Как настроить вирус darkcomet



Так-как меня достали уже спрашивать, решил загнать всё в одну тему, с ответами на вопросы.

Итак вопросы:

1. Что такое DarkComet и есть-ли официальная поддержка ?

DarkComet - Это программа, класса удалённого администрирования, но в отличие от легальных программ, имеет возможность скрытой установки, плюс многие сборки имеют достаточно широкий функционалл, например кейлоггер и т.д.

Проект был закрыт в 2012 году, т.к. автор незахотел поддерживать малварьщиков, подробнее здесь:DarkComet-RAT Official Website

Так-что оффициальной поддержки нет и не будет.

2. Где можно скачать сборки программы без вирусов и смс ?

Ответ:

У нас на форуме есть тема DarkComet RAT (все версии) где можно скачать разные сборки.

3. Как настроить сборку ?

Ответ:

В сети есть куча инструкций, да и в целом программа имеет понятный интерфейс, но вот простенький манн для совсем новичков:

Как использовать DarkComet - подробная интсрукция:

Наверно многих интересует как настроить комету, а так же как ее использовать. В этой статье я расскажу и покажу как это делать.

После регистрации нам нужно создать Host


В HostName пишем любой домен, который нравится. Через него будем перенаправляться на наш IP. В поле IP Adress пишем наш IP, Остальное как показано на картинке.


Хост мы создали. Теперь приступим к созданию стаба.

Для начала нужно открыть порты, делается это во вкладочке Scoket/Net. В поле порт указываем любой порт (обычно это 1604). И жмем Listen.


Отлично, теперь уже создаем стаб. Переходим по DarkCometRat -> ServerModule -> FullEditor
У нас открылось окно создания стаба. Давайте детально рассмотрим вкладочки.

1. MainSettings
Ничего особенного, просто тыкаем пару раз на кнопочку Random и пишем удобный для нас Server Id.


2. Network Settings
Самые важные настройки в поле IP/DNS указываем свой IP (если IP статичный) или Host (который создали в самом начале) если IP динамический. В поле Port указываем порт, который мы открыли в начале. И жмем ADD.


3. Module Startup
Это запуск нашего стаба вместе с WINDOWS, если да, то ставим галочку и выбираем куда сохранять наш сервер. Остальное не трогаем.


4. Install Message
Можем выбрать сообщение при запуске стаба, лучше не включать.

5. Module Shield
Функции стаба, сами разбирайтесь, я не трогаю.

7. HostFile
Можно прописать значения в файл Hosts

8. File Binder
Отличная функция склейки файлов. Делается все очень просто, выбираем exe и жмем add.


9. Choose Icon
Выбор иконки стаба. Можно загрузить свою или выбрать из предложенных.

10. Stub Finalization
Собственно создание самого exe файла. Можно сжать upx или MPRESS. Я обычно не сжимаю. Жмем Build the stub и сохраняем в любое место. Осталось кинуть этот файл жертве.


4. Будет-ли детектить сборку антивирусы ?

Ответ:

Да-разумеется, т.к. сборки старые. Вам нужны крипторы хорошие, ну и сама сборка должна-быть минимальна, т.е. без всяких там добавление в автозагрузку и т.д.

5. Есть-ли уязвимости в сборках ?

Ответ:

DarkComet RAT - в простонародье "Комета" была создан в 2008, в 2012 проект был закрыт, т.к. автор посчитал, что его инструментом пользуются не в благих целях, а в целях взлома и хакинга. Побоявшись ответственности автор прекратил разработку DarkComet RAT и проект был заморожен. Хотя мне кажется, что изначально он и был создан как клиентская часть вируса, а не как утилита, хотя может быть я и ошибаюсь.

Что означает аббревиатура RAT?

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. C этого момента компьютер жертвы под полным контролем злоумышленника.

Настройка Dark Comet: подготавливаем модуль сервера

Проходим по пути:

DarkComet-RAT — Server module — Full editor (expert)



режим эксперта настройки

По нажатии мы попадаем в окно настройки модуля, который будет функционировать на стороне жертвы. Третий (условно) квадрант окна программы содержит настройки, которые администратор должен изменить поэтапно. Итак:



настройки dark comet

В этом окне нам необходимо установить пароль для шифрования трафика. Однако тот же пароль нужно продублировать в настройках со стороны хакера (иначе ни одного клиента он не увидит).DWH - Форум по обмену приватной информацией. Сгенерируем ID сервера, изменим название профиля, мьютекс процесса. Нижняя часть окна Active FWB содержит три пункта обхода фаервола (однако программа сама предупреждает, что настройку лучше не активировать, если вы собираетесь шифровать клиента, использовать его в песочнице и если компьютер, на котором клиент будет работать, не будет защищён фаерволом). Окно Main Settings настраивается в интересах администратора, остальные касаются компьютера жертвы.

В нём выбираем IP адрес, на который будет приходить информация, и номер порта. Кнопкой ADD можно добавить несколько IP адресов — чертовски полезная настройка, но не стоит ей пренебрегать: исходящий трафик на кучу адресов — заметная операция даже для жертвы-дилетанта. Но при опробывании программы — неоценимая настройка. К ней мы вернёмся уже на конкретных примерах.

Что касается номера порта. Тот, что умолчанию, сразу отметаем и выберем в диапазоне до 1000. Этот порт должен быть открыт для приёма прежде всего на вашем компьютере, так что нам нужно, в том числе, пробросить установленный порт.

Здесь выставляются настройки клиента, которые никак нельзя отнести к безобидным: благодаря им программа справедливо относится к категории полноценных троянов. Итак, активируем модуль (клиент будет запускаться на компьютере жертвы вместе с Windows). Немедленно активируются остальные настройки Dark Comet. Хакер может выбрать несколько конечных точек для хранения тела трояна: они видны по нажатии по кнопке Install Path. Это директория с Документами, Рабочий стол, папка Windows, кукисы и т.д. Если тренируетесь, имя (Install Name) и место файла не будут иметь значения. Если атака готовится тщательнее — хакер спрячет троян в папку поглубже, а назовёт знакомым любому пользователю именем, чтобы не вызвать у того подозрений:



как спрятать dark comet

  • Melt file after first execution — после запуска файл исчезнет из поля зрения жертвы
  • Change the creation date — дата создания файла в его описании будет такой, какой установите — важнейший момент в отвлечении противника
  • Persistence Installation option — принудительная установка — обязательная для хакера опция.
Наконец, нижняя часть окна настройки Installed module file attributes устанавливает 2 самых важных атрибута для самого файла и родительской папки: Скрытый, Системный.

Окно Install Message — здесь можно будет вложить сообщение, которое отразится в окне программы после установки программы, если всё прошло как следует:



сообщение от dark comet

Module Shield section — также для хакера крайне важно. Это окно позволяет последовательно:



защита модуля Dark Comet

Да, теоретически трояна можно запрятать так глубоко, что сам потом не найдёшь. Однако любой более-менее грамотный пользователь сразу может заподозрить неладное: UAC молчит, брандмауэр выключен, Диспетчер задач не работает… Никуда не годиться.

Это окно позволяет перехватывать набираемые символы с клавиатуры, отправляя затем логи по указанному адресу. Обратите внимание, что окно выбора FTP тропки можно и не указывать:



кейлогер dark comet

Настройки Hosts file позволят подменить одноимённый файл .hosts.

Серьёзная заявка, в которой хакер может направить жертву только на конкретные сайты или, наоборот, запретить посещение других вплоть до полного отключения от интернета.

Пропустим пока плагины Add plugins и File Binder — обещаю к ним вернуться ибо они позволят расширить троян и прилепить его к нужному файлу: сейчас рассматривается только настройка Dark Comet как тела трояна. Также нарочито пропустим иконки, предлагаемые в Choose Icone — они допотопные и бросаются в глаза.

