Главная » Статьи

Выставка крыс сравниваем лучшие rat для атак

Содержание
  1. Выставка крыс. Сравниваем лучшие RAT для атак
  2. WARNING
  3. CERBERUS
  4. Интересные функции
  5. Описание
  6. Вердикт
  7. CYBERGATE
  8. Интересные функции
  9. Описание
  10. Вердикт
  11. DARKCOMET
  12. Интересные функции
  13. Описание
  14. Вердикт
  15. ORCUS RAT
  16. Интересные функции
  17. Описание
  18. Вердикт
  19. NJRAT
  20. Интересные функции
  21. Описание
  22. Вердикт
  23. VENOM
  24. Интересные функции
  25. Описание
  26. Вердикт
  27. ИТОГИ
  28. Выставка крыс. Сравниваем лучшие RAT для атак
  29. warning
  30. Cerberus
  31. Интересные функции
  32. Описание
  33. Вердикт
  34. CyberGate
  35. Интересные функции
  36. Описание
  37. Вердикт
  38. DarkComet
  39. Интересные функции
  40. Описание
  41. Вердикт

Выставка крыс. Сравниваем лучшие RAT для атак

Ча­ще все­го для управле­ния взло­ман­ными сис­темами исполь­зуют­ся тро­яны уда­лен­ного дос­тупа. Подоб­ных инс­тру­мен­тов мно­жес­тво, и в этой статье я покажу в дей­ствии сра­зу шесть популяр­ных «рат­ников», которы­ми поль­зуют­ся зло­умыш­ленни­ки.

WARNING

Не­сан­кци­они­рован­ный дос­туп к компь­ютер­ной информа­ции — прес­тупле­ние. Ни автор, ни редак­ция жур­нала не несут ответс­твен­ности за твои дей­ствия. Все тес­ты про­води­лись на изо­лиро­ван­ных от реаль­ных дан­ных вир­туаль­ных машинах.

Вот спи­сок рат­ников, которые мы сегод­ня поп­робу­ем:

  • Cerberus 1.03.5;
  • CyberGate 1.07.5;
  • DarkComet 5.3;
  • Orcus Rat 1.9.1;
  • NjRat Danger Edition 0.7D;
  • Venom 2.1.

Для некото­рого изу­чения бил­дов наших рат­ников я буду исполь­зовать Detect It Easy вер­сии 3.01.

Оце­нивать их будем по сле­дующим кри­тери­ям:

  • на­бор пред­лага­емых фун­кций;
  • ско­рость раз­верты­вания в целевой сис­теме;
  • наг­рузка на компь­ютер жер­твы;
  • уро­вень защиты кода бил­да (поп­робу­ем раз­ревер­сить билд);
  • про­вер­ка на VirusTotal;
  • плю­сы и минусы в целом.

А теперь прис­тупим к ана­лизу.

CERBERUS

Интересные функции

  • Из­менение язы­ка
  • Под­держи­вает раз­личные фор­маты на выходе (.pif, .com, .src, .bat, .cmd)
  • Есть воз­можность добавить зву­ки при запус­ке (как дос­тупные по умол­чанию, так и свои)

Описание

Ско­рость работы высокая: на все про все наг­рузке тре­бует­ся око­ло пяти секунд. При работе занима­ет 7,3 Мбайт памяти и прак­тичес­ки не наг­ружа­ет про­цес­сор.

Про­буем заг­рузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и руга­ются некото­рые анти­виру­сы.

Вердикт

Cerberus хорошо под­ходит для дол­говре­мен­ного пре­быва­ния в сис­теме. Его про­ще под­сунуть жер­тве из‑за воз­можнос­ти менять рас­ширение фай­ла.

Из минусов — рас­познать Windows 10 при работе он не смог, ну и анти­виру­сами палит­ся при­лич­но, так что при­дет­ся крип­товать. Ком­пилятор малость уста­рел, а при запус­ке он вне­зап­но изда­ет звук, который совер­шенно не спо­собс­тву­ет незамет­ному зараже­нию.

CYBERGATE

Интересные функции

  • Сбор све­дений об активной сес­сии
  • Поз­воля­ет искать дан­ные на устрой­ствах
  • Име­ется рас­ширен­ный объ­ем получа­емых дан­ных в панели

Описание

За­пуск и зак­репле­ние бил­да занима­ет око­ло 25 с — мед­ленно, даже по срав­нению с тем же Cerebrus. Наг­рузка на сис­тему нес­коль­ко выше, чем у кон­курен­тов; к тому же при запус­ке он соз­дает нес­коль­ко про­цес­сов и виден в дис­петче­ре задач. Пот­ребля­ет 0,1% про­цес­сора и 4,2 Мбайт памяти. Наг­ружа­ет диск на 100 Кбайт/с.

