Выставка крыс. Сравниваем лучшие RAT для атак

Вот спи­сок рат­ников, которые мы сегод­ня поп­робу­ем:

• Cerberus 1.03.5;
• CyberGate 1.07.5;
• DarkComet 5.3;
• Orcus Rat 1.9.1;
• NjRat Danger Edition 0.7D;
• Venom 2.1.

Для некото­рого изу­чения бил­дов наших рат­ников я буду исполь­зовать Detect It Easy вер­сии 3.01.

Оце­нивать их будем по сле­дующим кри­тери­ям:

• на­бор пред­лага­емых фун­кций;
• ско­рость раз­верты­вания в целевой сис­теме;
• наг­рузка на компь­ютер жер­твы;
• уро­вень защиты кода бил­да (поп­робу­ем раз­ревер­сить билд);
• про­вер­ка на VirusTotal;
• плю­сы и минусы в целом.

А теперь прис­тупим к ана­лизу.

Cerberus

Интересные функции

• Из­менение язы­ка
• Под­держи­вает раз­личные фор­маты на выходе (.pif, .com, .src, .bat, .cmd)
• Есть воз­можность добавить зву­ки при запус­ке (как дос­тупные по умол­чанию, так и свои)

Описание

Ско­рость работы высокая: на все про все наг­рузке тре­бует­ся око­ло пяти секунд. При работе занима­ет 7,3 Мбайт памяти и прак­тичес­ки не наг­ружа­ет про­цес­сор.

Про­буем заг­рузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и руга­ются некото­рые анти­виру­сы.

Вердикт

Cerberus хорошо под­ходит для дол­говре­мен­ного пре­быва­ния в сис­теме. Его про­ще под­сунуть жер­тве из‑за воз­можнос­ти менять рас­ширение фай­ла.

Из минусов — рас­познать Windows 10 при работе он не смог, ну и анти­виру­сами палит­ся при­лич­но, так что при­дет­ся крип­товать. Ком­пилятор малость уста­рел, а при запус­ке он вне­зап­но изда­ет звук, который совер­шенно не спо­собс­тву­ет незамет­ному зараже­нию.

CyberGate

Интересные функции

• Сбор све­дений об активной сес­сии
• Поз­воля­ет искать дан­ные на устрой­ствах
• Име­ется рас­ширен­ный объ­ем получа­емых дан­ных в панели

Описание

За­пуск и зак­репле­ние бил­да занима­ет око­ло 25 с — мед­ленно, даже по срав­нению с тем же Cerebrus. Наг­рузка на сис­тему нес­коль­ко выше, чем у кон­курен­тов; к тому же при запус­ке он соз­дает нес­коль­ко про­цес­сов и виден в дис­петче­ре задач. Пот­ребля­ет 0,1% про­цес­сора и 4,2 Мбайт памяти. Наг­ружа­ет диск на 100 Кбайт/с.

С защитой все стран­но: билд даже не пыта­ется скрыть очень боль­шое количес­тво импорти­руемых биб­лиотек и фун­кций из них. Обфуска­ции вызовов WinAPI нет, что не может не удив­лять.

Пос­ле ска­зан­ного выше детект 64/70 (91,4%) сов­сем не удив­ляет, но при про­вер­ке этой кры­сы на VirusTotal толь­ко один из 70 анти­виру­сов (eGambit) смог уста­новить точ­ное про­исхожде­ние вируса.

Вердикт

Да, билд палит­ся всем чем толь­ко мож­но, но прост как пал­ка и легок в исполь­зовании. Но и вырубить его лег­ко, он не будет осо­бен­но соп­ротив­лять­ся.

DarkComet

Интересные функции

• Име­ется два режима сбор­ки вируса (минималь­ный и рас­ширен­ный)
• Есть фун­кция под­клю­чения сокетов (можем проб­расывать под­клю­чения для повыше­ния безопас­ности)
• Мож­но зап­ланиро­вать дей­ствия
• Поз­воля­ет соз­дать ссыл­ку‑заг­рузчик для вируса

Описание

Сбор­ка бил­да тре­бует боль­ше минуты, что силь­но боль­ше обыч­ного для такого соф­та. Пос­ле запус­ка бил­да пот­ребля­ется 2,7 Мбайт ОЗУ, что сов­сем хорошо на фоне око­лону­лево­го пот­ребле­ния осталь­ных ресур­сов.

Билд сно­ва не нак­рыт никаким про­тек­торами или упа­ков­щиками. В импортах сра­зу замет­на user32.dll, из которой импорти­руют­ся модули mouse и keybd, и, конеч­но, фун­кция VkKeyScanA, которые поз­воля­ют сде­лать кей­лог­гер.

Вердикт

Ни один анти­вирус не понял, что перед ним «Комета». Впро­чем, начин­ка бил­да вся тор­чит наружу, так что силь­но рас­простра­нять такие прог­раммы не сто­ит, хоть и кас­томиза­ция здесь пол­ная. Да и вре­мя сбор­ки бил­да не раду­ет.