В этой статье рассмотрим вопрос как работает Dark Comet, как выглядит процесс взаимодействия клиента на стороне хакера и сервера на стороне жертвы. Будет рассмотрено, как настроить троян под конкретную машину или вообще для готовности принять информацию с ничего не подозревающих пользователей.
К применению знаний, здесь описываемых, вы должны прийти в некоторой степени подготовленными. Убедитесь, что вами прочитаны и предприняты необходимые настройки далее по тексту и описанные в статьях блога:
Для дальнейшей проверки работы программы нам понадобятся:
Здесь всё просто: нам необходимо выделить специальный канал передачи данных между сервером и клиентом RAT. После запуска на компьютере жертвы необходимые настройки запустятся автоматически, но и в системе админа тоже нужно кое-что открыть. Для работы с машинами жертв нам нужен отдельный портал, его и нужно проложить, пробросив необходимый порт. Его номер вы вольны выбрать, у меня, как вы увидите, это будет порт 1555. Но до того я пройду настройку сервера и клиента вместе с вами, но без подробностей (они в ссылках в начале статьи).
Антивирус отключаем, отключаем брандмауэр, а также в Windows 8/10 отключаем и Defender (Защитник Windows). Как всё это дело настроить без отключения, рассмотрим позже.
Запускаем DarkComet.exe и соберём сначала сервер трояна:
DarkComet-RAT — Server module — Full editor (expert)
Устанавливаем пароль (в предыдущей статье я указал 112233 – не забудьте его, его придётся ввести в окне настроек клиента) и сразу установлю собственные Server ID и имя профиля (настройки фаервола на стороне жертвы не трогаю):
ipconfig
У всех нас настройки будут схожи. Вот мои локальные адреса рабочей станции и установленной виртуальной машины с описанием:
Спускаемся чуть ниже и активируем все окна настроек. Что они означают, читайте в статье Настройки сервера Dark Comet. Сейчас скорректируйте “дату установки” как их будет видеть пользователь. У меня – середина апреля 2016-го (от головы):
Следующее окно Защиты модуля. Я поставил вот так, чтобы проверить и показать, что модуль попытается проделать:
Пропускаем остальные окна и переходим к созданию модуля трояна. Ничего не трогаю (троян будет запускаться в виде exe файла и поставляться на компьютер без сжатия); единственное, что сделаю, сохраню профиль настроек: если что-то не сработает, и я, загрузив профиль, смогу быстро сменить настройки где понадобится. Жмём Build the stub. Укажем место создания, ждём пару секунд, и модуль готов (как видите, в настройках Dark Comet появился новый профиль):
Вот он на Рабочем столе:
Закроем окно настройки модуля и добавим наш порт к настройкам Dark Comet. Перейдите, к примеру, в панели инструментов Кометы по пути Socket/Net и щёлкните правой мышкой по любой из пустых ячеек, выбрав Add port to listen:
Введите номер нашего порта вместо того, что готов для редактирования по умолчанию. Готово:
Найдём слева в столбце настройки аккаунта No-IP Updater. Щёлкнем по кнопке и сразу выскочит окно:
Жмём по Get a free account и попадаем на сайт. Проходим быструю регистрацию:
Завершим регистрацию по кнопке Create My Free Account.
В окне настроек выберем имя виртуальному хостингу, срок действия которого 30 дней с момента создания: то есть каждый месяц адрес DNS придётся обновлять. Не все домены будут доступны в бесплатном аккаунте, но нам предостаточно имеющихся. Виртуальный адрес добавляется в разделе:
В запущенном виде он выглядит так:
Вы должны увидеть вот это сообщение:
ПРАКТИКА
Идеальный полигон для проверки всего новенького с непредсказуемыми результатами. Если вы можете позволить несколько отдельно стоящих машин в домашних условиях с настраиваемым сетевым оборудованием – это замечательно. Но для того, чтобы оценить масштаб трагедии действия трояна, виртуальной системы вполне хватит. Надеюсь, вы уже установили VirtualBox или что там у вас… Кто совсем только начинает знакомиться с работой виртуальных систем – пишите.
Открываем виртуальную машину и запускаем подопытную Windows 7. Я настроил общую папку для обеих систем и скопировал трояна оттуда, предварительно переместив его в папку из рабочей сборки.
Запускаем троян. А вот и окно с нашим текстом:
Закройте от имени жертвы окно (его она, впрочем, как вы знаете, не обязательно должны увидеть). Исполнительный файл троянского коня сразу пропадёт. В Windows же администратора cвёрнутый в трей клиент Dark Comet немедленно сообщит, что в сети появилась жертва (если вы не настроили другое). Развернём окно клиента. Точно, появился пользователем с IP адресом и простой информацией по его геолокации:
Отправимся в настройки клиента DarkComet-RAT – Client Settings – Function Manager и активируем все настройки окна, не забыв нажать Apply:
Всё, что угодно. Вот как начинаются неприятности на стороне жертвы:
Теперь напишем ему:
В клиенте в той же Client Settings есть и такая вкладочка:
Успехов нам всем.
Посмотреть комментарии
Любой антивирус даже бесплатный сразу заблокирует и удалит в карантин этот Dark )))
Так можно его архиватором зашифровать
Скажите пожалуйста когда Троян будет в компе жертвы он без интернета будет передавать информацию?
Нет :)
Почему не робит no-ip updater я всё пише правильно, но пишет: Cant join to remote server, trying later
"Cant join to remote server, trying later" - "Невозможно соединиться с удалённым сервером, попробую позже". Если всё введено верно, то ошибка на стороне No-IP
А как его без следа удалить, если попался?
Менты присутствуют? Или вопрос теоретический?