Zip File, мамкины хацкеры. Мы с вами продолжаем препарировать популярные ратники и сегодня на нашем столе старожил. Я бы даже сказал, пионер, ратного дела – знаменитый DarkComet RAT. Если верить истории, то это один из первопроходцев в среде удалёнок подобного рода. Причём изначально Комета не являлась трояном, а позиционировалась автором, как Remote Administration Tool.
Т.е. инструмент для удалённого доступа. И так его, собственно, и использовали все адекватные сисадмины. Сетевых функций в первых версиях кометы было, что называется за глаза. Процесс установки тоже весьма удобный, а о том, что можно использовать данный софт для удовлетворения каких-то корыстных целей, в те годы лимитного интернета, никто особо не думал.
Обзор и Настройка DarkComet Rat. или… Как взломать пк учительницы?
По крайней мере у нас. Однако за бугром, уже тогда, так называемое движение чёрных хацкеров набирало нешуточный оборот. Индустрия создания вредоносных программ переживала вторую волну, и наш коллега не захотел оставаться в сторонке. Добавив в Комету новые, модные функции, позволяющие делать с системой практически всё-что угодно, наш герой вручил в руки злоумышленников один из самых эффективных инструментов для скрытого управления массами вычислительных мощностей.
Данная тема достигла апогея в 2012 году. Когда на фоне волны скрытого майнинга, прога стала настолько популярной, что её автор перетрухав из-за потенциальных судебных тяжб с разгневанными жертвами РАТа, полностью прекратил её разработку. С тех пор, обновлений Комета не получала и в отличие от того же NjRAT’а, известность у народных умельцев-доработчиков не обрела. Возможно, из-за закрытости кода.
Или же по причине его сложности. Не знаю. Я программист только для своей мамы, поэтому судить о каких-то серьезных вещах в этом направлении даже не собираюсь. В любом случае, данный ратник, что называется не баян, а бессмертная классика. И делая цикл роликов про крысят, я не мог оставить его в стороне.
Ведь он нисколько не хуже той же Nj’шки, а местами даже уделывает её.
Поэтому если вам интересно поглядеть на пережиток прошлого, являющийся частью доброй истории и вместе со мной отдать дань уважения старику. Устраивайтесь по удобней, наливайте чего по крепче и проведите эти минуты в меланхолично-ностальгическом состоянии о былых временах. Погнали.
Шаг 1. Запускаем EXE’шник Кометыча.
Шаг 2. И в главном окне переходим на вкладку Socket. Задаём программе порт для прослушивания. Я оставлю стандартный.
Шаг 3. Затем открываем меню настроек серверной части в режиме эксперта.
Шаг 4. И на вкладке «Network» прописываем ваш белый IP’шник и внешний порт.
Шаг 5. Если же собственного адреса у вас нет, а все сетевые настройки от провайдера вы получаете динамически, в таком случае можете воспользоваться простейшей утилитой для туннелирования NGROK. Для этого вам потребуется зарегистрироваться на сайта ngrok.com.
Шаг 6. И залогинившись на ресурсе скачать подходящую версию для вашей ОС. Сразу же копируем токен авторизации. Будьте внимательны. Из этой строчки нам потребуется всё, кроме точки со слэшем.
Шаг 7. Распаковываем рок в папку Windows/System32.
Шаг 8. И открыв командную строку вставляем скопированный ранее фрагмент.
Шаг 9. Далее прописываем протокол и порт, по которому будет осуществляться доступ к localhost’у.
Шаг 10. Собственно всё. Туннель создан. Убираем данное окно в угол. Нам из него пригодятся вот эти данные.
Будьте внимательны и ни в коем случае не пытайтесь копировать их, нажав CTRL+C. Иначе окно закроется и все настройки придётся присваивать заново.
Шаг 11. Прописываем полученный адрес в окне Кометы. Не забываем про порт.
Шаг 12. Отлично. Теперь можно вернуться к дальнейшей настройке. В пункте «Module Startap» можно включить программу в автозагрузку.
