Меню

Как настроить dark comet

Как пользоваться DarkComet RAT? Доступ к удаленному ПК без портов

Zip File, мамкины хацкеры. Мы с вами продолжаем препарировать популярные ратники и сегодня на нашем столе старожил. Я бы даже сказал, пионер, ратного дела – знаменитый DarkComet RAT. Если верить истории, то это один из первопроходцев в среде удалёнок подобного рода. Причём изначально Комета не являлась трояном, а позиционировалась автором, как Remote Administration Tool.

Т.е. инструмент для удалённого доступа. И так его, собственно, и использовали все адекватные сисадмины. Сетевых функций в первых версиях кометы было, что называется за глаза. Процесс установки тоже весьма удобный, а о том, что можно использовать данный софт для удовлетворения каких-то корыстных целей, в те годы лимитного интернета, никто особо не думал.

По крайней мере у нас. Однако за бугром, уже тогда, так называемое движение чёрных хацкеров набирало нешуточный оборот. Индустрия создания вредоносных программ переживала вторую волну, и наш коллега не захотел оставаться в сторонке. Добавив в Комету новые, модные функции, позволяющие делать с системой практически всё-что угодно, наш герой вручил в руки злоумышленников один из самых эффективных инструментов для скрытого управления массами вычислительных мощностей.

Данная тема достигла апогея в 2012 году. Когда на фоне волны скрытого майнинга, прога стала настолько популярной, что её автор перетрухав из-за потенциальных судебных тяжб с разгневанными жертвами РАТа, полностью прекратил её разработку. С тех пор, обновлений Комета не получала и в отличие от того же NjRAT’а, известность у народных умельцев-доработчиков не обрела. Возможно, из-за закрытости кода.

Или же по причине его сложности. Не знаю. Я программист только для своей мамы, поэтому судить о каких-то серьезных вещах в этом направлении даже не собираюсь. В любом случае, данный ратник, что называется не баян, а бессмертная классика. И делая цикл роликов про крысят, я не мог оставить его в стороне. Ведь он нисколько не хуже той же Nj’шки, а местами даже уделывает её.

Поэтому если вам интересно поглядеть на пережиток прошлого, являющийся частью доброй истории и вместе со мной отдать дань уважения старику. Устраивайтесь по удобней, наливайте чего по крепче и проведите эти минуты в меланхолично-ностальгическом состоянии о былых временах. Погнали.

Шаг 1. Запускаем EXE’шник Кометыча.

Шаг 2. И в главном окне переходим на вкладку Socket. Задаём программе порт для прослушивания. Я оставлю стандартный.

Шаг 3. Затем открываем меню настроек серверной части в режиме эксперта.

Шаг 4. И на вкладке «Network» прописываем ваш белый IP’шник и внешний порт.

Шаг 5. Если же собственного адреса у вас нет, а все сетевые настройки от провайдера вы получаете динамически, в таком случае можете воспользоваться простейшей утилитой для туннелирования NGROK. Для этого вам потребуется зарегистрироваться на сайта ngrok.com.

Шаг 6. И залогинившись на ресурсе скачать подходящую версию для вашей ОС. Сразу же копируем токен авторизации. Будьте внимательны. Из этой строчки нам потребуется всё, кроме точки со слэшем.

Шаг 7. Распаковываем рок в папку Windows/System32.

Шаг 8. И открыв командную строку вставляем скопированный ранее фрагмент.

Шаг 9. Далее прописываем протокол и порт, по которому будет осуществляться доступ к localhost’у.

Шаг 10. Собственно всё. Туннель создан. Убираем данное окно в угол. Нам из него пригодятся вот эти данные. Будьте внимательны и ни в коем случае не пытайтесь копировать их, нажав CTRL+C. Иначе окно закроется и все настройки придётся присваивать заново.

Читайте также:  Как настроить сеус шейдеры

Шаг 11. Прописываем полученный адрес в окне Кометы. Не забываем про порт.

Шаг 12. Отлично. Теперь можно вернуться к дальнейшей настройке. В пункте «Module Startap» можно включить программу в автозагрузку.

Шаг 13. В следующей вкладке задать иконку и сообщение, выводимое во время запуска. Естественно, злоумышленники данную возможность всегда игнорируют.

Шаг 14. Далее у нас фихи из разряда «Скрывать процесс в msconfig», «Не позволять закрыть его через диспетчер задач» и скрывать его маскируя под системный «Explorer». Чуть ниже можно отключить возможность запуска диспетчера задач и редактирования реестра.

Шаг 15. Кейлоггер тут самый обычный. Можно оставить его только оффлайн или настроить отправку логов по FTP.

Шаг 16. Также есть возможность прямо с ходу изменить данные в файле HOSTS, указав ссылку на какую-нибудь фишинговую страничку.

Шаг 17. File Binder позволяет склеивать серверную часть со сторонним файлом, который будет запускать в момент открытия. Это очень удобно в случае маскировки трояна под видео или картинку.

