3saat arası değişiyor. Pattern oluşmuyor.
Sorun olursa:
· C2'ye bağlantı gelmiyorsa port yönlendirmeyi kontrol edin
· PDF çalışmıyorsa Adobe Acrobat Reader DC şart, JavaScript açık olacak
· RAT bulaşmıyorsa PowerShell execution policy bypass edilmiş olmalı
Repo adresi ve detaylı dokümantasyon yakında. Şimdilik test eden arkadaşlar feedback verirse iyi olur. Takıldığınız yer olursa yazın.
