• Поиск
  • Кодер HEX
  • Чекер proxy
  • CSRF/XSS форма

ЦИКЛЫ СТАТЕЙ:

  • 4. SHELL
  • 4.1. ANDROID SHELL
  • 4.2. WINDOWS. КОМАНДНАЯ СТРОКА
  • 4.3. LINUX. UNIX SHELL
  • 4.4. SHELL НЕ БЕЗ METASPLOIT
  • 4.5. WEB SHELL

НАСТРОЙКА DARKCOMET-RAT

Самый известный RAT. Данная программа позволяет создать и эксплуатировать троян для удалённого управления чужим ПК. Первая статья из цикла статей «TROJAN».
Привожу полный разбор настройки сервера кометы.

ЦИКЛ СТАТЕЙ TROJAN

  1. НАСТРОЙКА DARKCOMET-RAT
  2. НЕДОКРИПТ SFX
  3. РЕДАКТОР РЕСУРСОВ
  4. КРИПТОВАНИЕ И ЧИСТКА СТАБА

ПРАКТИКА

  1. Откройте DarkComet.exe

  2. Может появиться окно с предупреждением.
    В нём отметьте флажок «Не показывать снова», который находится в левом нижнем углу (EULA).
    Нажмите на кнопку «Я принимаю».

  3. Может появиться окно Help.
    В левом нижнем углу окна справки отметьте «Не показывать при запуске», затем нажмите кнопку «Fine».

  4. Теперь работаем в окне DarkComet. Нажимаем DarkComet-RAT в верхнем левом углу.
    Нажимаем на кнопку «Слушать новый порт (+Listen)».
    Должно открыться новое окно. Впишите, например, 70 порт и потом отметьте «Попробовать направить автоматически (UpNP)».
    Нажмите «Слушать».

  5. Если открыть вкладку «Socket / Net» в самом конце вкладок начального окна, то вы увидите все слушающие порты вашего DarkComet-RAT.

  6. Вы можете перейти на сайт 2ip.ru/check-port чтобы проверить открыт ли вписанный порт для прослушивания или он заблокирован фаерволлом.

  7. Теперь нажмите DarkComet-RAT снова и выберите «Сервер модуль», а затем нажмите кнопку «Полный редактор (Expert)».

  8. Напишите пароль, чтобы никто не мог угнать вашу жертву. Затем нажмите на кнопку Random несколько раз, чтобы изменить Мьютекс. Мьютекс нужен для того, чтобы открыв сервер несколько раз на одном ПК не было множества подключений у вас в клиенте от одной жертвы.
    Убедитесь, что вы сняли галочку с FWB (FireWall Bypass). Зачем это нужно?
    Firewall Bypass – Обход фаерволла. Комментарии:
    — Не используйте опцию, если вы планируете криптовать в стаб.
    — Не используйте опцию, если вы хотите разрабатывать стаб.
    — Не используйте опцию, если у жертвы нет фаерволла.

  9. Перейдите в «Network Settings».
    Зарегистрируйтесь на no-ip.com (Free DNS), чтобы скрыть свой IP адрес.
    Убедитесь, что адрес электронной почты является действительным, так как он понадобится нам для проверки.
    * Если вы не хотите использовать вашу электронную почту, то можете получить временную электронную почту на сайте 10minutemail.com или аналогичном сервисе.

  10. Войдите в систему No-IP.
    Теперь вы увидите список опций. Нажмите кнопку «Add a Host»
    Впишите какое хотите имя хоста.
    Тип DNS Host (A).
    Поле IP-адреса оставьте без изменений так как это по умолчанию ваш IP-адрес.
    Сохраните результат.

  11. Вернитесь к своему DarkComet, впишите в поле IP / DNS имя хоста, зарегистрированного в No-IP, и в поле Port – порт 70, который вводили в настройках в самом начале и нажмите на кнопку «Добавить».

  12. Перейдите в «Module Startup».
    Отметьте «Запуск стаба с windows (модуль автозапуска)».
    Выберите в каком системном разделе будет лежать сервер, после запуска стаба.
    В поле напротив введите местоположение, где будет лежать сервер.
    Введите название, которое будет отображаться в автозапуске приложений
    msconfig или Автозапуск в CCleaner.
    Блок с тремя отметками:
    Удалить файл, содержащий сервер, после первого запуска.
    Изменить дату создания файла.
    Настойчивый запуск (после закрытия процесса он появляется снова).
    Блок с четырьмя отметками:
    Атрибуты файла сервера:
    Скрытый.
    Системный.
    Атрибуты папки с сервером:
    Скрытый.
    Системный.

  13. Перейдите в «Install Messege».
    Если вы хотите показать какое-либо сообщение после запуска стаба, то можете отметить «Показать блок с сообщением при первой загрузке», выбрать иконку и написать текст.

  14. Перейдите в «Module Shield».
    Функции стелса и настойчивости (rootkit)
    Отметки:
    Скрыть из автозапуска в msconfig (только 32bit системы)
    Настойчивый процесс (если убить процесс то он вернётся)
    Полностью скрыть сервер из проводника и связанных с ним файлов.
    Полностью скрыть папку родительского каталога из проводника.
    Выключить системные функции
    Отметки:
    Выключить доступ в Диспетчер задач.
    Выключить доступ в Реестр.
    Выключить фаерволл (XP Sp3 до Windows Seven).
    Выключить UAC (оповещание запускать ли файл или нет).
    Работает только в старых системах до XP Sp2 или раньше. Неактуально вообще.

  15. Перейдите в «Keylogger».
    Здесь по умолчанию включен кейлоггер для сервера, но можно так же настроить, чтобы лог отправлялся на ftp-сервер, поставив галочку «Отправить логи на FTP». Бесплатный ftp-сервер можно зарегистрировать на net2ftp.ru.

  16. Переходим в «Hosts File».
    Здесь можно перенаправлять жертву на на фишинговые сайты итд.

  17. Перейдите в «Add plugins».
    Здесь можно прикреплять .dll-ки. Масштабы возможностей ограничивают ваши знания программирования.

  18. Перейдите в «File Binder».
    Здесь можно склеить с сервером другие .exe файлы.

  19. Перейдите в «Choose Icon».
    Здесь можно выбрать иконку.

  20. Перейдите в «Stub Finalization».
    Выпадающий список — в каком виде сохранить стаб.
    Ниже на выбор как паковать приложение.
    Generate – генерировать патч(не стаб) для сервера, когда надо что-то изменить.
    Ниже отметка для сохранения профиля при удачной генерации.

  21. Нажмите на долгожданную кнопку «Build The Stub»!

  22. Но остался последний пункт. Перейдите в раздел «Настройки клиента» в DarkComet-RAT, затем нажмите «No-IP Updater».
    Должно появиться окно. Введите в нём No-IP хоста, логин, пароль.
    Затем отметье «Автоматически обновлять No-IP DNS, если ваш IP изменился».

Всё, настройка сервера DarkComet-RAT закончена!

Конечно же это ещё не всё. Теперь появляются 2 минуса, которые надо устранить с помощью остальных руководств из цикла статей TROJAN.

Теги:

Автор: