Устанавливаем RAT бесплатно
@blacktimeman
Доброго времени суток друзья. Запасайтесь пивом и попкорном, ибо сегодня мы установим ратник бесплатно, почти бесплатно, потратимся только на VPN (2 бакса).
Первое что нам нужно - выбрать сам софт. Покупать и тем более качать ломаные (неясно для каких целей) версии мы с вами не будем, а возьмем чудесный и самое главное бесплатный RAT прямиком с... GitHub, который называется Quasar. https://github.com/quasar/QuasarRAT
Качаем ZIP - архив, распаковываем в нашу виртуальную машину и пока что забываем о нем.
Чтобы "клиенты" могли к нам приконнектиться - нам нужен IP адрес с определенным открытым портом, а так как открывать порты на своем компьютере - глупо, нам нужен сторонний IP , да еще и с возможностью открыть порт! Вот сейчас нам и пригодится VPN, да не абы какой а именно с этой самой возможностью.
Скажу сразу - далеко не все VPN разрешают открывать порт на своей стороне, но я нашел копеечное решение https://crypticvpn.com/. Регистрируемся, оплачиваем месяц,(принимают также оплату с палки. Лично я попросил одноклуба оплатить с саморега)), скачиваем их приложение и утилиту для открытия порта на компьютере. (http://prntscr.com/hl6tiz) . Далее заходим в VPN Control Panel, выбираем:
1) я выбрал протокол TCP
2) Порт, например 4580
3) Internal IP
4) Выбираем локацию
Теперь подробнее о 3 пункте. Смотрим Internal IP так: присоединяемся к серверу который будем использовать для нашего RAT, далее - пуск - cmd. Пишем - ipconfig и смотрим внутренний IP сервера.
Если мы выбрали TCP протокол то он будет вида - 10.8.0.x, если UDP, то 10.8.1.x. Я выбрал TCP, поэтому у меня первый случай - http://prntscr.com/hl6wnx
Вписываем этот IP в пункт 3, нажимаем Submit и порт на стороне ВПН открыт. Для того, чтобы проверить так-ли это, запустим ранее скачанное приложение под названием Port Listener Tool (http://prntscr.com/hl6xqu). Вписываем порт который выбрали в панели управления ВПН (пункт 2), нажимаем listen (http://prntscr.com/hl6ydn) и проверяем на сайте canyouseeme.org. Вписываем выбранный ранее порт и нажимаем check port, если все успешно, то увидим вот такое сообщение: http://prntscr.com/hl70mx
Идем далее! Чтобы при смене IP нам не терять ботов, или компьютеры которые мы будем заражать, нам нужен аккаунт на сайте www.noip.com, на котором мы выберем доменное имя 3-го уровня. Для чего? Цитата из википедии: "имя хоста будет перенаправлять на текущий IP-адрес пользовательского компьютера, на котором установлено клиентское программное обеспечение." т.е. - как бы ни менялся наш IP адрес, и какой бы сервер мы не выбрали - указав в настроках подключения при билдине .exe нашего RAT, который мы будем распространять, доменное имя выбранное в noip - будет перенаправлять подключение на текущий IP нашего компьютера.
немного скринов: https://prnt.sc/hl7914 - вписываем имя хоста, выбираем домен, скачиваем их приложение.
Далее когда впн запущен, софтина от NoIP установлена и включена, настало время запустить наш Quasar!
QuasarRAT-master - запускаем от имени администратора 1) build-debug 2) build-release http://prntscr.com/hl7acb
Далее папка Bin - Release - Quasar http://prntscr.com/hl7b4v, и видим вот такое окно http://prntscr.com/hl7bvc
Нам нужно прописать наш ранее открытый порт во вкладке Settings - http://prntscr.com/hl7cdh
P.S: софтину для открытия порта, которую скачивали с сайта ВПН предварительно закрываем!!!
Теперь мы создадим наш .exe который мы и будем распространять)
Переходим на вкладку Builder - Connection Settings - вписываем хост и порт, жмем - add host. это нужно для того чтобы жертвы коннектились именно к нам. Остальные настройки вроде куда установить, как назвать имя процесса - вам на изучение.
После того как все настроили - жмем Build client и сохраняем куда либо. Запускаем и если наш компьютер появится - значит все хорошо, и боты будут к нам коннектиться. Но это еще не конец, наш .exe необходимо склеить с каким-либо софтом!! Лично я использую JoinerJoy v5, скажу сразу - рабочую версию, и без каких либо "полезных нагрузок" нашел далеко не сразу, поэтому выложу здесь (качать на свой страх и риск, ответственности НЕ несу!) - https://www.sendspace.com/file/awh8cl
В джойнере все интуитивно понятно - выбираем софт который будет запускаться, выбрали наш билд, поставили иконку, сохранили назвав нужным именем и вперед, добывать инсталлы)
На этом все, всем профита и помните - кто работает по РУ, к тому приходят по утру!
Дополнения:
Если софт требует при запуске админ прав, чтобы в последствии иметь права на автозагрузку (уверен что она примитивна и просто пишет в реестр, в ветку /run) и джойнер скидывает груз в папку темп - то дела у тех, кто будет все это ставить - хуже некуда.
Поясню. В первом случае вы не сможете использовать различного типа лоадеры с качественным прогрузом. Приведу пример из жизни. Готовил я недавно для парня одного doc макрос и dde exploit, тоже doc. При тестах на деде с админ правами отрабатывало. Но при запуске в "продакшен" оказалось, что не все так гладко. Где то грузит, где то нет. У него, к слову, был так же паблик рат - Nanocore. Полезной нагрузкой выступал download_exec шеллкод, который просто грузил с удаленного сервера и запускал его билд. Я начал разбираться, и выяснилось, что проблема в правах. Дело в том, что по сути ворд запускают с под обычного юзера, а так как ворд является родителем для порождающихся, в контексте него, процессов - то и права у этих процессов соответствующие. А его рат при запуске нуждался в админ правах, т.к сразу пытался писать себя в автозагрузку. Я к чему, не пройдитесь по этим граблям, ребятки, если начнёте продумывать способы распространения, отличные от впаривания exe. Правильным подходом тут был бы модульный бот, который начинает работать на любых правах, а после, через lpe повышает себе права.
2. По поводу джойнера. Дело в том, что запись в /temp и запуск оттуда это алерты у проактивки ав. Куда интереснее было бы клеить путем правки таблицы импорта легитимного, заражаемого файла. Как это сделать - ну к примеру, почитать статьи Леброна.
Black Time Shop - брут-аккаунты ebay uk/us + CC/PP которыми пользуемся сами.
Black Time Forum - форум подобен биткоину (вырастет не успеешь оглянуться)