Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)

admin
admin
admin
100797
文章
86
评论
2022年10月29日19:24:17评论910 views字数 2258阅读7分31秒阅读模式

文章来源:看雪

分析

Brute Ratel C4简称brc4,一款C2工具,功能和CobaltStrike差不多,界面花里胡哨,用了不少开源黑科技,据作者说前段时间被竞争对手Mdsec泄露到VT,然后又被老毛破解了...公布的版本是v1.2.2,给的license文件只支持到2023-01-01,于是打算抽空看看作者是怎么保护的。


压缩包网上都有,先看目录结构:
Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)
包只支持linux,可在ubuntu上自测,界面是Qt写的,commander-runme是运行脚本,.brauth是license,brute-ratel-linx64是server,启动会进行license验证。


启动参数:

./brute-ratel-linx64 -ratel -a admin -p 123456 -h 127.0.0.1:8443 -sc cert.pem -sk key.pem


先扫一下如图:

Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)
可知server是Go写的,正好试下ida 7.7解析metadata,发现没识别到,搜了字符串发现是1.18,ida8.0(https://hex-rays.com/products/ida/news/8_0/)才支持。
Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)

 

后面用了下0xjiayu兄弟的go_parser,正好支持到1.18,问题不大,把符号贴上去后就感觉没什么玩的了。

 看了看逻辑:

1

2

3

4

5

6

7

8

main_main

  main_product_info

    stat //判断.brauth文件是否存在

    if (flase)

      main_validate_activation_key //从服务端校验激活key,生成.brauth

    main_DecryptBlob //解密.brauth,ECB mode

      main_KeyExpansion //密钥扩展128

      main_decryptmsg //xAES解密轮函数

xxxAES轮函数:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

AddRoundKey(10, state, RoundKey);

InvShiftRows(state);

InvSubBytes(state);

for (round = 9round 0--round)

{

  InvShiftRows(state);

  AddRoundKey(round, state, RoundKey);

  ShiftRows(state);

  InvMixColumns(state);

  InvShiftRows(state);

  InvSubBytes(state);

}

MixColumns(state);

AddRoundKey(0, state, RoundKey);

开始以为作者留了小动作,上linux_server远程调试看了看其它地方,再确认了下密钥扩展的结果,然后只是轮函数简单改了改-。-

KeyGen

再看下license结构:

1

2

3

4

加密前:01-01-2000:01-01-3000:YourLicense:[email protected]:Just 4 fun

格式:start:expired:type:email:note

加密后:v8l7HAP1rnsFZLwL:k9eYKc+dzgi/ybsVCfgVowQwS3Nufd1NdooFsXKPvxgDRE2pWVlTPPRyjcB9vqeaqFC4Mgj/Nv8Qq7+QvixxoQ==

格式:key:base64(xxxAES_ECB(data))

最后附上一个keygen,有兴趣的可以玩玩...
Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)

原版安装包可以配合注册机使用


BruteRatel_1.2.2.Scandinavian_Defense.tar.gz


原版安装包下载地址:

https://www.virustotal.com/gui/file/591C2CD3A9B902A182FBF05BF5423CAE17E3E6874C0D2E09107E914D86F39780
https://www.virustotal.com/gui/file/591C2CD3A9B902A182FBF05BF5423CAE17E3E6874C0D2E09107E914D86F39780
文件名称: bruteratel_1.2.2.Scandinavian_Defense.tar.gz文件大小: 108 MB (113,968,319 字节)修改时间: 2022年10月18日,09:17:50MD5: 9B6BADCE82D865C5C9196521D6AF1793SHA1: 2AD8B747C449A45D5828D8300FEF140DD74C3A40SHA256: 591C2CD3A9B902A182FBF05BF5423CAE17E3E6874C0D2E09107E914D86F39780SHA512: 4A99F4ADD86C46587E3968A593CD464B94289CED521A299632E6A37C48E8258AA3DD9D41E55242EF1459F62B58B92DA8EE23F50CD5590EC62D7EBFAF1B302E44CRC32: 31D48ACC计算时间: 7.97s (14.30 MB/s)

注册机下载地址:


上传的附件:

  •  brc4-keygen.zip (120.92kb,31次下载)

文章来源:看雪


Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)

原文始发于微信公众号(利刃信安):Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月29日19:24:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Brute Ratel C4 Keygen 注册机(从此妈妈再也不用担心后门了)http://cn-sec.com/archives/1358677.html

发表评论

匿名网友 填写信息