Завершает настройки модуля трояна. Предлагает на выбор вариант исполнения трояна: в каком виде он запустится. Здесь есть:

  • .exe файл — троян будет представлен в качестве маленькой утилитки
  • .com — в виде DOS утилиты (без значка где бы то ни было)
  • .bat — батник (без значка где бы то ни было)
  • .pif — ярлык DOS утилиты ( на современных версиях очень уж бросается в глаза)
  • .scr — в виде Хранителя экрана
С возможностью сжатия всё ясно: особого смысла я пока не вижу в этих настройках, хотя файл, к которому троян приклеят, может быть и сам невеликих размеров. Так что по усмотрению. Ссылка на подделывание трояна под рисунок вверху статьи.

Общая настройка Dark Comet завершена. Создание модуля трояна начнётся по нажатии самой нижней кнопки Build the stub. Процесс будет отображаться тут же в окне:



подготовка Dark Comet

Ссылку на скачивание не прикладываю, чтобы не было потом вдруг, что я с чем-то склеил и т.д. Всё можно найти в сети, используйте дедики или виртуальные машины))

































DarkComet RAT (троян удаленного доступа) для взлома Windows
  • Страница 1 из 1
  • 1
† fucking school †


[graytable] DarkComet RAT (троян удаленного доступа) для взлома Windows | Шпионим за Windows


Вечером решил написать небольшой мануал по настройке такого софта ка DarkComet RAT, для тех кто не знаком с данным софтом я объясню в кратце что это программа(троян) для удаленного управления чужим компьютером

Это темная материя, ну это троян или, можно сказать, RAT. Которые могут быть использованы для многих целей вашей целевой системы, таких как ключи входа в систему, отправка сообщений жертве, выключение его системы, создание невидимых значков и многое другое. Во-первых, нам нужно скачать это. Вы получите эту папку и внутри нее у вас есть файл точка EXE. Поэтому, когда я запускаю эту программу, я получаю интерфейс этого плохого инструмента для создания вируса или RAT. Как бы ты это ни назвал? Нам нужно перейти сюда в разделе DarkComet Rat и сказать серверный модуль, и здесь мы выберем полный редактор. Он попросит вас ввести пароль безопасности, который вы не хотели бы изменять, и здесь он говорит, что обрабатывает мьютекс и оставляет его. , Процесс, где он будет активирован, но все, что мы можем сказать, обойти брандмауэр. Так что это будет немного шуметь, поэтому я просто не буду проверять это здесь.

Далее вы получите настройки сети, под этим укажите свой IP-адрес. Поэтому я хочу проверить свой IP-адрес, поэтому я просто открою командную строку и произнесу IP-конфигурацию. Мой IP-адрес, где он говорит порт по умолчанию. Я просто пойду с этим портом, только вы можете выбрать любой порт здесь. если вы делаете это, когда вам нужно перенести порт, и вы должны ввести свой публичный IP-адрес здесь. Здесь установите сообщение, поэтому здесь я поставлю галочку и название будет вас взломали. В текстовом сообщении вы можете сказать, что вы хотите, вы можете выбрать значок. у нас есть модуль щита, это некоторые расширенные настройки в этом инструменте, которые будут придерживаться основных вещей здесь. В нем говорится о ключевых уровнях, поэтому он будет активирован, если цель находится в автономном режиме, получит нажатия клавиш, и есть еще пара опций, и вы можете настроить их.

Как использовать darkcomet?