Шаг 18. С иконками думаю всё понятно.

Шаг 19. Давайте уже наконец соберём конечный билд с EXE’шным расширением.

Шаг 20. Я слегка пошаманил над файлом и превратил его в картинку с говорящим названием. Видео о том, как проворачивается подобный трюк непременно всплывёт в подсказке. Запускаем зловред на клиенте.

Шаг 21. И возвращаемся к нашей админке. Дважды кликнув по появившейся записи, мы наконец попадаем в окно возможностей. А они тут, поистине безграничны. Тут есть и Fun-функции, из разряда: скрыть часы, иконки, панель задач и прочие прелести на рабочем столе у жертвы. Также тут можно уже постфактум выключить диспетчер задач.

Шаг 22. По итогу рабочее пространство на клиенте будет выглядеть следующим образом.

Шаг 23. Помимо этого баловства в программе присутствует масса возможностей, отсутствующих в других популярных ратниках. Особенно здесь радует обилие различных сетевых фишек. Что в целом, не удивительно, учитывая админский бэкграунд.

Шаг 24. Однако, несмотря на всю крутизну данного ратника, есть у него и один существенный недостаток. Если жертва окажется прошаренной, то она в два счёта найдёт в сети антидот в виде Remover’а. И просканировав систему на наличие кометы, обнаружит поганца в два счёта. Ссылочку на противоядие, я также оставлю в своём телеграм-канале.

Шаг 25. Главное не забудьте после лечения перезагрузить заражённый ПК.

К сожалению, а быть может и к счастью, ремувер не обнаруживает прокриптованные версии ратника. Именно поэтому глупые юзверята и по сей день, нет-нет, да и подхватывают Комету качнув какой-нибудь палёный софтик с вареза. Но это уже совсем другая история. Если хотите узнать побольше таких, то обязательно подписывайтесь на этот канал и в вашей ленте будут регулярно появляться видосики на тему вирусологии, безопасности и пентестинга.

С олдов по традиции жду царские лойсы и комментарии из разряда «ля, да Комета сто лет уже не актуальна», «нафиг этот NGROK, совсем что ли тупые, порт открыть не можете» и прочий подобный высер. Я знаете ли люблю схавать добрую порцию хейта за завтраком. Так что не стесняйтесь и непременно пишите своё безумно важное мнение. Ведь без него в интернете просто никак.

На этом у меня всё, камрады. Искренне благодарю за просмотр и по традиции желаю всем удачи, успехов и самое главное отсутствия вирусов. Берегите себя и свои тачки, избегайте подозрительных файлов.

Читайте также:  Как настроить amd fx 4100

И никогда не забывайте делать резервные копии вашего добра на безопасный внешний носитель. Ведь кто-его знает, что завтра может подхватить ваш виндовый собрат. Ну а с вами, как обычно, был Денчик. До встречи в следующем видео про VPN. Всем пока.

Источник



Настраиваем клиент Dark Comet: подготовка к управлению сервером

Настраиваем клиент Dark Comet

Продолжаем настраивать троян и готовим клиент Dark Comet к работе на стороне администратора. Суть настроек, вобщем, в этой части такова, чтобы правильно распределить ресурсы и автоматизировать инструменты, имеющиеся в арсенале Dark Comet. Как настроить сервер Dark Comet, читайте в статье Тёмная комета для Windows.

Возможности клиента располагаются в меню:

DarkComet-RAT – Client settings

По нажатии увидите окно настроек, которые можно изменять в левой окна части:

Рассмотрим все пункты меню:

  • General Settings – Общие настройки
  • Client Layout – Внешний вид клиента
  • Functions Manager – Менеджер функций
  • Manage FTP Wallet – Управление футляром FTP
  • Embedded FTP Client – Встроенный клиент FTP
  • NO-IP Updater – обновление учётной записи для No-IP
  • Pushme notify – сообщение через мессенджер “Pushme” (не описываю – я им не пользуюсь, о чём писать – не знаю)
  • Manage users groups – Управление группами пользователей
  • Take some notes – Записки
  • Manage local DB – Управление локальной базой данных
  • Read EULA – Пользовательское соглашение от Dark Comet-RAT
  • Search for updates – Обновления Dark Comet
  • About Dark Comet – о команде Dark Comet

Клиент Dark Comet: что нужно настроить?

