Небесное око. Тестируем возможности Quasar RAT

Пос­коль­ку наш жур­нал называ­ется «Хакер», уве­рен, мож­но лиш­ний раз не объ­яснять читате­лям, что такое RAT. Эта кон­крет­ная тул­за написа­на под вин­ду, но глав­ное — она фри­вар­ная и опен­сор­сная, что опре­делен­но добав­ляет ей пре­иму­ществ по срав­нению с дру­гим ана­логич­ным соф­том. Ска­чать Quasar RAT мож­но со стра­нич­ки про­екта на гит­хабе.

Прог­рамма написа­на на С# и позици­они­рует­ся раз­работ­чиками как «лег­кое и удоб­ное средс­тво для уда­лен­ного адми­нис­три­рова­ния, тех­ничес­кой под­дер­жки и наб­людения за сот­рудни­ками». Quasar RAT име­ет тра­дици­онную для Remote Assistance Tool кли­ент‑сер­верную архи­тек­туру и, нес­мотря на ком­пак­тность, обла­дает доволь­но‑таки богатым арсе­налом воз­можнос­тей, сре­ди которых:

• под­клю­чение к уда­лен­ному рабоче­му сто­лу;
• уда­лен­ный шелл и запуск исполня­емых фай­лов по коман­де;
• уда­лен­ное редак­тирова­ние реес­тра;
• за­пуск фай­лового менед­жера, дис­петче­ра задач и менед­жера заг­рузки;
• уда­лен­ное выпол­нение команд на вык­лючение и перезаг­рузку;
• кей­лог­гинг (с под­дер­жкой Unicode);
• пе­рех­ват паролей в бра­узе­рах, FTP-кли­ентах и дру­гих прог­раммах;
• за­пуск Reverse Proxy (SOCKS5).

Нес­мотря на при­сутс­твие Quasar RAT в сво­бод­ном дос­тупе и опре­делен­ную популяр­ность в узких кру­гах цените­лей прек­расно­го (судя по количес­тву фор­ков и активнос­ти комь­юни­ти), докумен­тирова­на соф­тина, я бы ска­зал, скром­но. С дру­гой сто­роны, она доволь­но прос­та в исполь­зовании, и разоб­рать­ся с ней под силу даже неис­кушен­ному юзе­ру. Так уж выш­ло, что мне вне­зап­но понадо­билась ути­лита для уда­лен­ного управле­ния одним из ком­пов в моей локал­ке. По совету кол­лег в качес­тве инс­тру­мен­та я выб­рал имен­но Quasar RAT. И коли уж мне приш­лось раз­бирать­ся с этой прог­раммой, было бы греш­но не поделить­ся с тобой впе­чат­лени­ями от ее исполь­зования. Пог­нали!

Установка и настройка

Прог­рамма пос­тавля­ется в виде архи­ва, внут­ри которо­го рас­полага­ются все необ­ходимые для ее работы фай­лы. Перед рас­паков­кой содер­жимого сле­дует отклю­чить анти­виру­сы, ина­че они радос­тно уда­лят экзешник и .bat-файл из ком­плек­та пос­тавки Quasar. Так­же для начала работы нуж­но ус­тановить .NET Framework 4.5.2 или более поз­днюю вер­сию, если она еще не уста­нов­лена в тво­ей сис­теме.

Что­бы не путать­ся, сра­зу опре­делим­ся, что в тер­миноло­гии Quasar сер­вером называ­ется машина, куда переда­ются дан­ные с поль­зователь­ских компь­юте­ров, а кли­ентом — ПК, за которым ты сле­дишь. Кли­ент иден­тифици­рует­ся по тегу, который ты ука­жешь в нас­трой­ках. Он может быть про­изволь­ным. Пос­ле уста­нов­ки на уда­лен­ной машине кли­ент работа­ет авто­ном­но, пыта­ясь соеди­нить­ся с сер­вером через задан­ные про­межут­ки вре­мени либо по IP-адре­су (под­держи­вает­ся IPv4 и IPv6), либо по DNS-име­ни. Общий алго­ритм дей­ствий таков: нуж­но запус­тить сер­вер, ука­зать необ­ходимые нас­трой­ки, сбил­дить при­ложе­ние‑кли­ент и залить его на уда­лен­ную машину. Все прос­то.

Конфигурируем сервер

Пос­ле запус­ка прог­раммы Quasar.exe нам пред­ложат соз­дать сер­тификат, с помощью которо­го будет уста­нав­ливать­ся защищен­ное соеди­нение меж­ду сер­вером и кли­ентом. Если Quasar уже исполь­зовал­ся на тво­ем компь­юте­ре, мож­но импорти­ровать сущес­тву­ющий сер­тификат, в про­тив­ном слу­чае прог­рамма соз­даст файл quasar.p12, который луч­ше сра­зу же прип­рятать в укромное мес­то. Если при­дет­ся пере­уста­новить «Ква­зар», без него будет невоз­можно соеди­нить­ся с дру­гими машина­ми, на которых запущен RAT, что гро­зит потерей всех кли­ентов.

Жми кноп­ку Create, а затем — Save. Теперь сме­ло запус­кай Quasar.exe и жми над­пись Settings в вер­хней час­ти окна. По умол­чанию Quasar исполь­зует для свя­зи TCP-порт 4782, но ты можешь выб­рать вмес­то него любой дру­гой сво­бод­ный порт, ука­зав его в поле Port to listen on. Потом этот порт тебе нуж­но будет открыть в фай­рво­ле, нас­тро­ив соот­ветс­тву­ющее пра­вило.