RAT распространялся через «заминированное сообщение чата Skype», которое состояло из сообщения со значком Facebook, которое на самом деле было исполняемым файлом, предназначенным для установки DarkComet. После заражения машина жертвы попыталась отправить сообщение другим людям с тем же заминированным сообщением чата Skype.
Целевые игроки, военные и правительства
В 2012 году компания Arbos Network обнаружила доказательства того, что DarkComet использовался неизвестными хакерами из Африки для нападения на военных и игроков. В то время они в основном были нацелены на Соединенные Штаты.
Je Suis Charlie
После атаки 7 января 2015 года на журнал Charlie Hebdo в Париже хакеры использовали слоган « #JeSuisCharlie », чтобы обманом заставить людей загрузить DarkComet. DarkComet был замаскирован под изображение новорожденного ребенка, на браслете которого было написано «Je suis Charlie». Как только изображение было загружено, пользователи оказались скомпрометированы. Хакеры воспользовались катастрофой, чтобы взломать как можно больше систем. DarkComet был обнаружен в течение 24 часов после атаки.
Архитектура и особенности
Архитектура
Когда DarkComet выполняется, сервер подключается к клиенту и позволяет клиенту контролировать и контролировать сервер. На этом этапе клиент может использовать любую из функций, содержащихся в графическом интерфейсе. На сервере открывается сокет, который ожидает получения пакетов от контроллера и выполняет полученные команды.
Особенности
Следующий список функций не является исчерпывающим, но они являются критически важными, которые делают DarkComet опасным инструментом. Многие из этих функций могут использоваться для полного управления системой и предоставления клиенту полного доступа при предоставлении через UAC.
DarkComet также имеет некоторые «забавные функции».
Обнаружение
Общие антивирусные теги для приложения темной кометы следующие:
Когда компьютер заражен, он пытается установить соединение через сокет с компьютером контроллеров. Как только соединение установлено, зараженный компьютер прослушивает команды от контроллера, если контроллер отправляет команду, зараженный компьютер получает ее и выполняет любую отправленную функцию.
Как Защититься От Взлома Хакеров Как обезопасить себя от трояна DarkComet RAT Remover
Это касается ОС x32 которые не обновлялись в центре обновления Windows и поэтому имеют дыры, за 3 года ремонта и настраивания ОС было много замечено и обезврежено таких троянов!
ССЫЛКИ НА ИСТОЧНИКИ, ПРОГУ И ФОРУМЫ Я УДАЛИЛ ПО ПРОСЬБЕ МОДЕРАТОРА И В СВЯЗИ С МИНУСАМИ, КОМУ БУДЕТ ИНТЕРЕСНА ДАННАЯ ТЕМУ ОТПИШУ В КОММЕНТАХ, ЗАРАНЕЕ СПАСИБО ЗА ПОНИМАНИЕ)
Q: Что такое DarkComet?
A: Дарк Комет(в народе просто комета) это ратник, то есть вирус который позволяет управлять вашим компьютером: манипулировать файлами, просматривать ваш рабочий стол и т.д.:
Q: Но у меня же стоит антивирус лицензионный, как я могу заразится?
A: Легко! Если вирус закриптован(почитайте в гугле, что такое крипторы), то он не будет идентифицирован антивирусом, как вирус, а если это еще приват криптор, то вы можете никогда не узнать, что на вашем компьютере завелся вирус. Так что, в этой ситуации антивирус бесполезен.
Часто бывает что мы заражаемся этом вирусом и многие не понимают как удалить.
И теперь я сделал обзор на программу DarkComet Remover, для удаления этого вируса
я конечно все понимаю, но почему тут народ так агрессивно настроен! только одни минусы ставят, я пока нуб в этой платформе но разве я запостил плохой контент?
Не будь скотиной
Стримеры. Две стороны одного дела
Красавчик
Ну наконец-то. Свершилось.
Стоянка для мужчин с мангалом.
Мужчина 2002 года рождения
Загон
Intel vs AMD
Наглядное сравнение превосходства нового интела 12900k на амд 5950x
«Лучшее» в последние несколько дней
Навеяно постами о безобразиях лиц бородатой национальности.
Родина или уродина?
Решил написать, держать не могу в себе. Кто подумает что это понос, да, только словесный. И так, я тут писал коменты, против чурок, меня посчитали диваными войсками, суть не в этом. Самое главное в этом посте, что я сам уроженец Баку, почему не пишу Азербайджан? Да потому что, я как москвичи, горжусь что родился в этом городе. В данный момент проживаю в России, кто скажет что я ещё один из понаехавших, будет прав. Многие пишут в своих коментах, что даже среди таких ослоебов, есть достойные люди. Так вот, эти достойные люди, сидят дома, работают на заводе, соблюдают и чтут традиции страны, в которой проживают. Мне 34 года, из них, 8 лет я проживаю в России, но такой ненависти к своему народу, я не испытывал никогда. Лично для меня, это не люди, это реально, ебанные чурки, именно те, кто позорит свою нацию. Как по мне, какое воспитание, такое и восприятия действительности.
Немного о RAT вирусах и о том, Как работать с DarkComet-RAT?
RAT – это у нас Крыса.. но в данном случае это аббревиатура троянского вируса, при помощи которого злоумышленник получает удалённый доступ к ПК какого-либо пользователя.
Википедия например пишет, точнее переводит такую аббревиатуру, как Remote Administration Tool, то есть инструмент для удалённого управления.. на самом же деле RAT расшифровывается как Remote access trojan, то бишь Троян-программа для удалённого доступа.
Программа DarkComet RAT (или же просто “Комета”). Эта программа и её функционал (в отличие от той же RMS – это не сколько вирус, сколько лицензионное ПО, которая является именно Remote Administration Tool) выступает самым настоящим трояном. RMS же был популярным так как он какое то время не определялся антивирусом, а также для него не нужно открывать порты.
RAT состоит из двух частей, из клиентской части и серверной. На ПК злоумышленника устанавливается именно клиентская часть, при помощи которой уже создаётся серверная часть. И вот эту серверную часть необходимо установить на ПК жертвы. После установки происходит сопряжение после которого получается удалённый доступ.
У этого удалённого доступа нет никаких границ, однако в 2012 году проект DarkComet RAT был закрыт так как автор не стал нести ответственность за незаконное использование его программы. По его же словам эта программа должна выступать как Утилита, а не как Malware.
Вот таким образом выглядит интерфейс DarkComet-RAT:
Вкладка Users – это список жертв. On connect – менеджер заданий. Users log – собственно лог записей. Socket / Net – прослушиваемые порты.
В ознакомительных целях.. Жертвой в данном случае будет выступать моя вторая виртуальная машина. Таким образом мы попробуем на практике сделать некоторые вещи.
Нажав на главную кнопку данной программы мы видим основное меню:
Listen to new port – Прослушиваемый Порт. Client Settings – Настройки клиента. (Здесь мы можем найти всю основную информацию..) – Выбрать функции, которые Вы хотите включить или выключить. – Подключить FTP менеджер. – Подключить no-ip аккаунт. (так как для программы нужен статический ip) – Pushme уведомления. – Есть Менеджер Групп. – Блокнот с заданиями. – Менеджер Базы Данных. (для просмотра паролей которые здесь вводились + keylogger) – И далее идёт Отказ от ответственности и лицензионное соглашение. – Поиск обновлений. – Об авторе данного приложения. (где кстати сказано, что программа была написана на Delphi и Assembler).
Теперь посмотрим как же создаётся серверная часть, которая распространяется жертвам..
! Выставим эти 4 галочки чтобы увидеть как это будет выглядеть.
— Также там есть меню Деактивировать диспетчер задач — Деактивировать реестр — Деактивировать Firewall (Работает от XP SP3 до Windows 7) — И ниже там есть даже настройки от XP SP2 и ниже.
! Выставим первые 3 галочки чтобы увидеть как это будет выглядеть.
Нажимаем кнопку Build The Stub и таким образом начинаем запуск нашей склейки и в итоге посмотрим как будет выглядеть сам Вирус.
Точно такой же вирус запущен на моей виртуальной машине, посмотрим какие возможности у него открываются. Дважды кликаем на нашу Жертву, под видом которой выступает моя вторая вирт машина. и посмотрим какие забавные штуки можно делать..
Fun Functions: – Fun Manager (в этом меню можно скрыть часы, скрыть панель управления и т.д.) – Раздел Piano – Вывести сообщение с любым текстом
Это самые безвредные функции программы..
А ведь есть ещё диспетчер задач, управление коммандной строкой, открытие и изменение реестра, Добавление скриптов, файловый менеджер. Удалённый доступ, Кейлоггер через который можно увидеть введённые пароли адреса и т.д. Так что, такое вот интересное вредоностное ПО.. Спасибо за прочтение.
В этой статье рассмотрим вопрос как работает Dark Comet, как выглядит процесс взаимодействия клиента на стороне хакера и сервера на стороне жертвы. Будет рассмотрено, как настроить троян под конкретную машину или вообще для готовности принять информацию с ничего не подозревающих пользователей.
К применению знаний, здесь описываемых, вы должны прийти в некоторой степени подготовленными. Убедитесь, что вами прочитаны и предприняты необходимые настройки далее по тексту и описанные в статьях блога:
Для дальнейшей проверки работы программы нам понадобятся:
Как работает Dark Comet: готовим систему к приёму данных
Здесь всё просто: нам необходимо выделить специальный канал передачи данных между сервером и клиентом RAT. После запуска на компьютере жертвы необходимые настройки запустятся автоматически, но и в системе админа тоже нужно кое-что открыть. Для работы с машинами жертв нам нужен отдельный портал, его и нужно проложить, пробросив необходимый порт. Его номер вы вольны выбрать, у меня, как вы увидите, это будет порт 1555. Но до того я пройду настройку сервера и клиента вместе с вами, но без подробностей (они в ссылках в начале статьи).
Антивирус отключаем, отключаем брандмауэр, а также в Windows 8/10 отключаем и Defender (Защитник Windows). Как всё это дело настроить без отключения, рассмотрим позже.
Запускаем DarkComet.exe и соберём сначала сервер трояна:
Выберем расширенный путь настройки сервера:
DarkComet-RAT — Server module — Full editor (expert)
Устанавливаем пароль (в предыдущей статье я указал 112233 — не забудьте его, его придётся ввести в окне настроек клиента) и сразу установлю собственные Server ID и имя профиля (настройки фаервола на стороне жертвы не трогаю):
В окне ниже Network Settings проторим дорожку к нашему компьютеру с настраиваемым сейчас клиентом. Укажем порт и адрес, на который будет стекаться информация. С портом всё ясно — 1555. Для того, чтобы узнать свой адрес в локальной сети, откройте cmd и наберите команду:
ipconfig
У всех нас настройки будут схожи. Вот мои локальные адреса рабочей станции и установленной виртуальной машины с описанием:
Локальный localhost в окне Dark Comet стираем и добавим нам известный по окну консоли локальный по сетке IP адрес и номер порта. Не забудьте нажать кнопку ADD:
Переходим в настройки запуска модуля на будущем сервере. Активируем настройки, выбираем местоположение трояна, его имя с папкой (MSDCSC\msdcsc.exe), название трояна, как его увидит жертва (NvidiaDrivers — обычно такие имена пропускают мимо глаз). Вобщем, хакер знает, где его искать, когда троян скроется от глаз жертвы.
Спускаемся чуть ниже и активируем все окна настроек. Что они означают, читайте в статье Настройки сервера Dark Comet. Сейчас скорректируйте «дату установки» как их будет видеть пользователь. У меня — середина апреля 2016-го (от головы):
Переходим к окну сообщения. При атаке хакеру оно не нужно, администратору — иногда, а нам, так как советую пока держать процесс под контролем (насколько это вообще возможно), оно необходимо. В этом окне мы настроим диалоговое окно, которое появится после успешной установки трояна. Я ввёл вот такой текст и выбрал вот такой значок (по нажатии на кнопку TestMessageBox вы можете его увидеть прямо сейчас):
Следующее окно Защиты модуля. Я поставил вот так, чтобы проверить и показать, что модуль попытается проделать:
Пропускаем остальные окна и переходим к созданию модуля трояна. Ничего не трогаю (троян будет запускаться в виде exe файла и поставляться на компьютер без сжатия); единственное, что сделаю, сохраню профиль настроек: если что-то не сработает, и я, загрузив профиль, смогу быстро сменить настройки где понадобится. Жмём Build the stub. Укажем место создания, ждём пару секунд, и модуль готов (как видите, в настройках Dark Comet появился новый профиль):
Вот он на Рабочем столе:
Запускать его сейчас не нужно — это вы поняли, думаю?
Закроем окно настройки модуля и добавим наш порт к настройкам Dark Comet. Перейдите, к примеру, в панели инструментов Кометы по пути Socket/Net и щёлкните правой мышкой по любой из пустых ячеек, выбрав Add port to listen:
Введите номер нашего порта вместо того, что готов для редактирования по умолчанию. Готово:
Теперь переходим в настройки клиента Client settings. Нам понадобятся 2 пункта. Сначала настроим клиент на пароль (всё тот же 112233). Вводим его:
повторите выбранный пароль в настройках клиента Dark Comet
Далее второй пункт…
Как работает Dark Comet: регистрация в No-IP
Найдём слева в столбце настройки аккаунта No-IP Updater. Щёлкнем по кнопке и сразу выскочит окно:
если учётная запись есть, вы можете настраивать сервис не покидая Dark Comet
Жмём по Get a free account и попадаем на сайт. Проходим быструю регистрацию:
В окне настроек выберем имя виртуальному хостингу, срок действия которого 30 дней с момента создания: то есть каждый месяц адрес DNS придётся обновлять. Не все домены будут доступны в бесплатном аккаунте, но нам предостаточно имеющихся. Виртуальный адрес добавляется в разделе:
Не закрывайте окно настроек личного кабинета. После завершения процедуры регистрации, процедуры проброса портов проверьте, готов ли порт к приёму информации. Для этого можно скачать маленький модуль с самого No-IP или воспользоваться настройками Dark Comet. Я предлагаю первый вариант. Спуститесь в личном кабинете No-IP чуть ниже и найдите ссылку для скачивания клиента:
Переходим по ней и попадаем в окно закачек. Качаем, а затем устанавливаем:
В запущенном виде он выглядит так:
И сразу проверим, работает ли порт. В клиенте No-IP пройдите по настройкам:
Вы должны увидеть вот это сообщение:
Если сервис выдаёт ошибку текстовым сообщением на красном фоне, ещё раз проверьте:
ПРАКТИКА
Как работает Dark Comet: виртуальная Windows (компьютер жертвы)
Идеальный полигон для проверки всего новенького с непредсказуемыми результатами. Если вы можете позволить несколько отдельно стоящих машин в домашних условиях с настраиваемым сетевым оборудованием — это замечательно. Но для того, чтобы оценить масштаб трагедии действия трояна, виртуальной системы вполне хватит. Надеюсь, вы уже установили VirtualBox или что там у вас… Кто совсем только начинает знакомиться с работой виртуальных систем — пишите.
Открываем виртуальную машину и запускаем подопытную Windows 7. Я настроил общую папку для обеих систем и скопировал трояна оттуда, предварительно переместив его в папку из рабочей сборки.