General Settings

Здесь самое главное не забыть указать (а точнее, повторить) введённый ранее пароль в окне Main settings при настройке сервера Dark Comet (читайте статью “Тёмная комета для Windows: настройка Dark Comet“). Шифрование трафика необходимо, и вводимый пароль по умолчанию 0123456789 нам не нужен. Допустим, меняем его на пароль

112233

Тогда окна настроек клиента и сервера в строках ввода пароля шифрования трафика будут выглядеть вот так:

в настройках сервера

Повторите пароль (его не видно, точки одни):

тот же пароль в настройках клиента

Без сего действа никакую жертву хакер не увидит. Ну, остальные настройки выставляются администратором эмпирическим путём. В них можно выставить размеры появляющихся на стороне клиента (то есть как будете видеть их вы) окошек, их стиль, автоматический видеозахват веб-камеры, Рабочего стола и звуков жертвы (как только хакер запустит эту функцию). Вот они кратенько:

Client Layout – Внешний вид клиента

Вообще никогда не рассматривал этот пункт: как-то побоку, каким образом выглядит у меня клиент Dark Comet. Скины по умолчанию меня абсолютно устраивают. Вы можете выбрать, благо есть из чего:

Functions Manager – Менеджер функций

Вот и интересное окно. В его настройках вы обнаружите всё, что хакер способен сотворить с системой жертвы. Даже беглый осмотр показывает, что, попади троян в Windows, она сразу работает против его, сдавая пользователя с потрохами – ведь она ему уже не принадлежит. Для ознакомления со всеми функциями смело активируйте все пункты огромного меню настроек (“работая” жертву стоит активировать лишь некоторые из них – иначе хакера вычислят мгновенно):

Коротенько об открывшихся возможностях в соответствующих разделах:

  • System info. Пункты меню позволят отобразить полную информацию о системе жертвы с местонахождением по картам Google Maps (но губу раскатывать не стоит – работает ни шалко ни валко)
  • Fun Functions. Представьте, ничего не подозревающий пользователь вдруг слышит звуки пианино, читает какие-то сообщения, видит призыв к общению в чате… Предусмотрена работа с документами MS Office.
  • System Functions. Хакер может видеть запущенные процессы, править реестр, грузить шеллы, удалять программы, редактировать hosts файл.
  • Remote Msconfig. Позволит редактировать настройки утилиты msconfig – что это такое, объяснять не нужно: всем известны возможности и предназначение утилиты Конфигурации Windows.
  • Remote Scripting. Позволит хакеру исполнять незаметно необходимые скрипты через батники и VBScript -ы. Вот лишь самые безобидные из шуток, которые можно провернуть с их помощью.
  • Password/Data. Пароли и закачки. Первое почти не работает в этом виде, как представлено, второе – если торрент-клиент установлен, выдаст всё с лихвой.
    MSN Functions. Функции MSN-клиента. Ну… Вы пользуетесь мессенджером от Microsoft? Я никогда этого не делал, но если вам нужно – Dark Comet к вашим услугам
  • Spy Functions. Шпионские функции позволяют включить веб-камеру жертвы (если драйвер камеры будет корректно обнаружен), услышать проигрываемые системой звуки, посмотреть, что происходит на экране компьютера, включить перехватчик клавиатуры.
  • Network Function позволяет хакеру рассказать всё о сетевых настройках компьютера жертвы, выдать пароли к беспроводным соединениям, посмотреть на открытые порты, просканировать сеть компьютера жертвы и др.
  • Misc Functions. Работает с принтером сервера и отображает содержимое буфера обмена жертвы (скопировать и вставить пароли он бесследно не сможет)
    Computer Power управляет питанием компьютера. Весь спектр действий: от перезагрузки и выключения до блокировки учётной записи.
  • Restart Socket перезагрузит клиент и серевер
  • Server Actions – функции управления сервером Dark Comet на стороне жертвы (заблокировать компьютер пользователя, выключить или перезапустить сам сервер, отредактировать и т.д.)
  • Udate Server – забудьте о пункте, если не собираетесь сервер обновлять.
Читайте также:  Как настроить эксель 2003

Manage FTP Wallet – Управление футляром FTP

Следующие два пункта я пока опущу – здесь представлены настройки FTP для передачи и обмена данными между клиентом и сервером. Работу и настройку каналов лучше провести на конкретном примере. Статью просто дополню. Чуть позже.

NO-IP Updater – обновление учётной записи для No-IP

Так для корректной работы клиента хакеру требуется облачная система перенаправлений адресов и динамических DNS, в сборку Dark Comet встроена возможность напрямую соединиться с одной из старейших сервис-компаний в этой области No-IP. Так что перед работой необходимо зарегистрироваться и получить аккаунт в службе. Как это сделать, статья пишется. Если владеете английским, легко самому сделать. А пока учтите, что редактировать настройки No-IP аккаунта клиент Dark Comet может прямо отсюда:

Начать регистрацию можно прямо сейчас, щёлкнув по ссылке Get a free account .

Manage users groups – Управление группами пользователей

Здесь можно сортировать попавшихся на удочку или вполне официально закреплённых пользователей на группы по каким-то признакам:

у меня список жертв пуст…

Manage local DB – Управление локальной базой данных

Здесь будут собраны все “клиенты” хакера. Это позволить переходить от сервера к серверу в режиме онлайн или просто настраивая сервера на компьютерах пользователей по усмотрению.
Ну, а остальные пункты, думаю, особых комментариев не требуют. Обычно эти пункты никто не смотрит.

В следующий раз рассмотрим работу Dark Comet на примере, проведём критический анализ работы и научимся от неё избавляться.

Источник