Шаг 13. В следующей вкладке задать иконку и сообщение, выводимое во время запуска. Естественно, злоумышленники данную возможность всегда игнорируют.
Шаг 14. Далее у нас фихи из разряда «Скрывать процесс в msconfig», «Не позволять закрыть его через диспетчер задач» и скрывать его маскируя под системный «Explorer». Чуть ниже можно отключить возможность запуска диспетчера задач и редактирования реестра.
Шаг 15. Кейлоггер тут самый обычный. Можно оставить его только оффлайн или настроить отправку логов по FTP.
Шаг 16. Также есть возможность прямо с ходу изменить данные в файле HOSTS, указав ссылку на какую-нибудь фишинговую страничку.
Шаг 17. File Binder позволяет склеивать серверную часть со сторонним файлом, который будет запускать в момент открытия. Это очень удобно в случае маскировки трояна под видео или картинку.
Шаг 18. С иконками думаю всё понятно.
Шаг 19. Давайте уже наконец соберём конечный билд с EXE’шным расширением.
Шаг 20. Я слегка пошаманил над файлом и превратил его в картинку с говорящим названием. Видео о том, как проворачивается подобный трюк непременно всплывёт в подсказке. Запускаем зловред на клиенте.
Шаг 21. И возвращаемся к нашей админке. Дважды кликнув по появившейся записи, мы наконец попадаем в окно возможностей. А они тут, поистине безграничны. Тут есть и Fun-функции, из разряда: скрыть часы, иконки, панель задач и прочие прелести на рабочем столе у жертвы.
Также тут можно уже постфактум выключить диспетчер задач.
Шаг 22. По итогу рабочее пространство на клиенте будет выглядеть следующим образом.
Шаг 23. Помимо этого баловства в программе присутствует масса возможностей, отсутствующих в других популярных ратниках. Особенно здесь радует обилие различных сетевых фишек. Что в целом, не удивительно, учитывая админский бэкграунд.
Шаг 24. Однако, несмотря на всю крутизну данного ратника, есть у него и один существенный недостаток. Если жертва окажется прошаренной, то она в два счёта найдёт в сети антидот в виде Remover’а. И просканировав систему на наличие кометы, обнаружит поганца в два счёта. Ссылочку на противоядие, я также оставлю в своём телеграм-канале.
Шаг 25. Главное не забудьте после лечения перезагрузить заражённый ПК.
К сожалению, а быть может и к счастью, ремувер не обнаруживает прокриптованные версии ратника. Именно поэтому глупые юзверята и по сей день, нет-нет, да и подхватывают Комету качнув какой-нибудь палёный софтик с вареза. Но это уже совсем другая история. Если хотите узнать побольше таких, то обязательно подписывайтесь на этот канал и в вашей ленте будут регулярно появляться видосики на тему вирусологии, безопасности и пентестинга.
С олдов по традиции жду царские лойсы и комментарии из разряда «ля, да Комета сто лет уже не актуальна», «нафиг этот NGROK, совсем что ли тупые, порт открыть не можете» и прочий подобный высер. Я знаете ли люблю схавать добрую порцию хейта за завтраком. Так что не стесняйтесь и непременно пишите своё безумно важное мнение. Ведь без него в интернете просто никак.
На этом у меня всё, камрады. Искренне благодарю за просмотр и по традиции желаю всем удачи, успехов и самое главное отсутствия вирусов. Берегите себя и свои тачки, избегайте подозрительных файлов.
И никогда не забывайте делать резервные копии вашего добра на безопасный внешний носитель. Ведь кто-его знает, что завтра может подхватить ваш виндовый собрат. Ну а с вами, как обычно, был Денчик. До встречи в следующем видео про VPN. Всем пока.
Источник: kurets.ru
DarkComet
Бесплатно распространяемы Remote Administration Tool, способный на реализацию управления компьютером с другого устройства, то есть удаленно.
