Как работает Dark Comet?

В этой статье рассмотрим вопрос как работает Dark Comet, как выглядит процесс взаимодействия клиента на стороне хакера и сервера на стороне жертвы. Будет рассмотрено, как настроить троян под конкретную машину или вообще для готовности принять информацию с ничего не подозревающих пользователей.

К применению знаний, здесь описываемых, вы должны прийти в некоторой степени подготовленными. Убедитесь, что вами прочитаны и предприняты необходимые настройки далее по тексту и описанные в статьях блога:

Для дальнейшей проверки работы программы нам понадобятся:

Как работает Dark Comet: готовим систему к приёму данных

Здесь всё просто: нам необходимо выделить специальный канал передачи данных между сервером и клиентом RAT. После запуска на компьютере жертвы необходимые настройки запустятся автоматически, но и в системе админа тоже нужно кое-что открыть. Для работы с машинами жертв нам нужен отдельный портал, его и нужно проложить, пробросив необходимый порт. Его номер вы вольны выбрать, у меня, как вы увидите, это будет порт 1555.




Но до того я пройду настройку сервера и клиента вместе с вами, но без подробностей (они в ссылках в начале статьи).

Антивирус отключаем, отключаем брандмауэр, а также в Windows 8/10 отключаем и Defender (Защитник Windows). Как всё это дело настроить без отключения, рассмотрим позже.

Запускаем DarkComet.exe и соберём сначала сервер трояна:

dark comet

Выберем расширенный путь настройки сервера:

DarkComet-RAT — Server module — Full editor (expert)

режим эксперта настройки

Устанавливаем пароль (в предыдущей статье я указал 112233 — не забудьте его, его придётся ввести в окне настроек клиента) и сразу установлю собственные Server ID и имя профиля (настройки фаервола на стороне жертвы не трогаю):

как настроить dark comet

В окне ниже Network Settings проторим дорожку к нашему компьютеру с настраиваемым сейчас клиентом. Укажем порт и адрес, на который будет стекаться информация. С портом всё ясно — 1555. Для того, чтобы узнать свой адрес в локальной сети, откройте cmd и наберите команду:

ipconfig

У всех нас настройки будут схожи. Вот мои локальные адреса рабочей станции и установленной виртуальной машины с описанием:

виртуальный и рабочий адреса

Локальный localhost в окне Dark Comet стираем и добавим нам известный по окну консоли локальный по сетке IP адрес и номер порта. Не забудьте нажать кнопку ADD:

порт и IP адрес хакера

Переходим в настройки запуска модуля на будущем сервере. Активируем настройки, выбираем местоположение трояна, его имя с папкой (MSDCSC\msdcsc.exe), название трояна, как его увидит жертва (NvidiaDrivers — обычно такие имена пропускают мимо глаз). Вобщем, хакер знает, где его искать, когда троян скроется от глаз жертвы.

Спускаемся чуть ниже и активируем все окна настроек. Что они означают, читайте в статье Настройки сервера Dark Comet. Сейчас скорректируйте «дату установки» как их будет видеть пользователь. У меня — середина апреля 2016-го (от головы):

сервер на компьютере жертвы

Переходим к окну сообщения. При атаке хакеру оно не нужно, администратору — иногда, а нам, так как советую пока держать процесс под контролем (насколько это вообще возможно), оно необходимо. В этом окне мы настроим диалоговое окно, которое появится после успешной установки трояна. Я ввёл вот такой текст и выбрал вот такой значок (по нажатии на кнопку TestMessageBox вы можете его увидеть прямо сейчас):

настройка информационного окна трояна

Следующее окно Защиты модуля. Я поставил вот так, чтобы проверить и показать, что модуль попытается проделать:




окно защиты модуля

Пропускаем остальные окна и переходим к созданию модуля трояна. Ничего не трогаю (троян будет запускаться в виде exe файла и поставляться на компьютер без сжатия); единственное, что сделаю, сохраню профиль настроек: если что-то не сработает, и я, загрузив профиль, смогу быстро сменить настройки где понадобится. Жмём Build the stub. Укажем место создания, ждём пару секунд, и модуль готов (как видите, в настройках Dark Comet появился новый профиль):

создание модуля сервера

Вот он на Рабочем столе:

готовый модуль трояна

Запускать его сейчас не нужно — это вы поняли, думаю?

