Ча­ще все­го для управле­ния взло­ман­ными сис­темами исполь­зуют­ся тро­яны уда­лен­ного дос­тупа. Подоб­ных инс­тру­мен­тов мно­жес­тво, и в этой статье я покажу в дей­ствии сра­зу шесть популяр­ных «рат­ников», которы­ми поль­зуют­ся зло­умыш­ленни­ки.

warning

Не­сан­кци­они­рован­ный дос­туп к компь­ютер­ной информа­ции — прес­тупле­ние. Ни автор, ни редак­ция жур­нала не несут ответс­твен­ности за твои дей­ствия. Все тес­ты про­води­лись на изо­лиро­ван­ных от реаль­ных дан­ных вир­туаль­ных машинах.

Вот спи­сок рат­ников, которые мы сегод­ня поп­робу­ем:

  • Cerberus 1.03.5;
  • CyberGate 1.07.5;
  • DarkComet 5.3;
  • Orcus Rat 1.9.1;
  • NjRat Danger Edition 0.7D;
  • Venom 2.1.

Для некото­рого изу­чения бил­дов наших рат­ников я буду исполь­зовать Detect It Easy вер­сии 3.01.

Оце­нивать их будем по сле­дующим кри­тери­ям:

  • на­бор пред­лага­емых фун­кций;
  • ско­рость раз­верты­вания в целевой сис­теме;
  • наг­рузка на компь­ютер жер­твы;
  • уро­вень защиты кода бил­да (поп­робу­ем раз­ревер­сить билд);
  • про­вер­ка на VirusTotal;
  • плю­сы и минусы в целом.

А теперь прис­тупим к ана­лизу.

 

Cerberus

Интересные функции

  • Из­менение язы­ка
  • Под­держи­вает раз­личные фор­маты на выходе (.pif, .com, .src, .bat, .cmd)
  • Есть воз­можность добавить зву­ки при запус­ке (как дос­тупные по умол­чанию, так и свои)

Описание

Ско­рость работы высокая: на все про все наг­рузке тре­бует­ся око­ло пяти секунд. При работе занима­ет 7,3 Мбайт памяти и прак­тичес­ки не наг­ружа­ет про­цес­сор.

Про­буем заг­рузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и руга­ются некото­рые анти­виру­сы.

Проверка на VirusTotal
Про­вер­ка на VirusTotal

Вердикт

Cerberus хорошо под­ходит для дол­говре­мен­ного пре­быва­ния в сис­теме. Его про­ще под­сунуть жер­тве из‑за воз­можнос­ти менять рас­ширение фай­ла.

Из минусов — рас­познать Windows 10 при работе он не смог, ну и анти­виру­сами палит­ся при­лич­но, так что при­дет­ся крип­товать. Ком­пилятор малость уста­рел, а при запус­ке он вне­зап­но изда­ет звук, который совер­шенно не спо­собс­тву­ет незамет­ному зараже­нию.

 

CyberGate

Интересные функции

  • Сбор све­дений об активной сес­сии
  • Поз­воля­ет искать дан­ные на устрой­ствах
  • Име­ется рас­ширен­ный объ­ем получа­емых дан­ных в панели

Описание

За­пуск и зак­репле­ние бил­да занима­ет око­ло 25 с — мед­ленно, даже по срав­нению с тем же Cerebrus. Наг­рузка на сис­тему нес­коль­ко выше, чем у кон­курен­тов; к тому же при запус­ке он соз­дает нес­коль­ко про­цес­сов и виден в дис­петче­ре задач. Пот­ребля­ет 0,1% про­цес­сора и 4,2 Мбайт памяти. Наг­ружа­ет диск на 100 Кбайт/с.

С защитой все стран­но: билд даже не пыта­ется скрыть очень боль­шое количес­тво импорти­руемых биб­лиотек и фун­кций из них. Обфуска­ции вызовов WinAPI нет, что не может не удив­лять.

Пос­ле ска­зан­ного выше детект 64/70 (91,4%) сов­сем не удив­ляет, но при про­вер­ке этой кры­сы на VirusTotal толь­ко один из 70 анти­виру­сов (eGambit) смог уста­новить точ­ное про­исхожде­ние вируса.

Полные результаты сканирования
Пол­ные резуль­таты ска­ниро­вания

Вердикт

Да, билд палит­ся всем чем толь­ко мож­но, но прост как пал­ка и легок в исполь­зовании. Но и вырубить его лег­ко, он не будет осо­бен­но соп­ротив­лять­ся.

 

DarkComet

Интересные функции

  • Име­ется два режима сбор­ки вируса (минималь­ный и рас­ширен­ный)
  • Есть фун­кция под­клю­чения сокетов (можем проб­расывать под­клю­чения для повыше­ния безопас­ности)
  • Мож­но зап­ланиро­вать дей­ствия
  • Поз­воля­ет соз­дать ссыл­ку‑заг­рузчик для вируса

Описание

Сбор­ка бил­да тре­бует боль­ше минуты, что силь­но боль­ше обыч­ного для такого соф­та. Пос­ле запус­ка бил­да пот­ребля­ется 2,7 Мбайт ОЗУ, что сов­сем хорошо на фоне око­лону­лево­го пот­ребле­ния осталь­ных ресур­сов.

Билд сно­ва не нак­рыт никаким про­тек­торами или упа­ков­щиками. В импортах сра­зу замет­на user32.dll, из которой импорти­руют­ся модули mouse и keybd, и, конеч­но, фун­кция VkKeyScanA, которые поз­воля­ют сде­лать кей­лог­гер.

info

О том, как сде­лать свой кей­лог­гер, читай в статье «Кей­лог­гер по‑домаш­нему. Пишем на C# кей­лог­гер, который не палит­ся анти­виру­сами».

Проверка на VirusTotal
Про­вер­ка на VirusTotal

Вердикт

Ни один анти­вирус не понял, что перед ним «Комета». Впро­чем, начин­ка бил­да вся тор­чит наружу, так что силь­но рас­простра­нять такие прог­раммы не сто­ит, хоть и кас­томиза­ция здесь пол­ная. Да и вре­мя сбор­ки бил­да не раду­ет.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    6 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии