Dark Comet, принцип работы.
@Garant_Copy
В этой статье рассмотрим вопрос как работает Dark Comet, как выглядит процесс взаимодействия клиента на стороне хакера и сервера на стороне жертвы. Будет рассмотрено, как настроить троян под конкретную машину или вообще для готовности принять информацию с ничего не подозревающих пользователей.
Как работает Dark Comet: готовим систему к приёму данных
Здесь всё просто: нам необходимо выделить специальный канал передачи данных между сервером и клиентом RAT. После запуска на компьютере жертвы необходимые настройки запустятся автоматически, но и в системе админа тоже нужно кое-что открыть. Для работы с машинами жертв нам нужен отдельный портал, его и нужно проложить, пробросив необходимый порт. Его номер вы вольны выбрать, у меня, как вы увидите, это будет порт 1555.
Но до того я пройду настройку сервера и клиента вместе с вами, но без подробностей (они в ссылках в начале статьи).
Антивирус отключаем, отключаем брандмауэр, а также в Windows 8/10 отключаем и Defender (Защитник Windows). Как всё это дело настроить без отключения, рассмотрим позже.
Запускаем DarkComet.exe и соберём сначала сервер трояна:
Выберем расширенный путь настройки сервера:
DarkComet-RAT — Server module — Full editor (expert)
Устанавливаем пароль (в предыдущей статье я указал 112233 — не забудьте его, его придётся ввести в окне настроек клиента) и сразу установлю собственные Server ID и имя профиля (настройки фаервола на стороне жертвы не трогаю):
В окне ниже Network Settings проторим дорожку к нашему компьютеру с настраиваемым сейчас клиентом. Укажем порт и адрес, на который будет стекаться информация. С портом всё ясно — 1555. Для того, чтобы узнать свой адрес в локальной сети, откройте cmd и наберите команду:
ipconfig
У всех нас настройки будут схожи. Вот мои локальные адреса рабочей станции и установленной виртуальной машины с описанием:
Локальный localhost в окне Dark Comet стираем и добавим нам известный по окну консоли локальный по сетке IP адрес и номер порта. Не забудьте нажать кнопку ADD:
Переходим в настройки запуска модуля на будущем сервере. Активируем настройки, выбираем местоположение трояна, его имя с папкой (MSDCSC\msdcsc.exe), название трояна, как его увидит жертва (NvidiaDrivers — обычно такие имена пропускают мимо глаз). Вобщем, хакер знает, где его искать, когда троян скроется от глаз жертвы.
Спускаемся чуть ниже и активируем все окна настроек. Сейчас скорректируйте «дату установки» как их будет видеть пользователь. У меня — середина апреля 2016-го (от головы):
Переходим к окну сообщения. При атаке хакеру оно не нужно, администратору — иногда, а нам, так как советую пока держать процесс под контролем (насколько это вообще возможно), оно необходимо. В этом окне мы настроим диалоговое окно, которое появится после успешной установки трояна. Я ввёл вот такой текст и выбрал вот такой значок (по нажатии на кнопку TestMessageBox вы можете его увидеть прямо сейчас):
Следующее окно Защиты модуля. Я поставил вот так, чтобы проверить и показать, что модуль попытается проделать:
Пропускаем остальные окна и переходим к созданию модуля трояна. Ничего не трогаю (троян будет запускаться в виде exe файла и поставляться на компьютер без сжатия); единственное, что сделаю, сохраню профиль настроек: если что-то не сработает, и я, загрузив профиль, смогу быстро сменить настройки где понадобится. Жмём Build the stub. Укажем место создания, ждём пару секунд, и модуль готов (как видите, в настройках Dark Comet появился новый профиль):
Вот он на Рабочем столе:
Запускать его сейчас не нужно — это вы поняли, думаю?