С защитой все стран­но: билд даже не пыта­ется скрыть очень боль­шое количес­тво импорти­руемых биб­лиотек и фун­кций из них. Обфуска­ции вызовов WinAPI нет, что не может не удив­лять.

Читайте также:  Как содержать мраморных тараканов дома

Пос­ле ска­зан­ного выше детект 64/70 (91,4%) сов­сем не удив­ляет, но при про­вер­ке этой кры­сы на VirusTotal толь­ко один из 70 анти­виру­сов (eGambit) смог уста­новить точ­ное про­исхожде­ние вируса.

Вердикт

Да, билд палит­ся всем чем толь­ко мож­но, но прост как пал­ка и легок в исполь­зовании. Но и вырубить его лег­ко, он не будет осо­бен­но соп­ротив­лять­ся.

DARKCOMET

Интересные функции

  • Име­ется два режима сбор­ки вируса (минималь­ный и рас­ширен­ный)
  • Есть фун­кция под­клю­чения сокетов (можем проб­расывать под­клю­чения для повыше­ния безопас­ности)
  • Мож­но зап­ланиро­вать дей­ствия
  • Поз­воля­ет соз­дать ссыл­ку‑заг­рузчик для вируса

Описание

Сбор­ка бил­да тре­бует боль­ше минуты, что силь­но боль­ше обыч­ного для такого соф­та. Пос­ле запус­ка бил­да пот­ребля­ется 2,7 Мбайт ОЗУ, что сов­сем хорошо на фоне око­лону­лево­го пот­ребле­ния осталь­ных ресур­сов.

Билд сно­ва не нак­рыт никаким про­тек­торами или упа­ков­щиками. В импортах сра­зу замет­на user32.dll, из которой импорти­руют­ся модули mouse и keybd , и, конеч­но, фун­кция VkKeyScanA , которые поз­воля­ют сде­лать кей­лог­гер.

Вердикт

Ни один анти­вирус не понял, что перед ним «Комета». Впро­чем, начин­ка бил­да вся тор­чит наружу, так что силь­но рас­простра­нять такие прог­раммы не сто­ит, хоть и кас­томиза­ция здесь пол­ная. Да и вре­мя сбор­ки бил­да не раду­ет.

ORCUS RAT

Интересные функции

  • Мо­жет соз­давать сто­рон­ние про­цес­сы для отвле­чения вни­мания
  • Спо­собен соз­давать рес­павнер при уда­лении наг­рузки из сис­темы или наруше­нии его работы
  • Под­держи­вает пла­гины

Описание

Ско­рость работы высокая: собира­ется за десять секунд. Пот­ребля­ет 15,6 Мбайт опе­ратив­ки и ничем не наг­ружа­ет комп жер­твы.

Код неп­лохо зашиф­рован, но все рав­но наружу тор­чит .NET Framework 2.0.

Вердикт

Шту­ка в целом очень неп­лохая, раз­ве что тре­бует шиф­рования, как, впро­чем, и все осталь­ные сегод­няшние подопыт­ные. Из плю­сов — име­ет кучу допол­нений для более успешной работы. Может тран­сли­ровать кар­тинку с веб‑камеры.

Мно­гие анти­виру­сы, к при­меру AhnLab-V3, обна­ружи­вают Orcus Rat, а защиты от это­го тол­ком нет. Так­же он тре­бует дли­тель­ной нас­трой­ки, а без пла­гинов фун­кци­ональ­ность замет­но огра­ниче­на.

NJRAT

Интересные функции

  • Вык­лючение при акти­вации опре­делен­ного про­цес­са
  • Стри­минг экра­на жер­твы
  • За­щита хос­та и пор­та обратно­го под­клю­чения
  • Зап­рет на уда­ление прог­раммы
  • От­клю­чение дис­петче­ра задач

Описание

Сбор бил­да занима­ет ров­но десять секунд. Наг­рузка на сис­тему‑жер­тву очень силь­ная: про­цес­сор занят на 18%, что силь­но выда­ет вирус.

Соз­дано это доб­ро на .NET Framework. На нем работа­ют мно­гие сов­ремен­ные вирусы, так что ничего уди­витель­ного в этом нет.

Из сек­ции импорта взять ничего нель­зя — впро­чем, на то это и .NET.

Про­вер­ка анти­вирус­ными ска­нера­ми показа­ла резуль­тат луч­ше, чем у прош­лых сем­плов, но для боево­го широко­мас­штаб­ного при­мене­ния это все рав­но не годит­ся (к тому же мы догова­рива­лись так не делать, пом­нишь?).