Закроем окно настройки модуля и добавим наш порт к настройкам Dark Comet. Перейдите, к примеру, в панели инструментов Кометы по пути Socket/Net и щёлкните правой мышкой по любой из пустых ячеек, выбрав Add port to listen:

добавить порт в dark comet

Введите номер нашего порта вместо того, что готов для редактирования по умолчанию. Готово:

порт слушается

Теперь переходим в настройки клиента Client settings. Нам понадобятся 2 пункта. Сначала настроим клиент на пароль (всё тот же 112233). Вводим его:

пароль для клиента dark comet

повторите выбранный пароль в настройках клиента Dark Comet

Далее второй пункт…

Как работает Dark Comet: регистрация в No-IP

Найдём слева в столбце настройки аккаунта No-IP Updater. Щёлкнем по кнопке и сразу выскочит окно:

регистрация no-ip

если учётная запись есть, вы можете настраивать сервис не покидая Dark Comet

Жмём по Get a free account и попадаем на сайт. Проходим быструю регистрацию:

регистрация на сайте no-ip

Завершим регистрацию по кнопке Create My Free Account.

В окне настроек выберем имя виртуальному хостингу, срок действия которого 30 дней с момента создания: то есть каждый месяц адрес DNS придётся обновлять. Не все домены будут доступны в бесплатном аккаунте, но нам предостаточно имеющихся. Виртуальный адрес добавляется в разделе:

виртуальный адрес в no-ip

Не закрывайте окно настроек личного кабинета. После завершения процедуры регистрации, процедуры проброса портов проверьте, готов ли порт к приёму информации. Для этого можно скачать маленький модуль с самого No-IP или воспользоваться настройками Dark Comet. Я предлагаю первый вариант. Спуститесь в личном кабинете No-IP чуть ниже и найдите ссылку для скачивания клиента:

ссылка для клиента no-ip

Переходим по ней и попадаем в окно закачек. Качаем, а затем устанавливаем:

качаем клиент No-ip

В запущенном виде он выглядит так:

клиент no-ip запущен

И сразу проверим, работает ли порт. В клиенте No-IP пройдите по настройкам:

как проверить открыт ли порт

Мы сразу попадаем в окно сетевого сервиса PortCheckTool.com, в строке которого под вашим IP вбейте искомый порт, который нужно проверить:

как проверить открыт ли порт в PortCheckTool

Вы должны увидеть вот это сообщение:

порт windows открыт

Если сервис выдаёт ошибку текстовым сообщением на красном фоне, ещё раз проверьте:

  • правильность проброса портов вашей Windows или на роутере
  • выключен ли или верно настроен брандмауэр Windows или антивирусного пакета
  • установлен ли нужный порт в Dark Comet

ПРАКТИКА

 

Как работает Dark Comet: виртуальная Windows (компьютер жертвы)

Идеальный полигон для проверки всего новенького с непредсказуемыми результатами. Если вы можете позволить несколько отдельно стоящих машин в домашних условиях с настраиваемым сетевым оборудованием — это замечательно. Но для того, чтобы оценить масштаб трагедии действия трояна, виртуальной системы вполне хватит. Надеюсь, вы уже установили VirtualBox или что там у вас… Кто совсем только начинает знакомиться с работой виртуальных систем — пишите.

Открываем виртуальную машину и запускаем подопытную Windows 7. Я настроил общую папку для обеих систем и скопировал трояна оттуда, предварительно переместив его в папку из рабочей сборки.

Понеслась!

Запускаем троян. А вот и окно с нашим текстом:

троян установлен в windows

Закройте от имени жертвы окно (его она, впрочем, как вы знаете, не обязательно должны увидеть). Исполнительный файл троянского коня сразу пропадёт. В Windows же администратора cвёрнутый в трей клиент Dark Comet немедленно сообщит, что в сети появилась жертва (если вы не настроили другое). Развернём окно клиента. Точно, появился пользователем с IP адресом и простой информацией по его геолокации:

жертва трояна

нажмите, чтобы посмотреть

Отправимся в настройки клиента DarkComet-RAT — Client Settings — Function Manager и активируем все настройки окна, не забыв нажать Apply:

менеджер функций Dark comet

Одно мгновение, и Windows жертвы под вашим контролем.

Как работает Dark Comet. Что может хакер?

Всё, что угодно. Вот как начинаются неприятности на стороне жертвы:

троян отключил диспетчер задач и редактор реестра

видя такое, насторожится любой пользователь — это атака в лоб




Теперь…

Напишем ему:

письмо взломанному пользователю

Смотрим в виртуалке. Есть контакт:

сообщение от хакера

В клиенте в той же Client Settings есть и такая вкладочка:

приколоться с системой жертвы трояна

Но это шутки. Настройки же от System Functions и ниже позволяют разобрать систему жертвы по полочкам, заставив выдать все секреты компьютера. Потренируйтесь, описание функций клиента трояна есть в статьях по ссылкам в начале статьи.

В заключительной статье блога Компьютер76 мы разберём, как видит троян сама Windows, что конкретно, и как работает Dark Comet на уровне кода и реестра системы. И как, наконец, от его избавиться.

Успехов нам всем.

Запись опубликована в рубрике Пакости в Windows, Полезные программы. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

девятнадцать − 15 =