Закроем окно настройки модуля и добавим наш порт к настройкам Dark Comet. Перейдите, к примеру, в панели инструментов Кометы по пути Socket/Net и щёлкните правой мышкой по любой из пустых ячеек, выбрав Add port to listen:
Введите номер нашего порта вместо того, что готов для редактирования по умолчанию. Готово:
Теперь переходим в настройки клиента Client settings. Нам понадобятся 2 пункта. Сначала настроим клиент на пароль (всё тот же 112233). Вводим его:
повторите выбранный пароль в настройках клиента Dark Comet
Далее второй пункт…
Как работает Dark Comet: регистрация в No-IP
Найдём слева в столбце настройки аккаунта No-IP Updater. Щёлкнем по кнопке и сразу выскочит окно:
если учётная запись есть, вы можете настраивать сервис не покидая Dark Comet
Жмём по Get a free account и попадаем на сайт. Проходим быструю регистрацию:
Завершим регистрацию по кнопке Create My Free Account.
В окне настроек выберем имя виртуальному хостингу, срок действия которого 30 дней с момента создания: то есть каждый месяц адрес DNS придётся обновлять. Не все домены будут доступны в бесплатном аккаунте, но нам предостаточно имеющихся. Виртуальный адрес добавляется в разделе:
Не закрывайте окно настроек личного кабинета. После завершения процедуры регистрации, процедуры проброса портов проверьте, готов ли порт к приёму информации. Для этого можно скачать маленький модуль с самого No-IP или воспользоваться настройками Dark Comet. Я предлагаю первый вариант. Спуститесь в личном кабинете No-IP чуть ниже и найдите ссылку для скачивания клиента:
Переходим по ней и попадаем в окно закачек. Качаем, а затем устанавливаем:
В запущенном виде он выглядит так:
И сразу проверим, работает ли порт. В клиенте No-IP пройдите по настройкам:
Мы сразу попадаем в окно сетевого сервиса PortCheckTool.com, в строке которого под вашим IP вбейте искомый порт, который нужно проверить:
Вы должны увидеть вот это сообщение:
Если сервис выдаёт ошибку текстовым сообщением на красном фоне, ещё раз проверьте:
- правильность проброса портов вашей Windows или на роутере
- выключен ли или верно настроен брандмауэр Windows или антивирусного пакета
- установлен ли нужный порт в Dark Comet
ПРАКТИКА
Как работает Dark Comet: виртуальная Windows (компьютер жертвы)
Идеальный полигон для проверки всего новенького с непредсказуемыми результатами. Если вы можете позволить несколько отдельно стоящих машин в домашних условиях с настраиваемым сетевым оборудованием — это замечательно. Но для того, чтобы оценить масштаб трагедии действия трояна, виртуальной системы вполне хватит. Надеюсь, вы уже установили VirtualBox или что там у вас… Кто совсем только начинает знакомиться с работой виртуальных систем — пишите.
Открываем виртуальную машину и запускаем подопытную Windows 7. Я настроил общую папку для обеих систем и скопировал трояна оттуда, предварительно переместив его в папку из рабочей сборки.
Понеслась!
Запускаем троян. А вот и окно с нашим текстом:
Закройте от имени жертвы окно (его она, впрочем, как вы знаете, не обязательно должны увидеть). Исполнительный файл троянского коня сразу пропадёт. В Windows же администратора cвёрнутый в трей клиент Dark Comet немедленно сообщит, что в сети появилась жертва (если вы не настроили другое). Развернём окно клиента. Точно, появился пользователем с IP адресом и простой информацией по его геолокации:
нажмите, чтобы посмотреть
Отправимся в настройки клиента DarkComet-RAT — Client Settings — Function Manager и активируем все настройки окна, не забыв нажать Apply:
Одно мгновение, и Windows жертвы под вашим контролем.
Как работает Dark Comet. Что может хакер?
Всё, что угодно. Вот как начинаются неприятности на стороне жертвы:
видя такое, насторожится любой пользователь — это атака в лоб
Теперь…
Напишем ему:
Смотрим в виртуалке. Есть контакт:
В клиенте в той же Client Settings есть и такая вкладочка:
Но это шутки. Настройки же от System Functions и ниже позволяют разобрать систему жертвы по полочкам, заставив выдать все секреты компьютера. Потренируйтесь, описание функций клиента трояна есть в статьях по ссылкам в начале статьи.
В заключительной статье блога Компьютер76 мы разберём, как видит троян сама Windows, что конкретно, и как работает Dark Comet на уровне кода и реестра системы. И как, наконец, от его избавиться.
Успехов нам всем.
Данная статья предоставлена к ознакомлению, и не призывает к действию!