Вердикт

Трой доволь­но инте­рес­ный: хорошо про­рабо­тан, его сла­бо детек­тят анти­виру­сы, в сети есть исходни­ки, фун­кций — мно­жес­тво. Соеди­нение с C&C-сер­вером зашиф­ровано — еще один плю­сик этой «кры­се».

Читайте также:  Откуда взялись тараканы вообще

Есть у NjRat и проб­лемы: в час­тнос­ти, отно­ситель­но высокая наг­рузка на сис­тему жер­твы и те же самые откры­тые исходни­ки, которые ука­заны как пре­иму­щес­тво. Дело в том, что из‑за этой осо­бен­ности анти­виру­сы в целом обна­ружи­вают его эффектив­нее, чем зак­рытые тро­яны, но в любом слу­чае без шиф­рования рас­простра­нять такого рода софт не сле­дует.

Рекомен­дуем с ней озна­комить­ся, преж­де чем вбить в поис­ковик «ска­чать njrat».

VENOM

Интересные функции

  • Воз­можность выг­рузить билд на AnonFile
  • Воз­можность добавить офи­циаль­но выг­лядящий уста­нов­щик (будет отоб­ражать­ся окно уста­нов­ки с фаль­шивой лицен­зией)
  • Воз­можность модифи­циро­вать сам тро­ян
  • Соз­дание рут­кита
  • Мож­но задать ник устрой­ству, которое заразит вирус (отоб­ража­ется в админке)

Описание

На всю под­готов­ку и сбор­ку ухо­дит око­ло 20 с. Билд занима­ет 9 Мбайт опе­ратив­ки у жер­твы и сис­тему прак­тичес­ки не наг­ружа­ет.

На­писан он сно­ва на .NET, и сно­ва никаких упа­ков­щиков — впро­чем, как обыч­но, но кода с ходу не видать.

Де­тект еще нем­ного мень­ше, чем у NjRat, но для мас­штаб­ного исполь­зования сно­ва понадо­бит­ся крипт.

Вердикт

В целом этот трой — наибо­лее успешный из сегод­ня рас­смот­ренных, и его мож­но экс­плу­ати­ровать для дли­тель­ной работы. Наг­рузку мож­но лег­ко модифи­циро­вать под свои нуж­ды. Так­же он наибо­лее скрыт­ный сре­ди всех кон­курен­тов, и ничего кон­крет­ного о нем не может ска­зать ни один анти­вирус. Есть все­го один, но сущес­твен­ный минус — Venom пол­ностью плат­ный, но это оста­нав­лива­ет не всех.

ИТОГИ

Ко­неч­но, мы не рас­смот­рели даже десятой час­ти рас­простра­нен­ных рат­ников — их поп­росту слиш­ком мно­го! Есть, к при­меру, модифи­циро­ван­ные кли­енты TeamViewer и AnyDesk, которые исполь­зуют­ся в тех же целях. Впро­чем, если ты зна­ешь зас­лужива­ющий вни­мание RAT, который мы упус­тили, рас­ска­жи об этом в ком­мента­риях!

Источник

Выставка крыс. Сравниваем лучшие RAT для атак

Ча­ще все­го для управле­ния взло­ман­ными сис­темами исполь­зуют­ся тро­яны уда­лен­ного дос­тупа. Подоб­ных инс­тру­мен­тов мно­жес­тво, и в этой статье я покажу в дей­ствии сра­зу шесть популяр­ных «рат­ников», которы­ми поль­зуют­ся зло­умыш­ленни­ки.

warning

Не­сан­кци­они­рован­ный дос­туп к компь­ютер­ной информа­ции — прес­тупле­ние. Ни автор, ни редак­ция жур­нала не несут ответс­твен­ности за твои дей­ствия. Все тес­ты про­води­лись на изо­лиро­ван­ных от реаль­ных дан­ных вир­туаль­ных машинах.

Вот спи­сок рат­ников, которые мы сегод­ня поп­робу­ем:

  • Cerberus 1.03.5;
  • CyberGate 1.07.5;
  • DarkComet 5.3;
  • Orcus Rat 1.9.1;
  • NjRat Danger Edition 0.7D;
  • Venom 2.1.

Для некото­рого изу­чения бил­дов наших рат­ников я буду исполь­зовать Detect It Easy вер­сии 3.01.

Оце­нивать их будем по сле­дующим кри­тери­ям:

  • на­бор пред­лага­емых фун­кций;
  • ско­рость раз­верты­вания в целевой сис­теме;
  • наг­рузка на компь­ютер жер­твы;
  • уро­вень защиты кода бил­да (поп­робу­ем раз­ревер­сить билд);
  • про­вер­ка на VirusTotal;
  • плю­сы и минусы в целом.

