DarkComet RAT

DarkComet RAT

БЛОГ ХАКЕРА

DarkComet RAT - в простонародье "Комета" была создан в 2008, в 2012 проект был закрыт, т.к. автор посчитал, что его инструментом пользуются не в благих целях, а в целях взлома и хакинга. Побоявшись ответственности автор прекратил разработку DarkComet RAT и проект был заморожен. Хотя мне кажется, что изначально он и был создан как клиентская часть вируса, а не как утилита, хотя может быть я и ошибаюсь.

Что означает аббревиатура RAT?

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. C этого момента компьютер жертвы под полным контролем злоумышленника.


Настройка Dark Comet: подготавливаем модуль сервера

Проходим по пути:

DarkComet-RAT — Server module — Full editor (expert)

режим эксперта настройки


По нажатии мы попадаем в окно настройки модуля, который будет функционировать на стороне жертвы. Третий (условно) квадрант окна программы содержит настройки, которые администратор должен изменить поэтапно. Итак:

настройки dark comet


  • Main Settings — Основные настройки
  • Network Settings — Сетевые настройки
  • Module Startup — Запуск модуля
  • Install Message — Сообщение после успешной установки
  • Module Shield — Защита модуля
  • Keylogger — Перехватчик клавиатуры
  • Hosts File — файл конфигурации hosts
  • Add plugins — Добавить плагины
  • File Binder — файл-папка ( к нему троян можно приклеить)
  • Choose Icon — Выбрать ярлык
  • Stub Finalization — Завершение

Main Settings

В этом окне нам необходимо установить пароль для шифрования трафика. Однако тот же пароль нужно продублировать в настройках со стороны хакера (иначе ни одного клиента он не увидит). Сгенерируем ID сервера, изменим название профиля, мьютекс процесса. Нижняя часть окна Active FWB содержит три пункта обхода фаервола (однако программа сама предупреждает, что настройку лучше не активировать, если вы собираетесь шифровать клиента, использовать его в песочнице и если компьютер, на котором клиент будет работать, не будет защищён фаерволом). Окно Main Settings настраивается в интересах администратора, остальные касаются компьютера жертвы.

Network Settings

В нём выбираем IP адрес, на который будет приходить информация, и номер порта. Кнопкой ADD можно добавить несколько IP адресов — чертовски полезная настройка, но не стоит ей пренебрегать: исходящий трафик на кучу адресов — заметная операция даже для жертвы-дилетанта. Но при опробывании программы — неоценимая настройка. К ней мы вернёмся уже на конкретных примерах.

Что касается номера порта. Тот, что умолчанию, сразу отметаем и выберем в диапазоне до 1000. Этот порт должен быть открыт для приёма прежде всего на вашем компьютере, так что нам нужно, в том числе, пробросить установленный порт.

Module Startup

Здесь выставляются настройки клиента, которые никак нельзя отнести к безобидным: благодаря им программа справедливо относится к категории полноценных троянов. Итак, активируем модуль (клиент будет запускаться на компьютере жертвы вместе с Windows). Немедленно активируются остальные настройки Dark Comet. Хакер может выбрать несколько конечных точек для хранения тела трояна: они видны по нажатии по кнопке Install Path. Это директория с Документами, Рабочий стол, папка Windows, кукисы и т.д. Если тренируетесь, имя (Install Name) и место файла не будут иметь значения. Если атака готовится тщательнее — хакер спрячет троян в папку поглубже, а назовёт знакомым любому пользователю именем, чтобы не вызвать у того подозрений:


как спрятать dark comet


Повторюсь, это самое «вкусное» окно, в котором можно будет выбрать следующие параметры трояна:

  • Melt file after first execution — после запуска файл исчезнет из поля зрения жертвы
  • Change the creation date — дата создания файла в его описании будет такой, какой установите — важнейший момент в отвлечении противника
  • Persistence Installation option — принудительная установка — обязательная для хакера опция.

Наконец, нижняя часть окна настройки Installed module file attributes устанавливает 2 самых важных атрибута для самого файла и родительской папки: Скрытый, Системный.

Окно Install Message — здесь можно будет вложить сообщение, которое отразится в окне программы после установки программы, если всё прошло как следует:

сообщение от dark comet


Module Shield section — также для хакера крайне важно. Это окно позволяет последовательно:

защита модуля Dark Comet


Да, теоретически трояна можно запрятать так глубоко, что сам потом не найдёшь. Однако любой более-менее грамотный пользователь сразу может заподозрить неладное: UAC молчит, брандмауэр выключен, Диспетчер задач не работает… Никуда не годиться.

Keylogger

Это окно позволяет перехватывать набираемые символы с клавиатуры, отправляя затем логи по указанному адресу. Обратите внимание, что окно выбора FTP тропки можно и не указывать:

кейлогер dark comet


Настройки Hosts file позволят подменить одноимённый файл .hosts.

Серьёзная заявка, в которой хакер может направить жертву только на конкретные сайты или, наоборот, запретить посещение других вплоть до полного отключения от интернета.

Пропустим пока плагины Add plugins и File Binder — обещаю к ним вернуться ибо они позволят расширить троян и прилепить его к нужному файлу: сейчас рассматривается только настройка Dark Comet как тела трояна. Также нарочито пропустим иконки, предлагаемые в Choose Icone — они допотопные и бросаются в глаза.

Stub Finalization

Завершает настройки модуля трояна. Предлагает на выбор вариант исполнения трояна: в каком виде он запустится. Здесь есть:

  • .exe файл — троян будет представлен в качестве маленькой утилитки
  • .com — в виде DOS утилиты (без значка где бы то ни было)
  • .bat — батник (без значка где бы то ни было)
  • .pif — ярлык DOS утилиты ( на современных версиях очень уж бросается в глаза)
  • .scr — в виде Хранителя экрана

С возможностью сжатия всё ясно: особого смысла я пока не вижу в этих настройках, хотя файл, к которому троян приклеят, может быть и сам невеликих размеров. Так что по усмотрению. Ссылка на подделывание трояна под рисунок вверху статьи.




В генерации патча также отпала надобность — Dark Comet давно больше не обновляется (поговаривают, у создателя появились большие проблемы в связи с созданием программы). Нам осталось сохранение профиля для каждой из настроек — если эти настройки хакером заточены не под какую-то конкретную цель, а испробованы, например, как вариант для многих потенциальных жертв (по принципу «кто попадётся»), хакер попробует трояна в как можно большем количестве случаев и в разных сферах в сети.

Общая настройка Dark Comet завершена. Создание модуля трояна начнётся по нажатии самой нижней кнопки Build the stub. Процесс будет отображаться тут же в окне:

подготовка Dark Comet



Ссылку на скачивание не прикладываю, чтобы не было потом вдруг, что я с чем-то склеил и т.д. Всё можно найти в сети, используйте дедики или виртуальные машины))