DarkComet — софт для слежения за компьютером из удаленного места, все проходит в скрытом режиме. В большинстве случаев приложением пользуются для нечестной слежки за некоторыми пользователями сети интернет. Использую эту программу можно запросто обойти защиту встроенного файревола, но антивирусные программы, установленные дополнительно часто распознают процесс как вирус и блокируют его, либо сообщают об этом пользователю. Использование данной программы без элементарных основ безопасности в сети интернет нежелательно. Для личного использования лучше воспользоваться Ammyy Admin или TeamViewer.
Функционал
За счет расширенного доступа к компьютеру, вам доступно редактирование реестра операционной системы Windows, также выбор и отключение ненужных авто загрузок при старте системы. Полное управление персональным компьютером при помощи VNC, и создание снимков экрана.
Также доступен полный доступ к микрофонам устройства и даже можно получить изображение с веб-камеры и также запустить кейлоггер. Однако кейлогер весьма некорректно работает на устройствах с раскладкой на кириллице, поэтому использовать данную функцию практически бесполезно. Последние обновления DarkComet добавили функцию мониторинга буфера обмена, а также возможность получить всю информацию о железе компьютера. Также пользователь может производить удаленное отключение или перезагрузку, при последующем включении доступ к компьютеру будет сохранен.
Графическая составляющая
Пользоваться функционалом, который описан ранее, очень удобно. Пользователю не нужно знать языки программирования, все изображено в понятном рабочем окне. В окне расписаны IP адреса, принадлежащие жертве, а также полная информация о загруженности системы, свободная оперативная память, нагрузка на процессор.
Для быстроты работы, сделано контекстное меню, вызывается нажатием правой кнопки мыши по-необходимому IP. Облегченный интерфейс будет раскрывать юзерам весь свой потенциал. Но для большинства решающим фактором окажется отсутствие русификации.
Главные особенности
- предоставляет полный доступ к удаленному компьютеру;
- обходит защиту встроенного Firewall;
- быстрое управление подключенными компьютерами;
- дружелюбный интерфейс.
Источник: softdroids.com
DarkComet
Удобный бесплатный RAT (Remote Administration Tool), который позволяет выполнять самые разные операции на удаленном компьютеру.
Бесплатная
DarkComet — это программа, которая позволяет управлять удаленным компьютером в «скрытом» режиме. Чаще всего ее используют не для самых светлых целей, вследствие чего приложение получило плохую репутацию. Кроме того, из-за осуществления скрытого доступа к ПК в обход установленного фаервола, на данную утилиту часто «ругаются» антивирусы. Так что скачивайте ее исключительно на собственный страх и риск. Вообще для удаленного управления компьютером лучше использовать «белые» программы вроде Ammyy Admin или TeamViewer.
Доступные функции
Среди главных возможностей программы можно выделить работу с файлами и папками, редактирование списка автоматической загрузки и управление запущенными службами/процессами, полный контроль ПК посредством VNC, доступ к реестру и создание скриншотов экрана. Кроме того, DarkComet может перехватывать звук с подключенного к компьютеру микрофона, транслировать видео с веб-камеры и даже выполнять функции кейлоггера. Вот только последние не совсем корректно работают с кириллической раскладкой клавиатуры, так что особой пользы от них нет. В последних версиях DarkComet «научилась» мониторить содержимое буфера обмена, отображать основную сводку о производительности ПК, а также «пробрасывать» порты посредством uPnP. Программа может удаленно выключать и перезагружать компьютеры, полностью восстанавливая свою работу при повторном включении.
Графическая оболочка
Все вышеописанные операции выполнятся из удобной панель. Основную часть интерфейса занимает список подключенных устройств. Там отображается IP-адрес удаленного компьютера, имя администратора, страна и язык системы, а также данные о нагрузке на CPU и использовании RAM.
Большинство доступных операций можно выполнить из контекстного меню, вызываемого правым кликом по необходимому «клиенту». В целом интерфейс здесь довольно простой. Но вот на русский язык он, к сожалению, не переведен.
Ключевые особенности
- помогает выполнять самые разные операции на удаленном ПК;
- работает в обход фаервола;
- позволяет легко переключаться между клиентами;
- имеет очень простой и понятный интерфейс;
- распознается многими антивирусами как вредоносное ПО.
Источник: softrare.space