А теперь прис­тупим к ана­лизу.

Читайте также:  Средство от муравьев брос состав

Cerberus

Интересные функции

  • Из­менение язы­ка
  • Под­держи­вает раз­личные фор­маты на выходе (.pif, .com, .src, .bat, .cmd)
  • Есть воз­можность добавить зву­ки при запус­ке (как дос­тупные по умол­чанию, так и свои)

Описание

Ско­рость работы высокая: на все про все наг­рузке тре­бует­ся око­ло пяти секунд. При работе занима­ет 7,3 Мбайт памяти и прак­тичес­ки не наг­ружа­ет про­цес­сор.

Про­буем заг­рузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и руга­ются некото­рые анти­виру­сы.

Про­вер­ка на VirusTotal

Вердикт

Cerberus хорошо под­ходит для дол­говре­мен­ного пре­быва­ния в сис­теме. Его про­ще под­сунуть жер­тве из‑за воз­можнос­ти менять рас­ширение фай­ла.

Из минусов — рас­познать Windows 10 при работе он не смог, ну и анти­виру­сами палит­ся при­лич­но, так что при­дет­ся крип­товать. Ком­пилятор малость уста­рел, а при запус­ке он вне­зап­но изда­ет звук, который совер­шенно не спо­собс­тву­ет незамет­ному зараже­нию.

CyberGate

Интересные функции

  • Сбор све­дений об активной сес­сии
  • Поз­воля­ет искать дан­ные на устрой­ствах
  • Име­ется рас­ширен­ный объ­ем получа­емых дан­ных в панели

Описание

За­пуск и зак­репле­ние бил­да занима­ет око­ло 25 с — мед­ленно, даже по срав­нению с тем же Cerebrus. Наг­рузка на сис­тему нес­коль­ко выше, чем у кон­курен­тов; к тому же при запус­ке он соз­дает нес­коль­ко про­цес­сов и виден в дис­петче­ре задач. Пот­ребля­ет 0,1% про­цес­сора и 4,2 Мбайт памяти. Наг­ружа­ет диск на 100 Кбайт/с.

С защитой все стран­но: билд даже не пыта­ется скрыть очень боль­шое количес­тво импорти­руемых биб­лиотек и фун­кций из них. Обфуска­ции вызовов WinAPI нет, что не может не удив­лять.

Пос­ле ска­зан­ного выше детект 64/70 (91,4%) сов­сем не удив­ляет, но при про­вер­ке этой кры­сы на VirusTotal толь­ко один из 70 анти­виру­сов (eGambit) смог уста­новить точ­ное про­исхожде­ние вируса.

Пол­ные резуль­таты ска­ниро­вания

Вердикт

Да, билд палит­ся всем чем толь­ко мож­но, но прост как пал­ка и легок в исполь­зовании. Но и вырубить его лег­ко, он не будет осо­бен­но соп­ротив­лять­ся.

DarkComet

Интересные функции

  • Име­ется два режима сбор­ки вируса (минималь­ный и рас­ширен­ный)
  • Есть фун­кция под­клю­чения сокетов (можем проб­расывать под­клю­чения для повыше­ния безопас­ности)
  • Мож­но зап­ланиро­вать дей­ствия
  • Поз­воля­ет соз­дать ссыл­ку‑заг­рузчик для вируса

Описание

Сбор­ка бил­да тре­бует боль­ше минуты, что силь­но боль­ше обыч­ного для такого соф­та. Пос­ле запус­ка бил­да пот­ребля­ется 2,7 Мбайт ОЗУ, что сов­сем хорошо на фоне око­лону­лево­го пот­ребле­ния осталь­ных ресур­сов.

Билд сно­ва не нак­рыт никаким про­тек­торами или упа­ков­щиками. В импортах сра­зу замет­на user32.dll, из которой импорти­руют­ся модули mouse и keybd , и, конеч­но, фун­кция VkKeyScanA , которые поз­воля­ют сде­лать кей­лог­гер.

Про­вер­ка на VirusTotal

Вердикт

Ни один анти­вирус не понял, что перед ним «Комета». Впро­чем, начин­ка бил­да вся тор­чит наружу, так что силь­но рас­простра­нять такие прог­раммы не сто­ит, хоть и кас­томиза­ция здесь пол­ная. Да и вре­мя сбор­ки бил­да не раду­ет.

Источник

Оцените статью
Избавляемся от вредителей
© 2023 Избавляемся от вредителей