Понеслась…
Запускаем троян. А вот и окно с нашим текстом:
Закройте от имени жертвы окно (его она, впрочем, как вы знаете, не обязательно должны увидеть). Исполнительный файл троянского коня сразу пропадёт. В Windows же администратора cвёрнутый в трей клиент Dark Comet немедленно сообщит, что в сети появилась жертва (если вы не настроили другое). Развернём окно клиента. Точно, появился пользователем с IP адресом и простой информацией по его геолокации:
нажмите, чтобы посмотреть
Отправимся в настройки клиента DarkComet-RAT — Client Settings — Function Manager и активируем все настройки окна, не забыв нажать Apply:
Одно мгновение, и Windows жертвы под вашим контролем.
Как работает Dark Comet. Что может хакер?
Всё, что угодно. Вот как начинаются неприятности на стороне жертвы:
видя такое, насторожится любой пользователь — это атака в лоб
Теперь напишем ему:
Смотрим в виртуалке. Есть контакт:
В клиенте в той же Client Settings есть и такая вкладочка:
Но это шутки. Настройки же от System Functions и ниже позволяют разобрать систему жертвы по полочкам, заставив выдать все секреты компьютера. Потренируйтесь, описание функций клиента трояна есть в статьях по ссылкам в начале статьи. В заключительной статье блога Компьютер76 мы разберём, как видит троян сама Windows, что конкретно, и как работает Dark Comet на уровне кода и реестра системы. И как, наконец, от его избавиться.
Выберем расширенный путь настройки сервера:
В окне ниже Network Settings проторим дорожку к нашему компьютеру с настраиваемым сейчас клиентом. Укажем порт и адрес, на который будет стекаться информация. С портом всё ясно — 1555. Для того, чтобы узнать свой адрес в локальной сети, откройте cmd и наберите команду:
Локальный localhost в окне Dark Comet стираем и добавим нам известный по окну консоли локальный по сетке IP адрес и номер порта. Не забудьте нажать кнопку ADD:
Переходим в настройки запуска модуля на будущем сервере. Активируем настройки, выбираем местоположение трояна, его имя с папкой (MSDCSC\msdcsc.exe), название трояна, как его увидит жертва (NvidiaDrivers — обычно такие имена пропускают мимо глаз). Вобщем, хакер знает, где его искать, когда троян скроется от глаз жертвы.
Переходим к окну сообщения. При атаке хакеру оно не нужно, администратору — иногда, а нам, так как советую пока держать процесс под контролем (насколько это вообще возможно), оно необходимо. В этом окне мы настроим диалоговое окно, которое появится после успешной установки трояна. Я ввёл вот такой текст и выбрал вот такой значок (по нажатии на кнопку TestMessageBox вы можете его увидеть прямо сейчас):
Запускать его сейчас не нужно — это вы поняли, думаю?
Теперь переходим в настройки клиента Client settings. Нам понадобятся 2 пункта. Сначала настроим клиент на пароль (всё тот же 112233). Вводим его:
Не закрывайте окно настроек личного кабинета. После завершения процедуры регистрации, процедуры проброса портов проверьте, готов ли порт к приёму информации. Для этого можно скачать маленький модуль с самого No-IP или воспользоваться настройками Dark Comet. Я предлагаю первый вариант. Спуститесь в личном кабинете No-IP чуть ниже и найдите ссылку для скачивания клиента:
Переходим по ней и попадаем в окно закачек. Качаем, а затем устанавливаем:
И сразу проверим, работает ли порт. В клиенте No-IP пройдите по настройкам:
Если сервис выдаёт ошибку текстовым сообщением на красном фоне, ещё раз проверьте:
Одно мгновение, и Windows жертвы под вашим контролем.
Смотрим в виртуалке. Есть контакт:
Но это шутки. Настройки же от System Functions и ниже позволяют разобрать систему жертвы по полочкам, заставив выдать все секреты компьютера. Потренируйтесь, описание функций клиента трояна есть в статьях по ссылкам в начале статьи. В заключительной статье блога Компьютер76 мы разберём, как видит троян сама Windows, что конкретно, и как работает Dark Comet на уровне кода и реестра системы. И как, наконец, от его избавиться.