Я создам точечный файл EXE. Каким будет торсион и его нужно отправить к цели. Давайте сохраним его на рабочем столе, и я назову имя. То, что вы хотите сделать, это отправить этот файл точка EXE в вашей целевой системе или целевого пользователя. Здесь вы будете использовать навыки социальной инженерии, которые вы можете отправить ему по почте и сказать, что у вас есть новое программное обеспечение. Вы хотите использовать это. Он мог скачать это и запустить это. Ему просто нужно щелкнуть по нему, чтобы начать установку или что-то в этом роде, вы можете загрузить его на медиа-файр или аналогичные веб-сайты и отправить ему ссылки в систему. Вы можете поделиться им в социальных сетях, все зависит от того, как вы выполняете свои планы.

У вас есть шанс скачать DarkComet Rat, давайте обсудим это ниже. Здесь я использую эти машины и просто скопирую это. Я просто отрежу его, не запускаю. На вашем компьютере. Мы получим двух хостов, потому что один хост - это я. Я просто удаляю это. Этот IP-адрес здесь говорит, что V и это целевая система. Еще много вариантов мы увидим один за другим, поэтому сначала я скажу скрыть рабочий стол. Он будет скрывать значки на рабочем столе в целевой системе, и вы можете снова показать их, нажав на эту опцию. Многие другие опции, такие как скрытие значков задач. Вы скрываете значки задач, скрываете панель задач, она скрывает панель задач, я просто скажу, вы также можете отключить диспетчер задач, и всякий раз, когда пользователь будет пользователем Windows, он столкнется с некоторыми проблемы. Он пойдет к менеджеру задач, чтобы закончить его. Так что, если вы отключите это, то у него не будет выбора, а только перезагрузка компьютера. Здесь говорится о действиях на компакт-диске, вы можете открыть компакт-диск или закрыть его и многое другое. Вы можете напечатать сообщения здесь. “Я скажу привет, как ты?„

Darkcomet rat процесс.

Вы знаете одну вещь? Средство для удаления rat Darkcomet - это инструмент, который поможет вам удалить dorkcoment. Когда вы отправите это, целевой компьютер получит сообщение с полным правом, и снова вы можете изменить тип значка здесь. это говорит о системной функции. Он покажет вам системный менеджер. Диспетчер процессов, удаленный реестр, удаленная оболочка. Если вы хотите настроить IP, тогда он будет отображать IP-адрес целевой системы. Таким образом, вы можете делать с этим все, что захотите, вы можете удалять файлы или добавлять скрипты там, где вы можете делать процессы эксплуатации, размещать файлы здесь. Шпионаж функции, где вы можете захватить видео файлы веб-камеры, звукозахват вы также можете сделать это на более рабочем столе. Вы можете начать захват, чтобы увидеть, если я просто скажу что-то вроде переподготовки, он покажет вам опцию Обновить. Откройте любой браузер в зависимости от вашего роутера, вы можете просто перейти к расширенным настройкам. Вы найдете открытые порты, тогда вам просто нужно ввести порт, который вы слушаете. Для сканеров открытых портов онлайн, он покажет ваши порты открыты или нет.

Следуйте шаг за шагом:

Шаг 1: Скачайте и установите darkcomet здесь: ttps://softfamous.com/darkcomet-rat-remover/


Шаг 2: Перейдите в users –> server module–> select full editor.


Когда вы выберете full editor, он автоматически откроет эту вкладку.


Шаг 3: Здесь выберите настройки сети. Измените IP-адрес и укажите номер порта.

IP/DNS: укажите ваш IP-адрес, 1604 - номер порта по умолчанию.


Шаг 4: Теперь перейдите к установке сообщения, если вы хотите отправить какое-либо сообщение своей жертве, введите здесь.


Шаг 5: Перейдите к экрану модуля, это очень продвинутые настройки. Вы хотите отключить любые функции, выберите здесь.

Шаг 6: Теперь выберите keylogger, здесь выберите автономный keylogger.


Шаг 7: Выберите завершение заглушки и создайте заглушку.

Автоматически скачивать .exe файл с указанием имени techshra.

Так что имя файла techshra.exe.


Шаг 8: Отправьте techshra.exe своей жертве.

Шаг 9: Перед тем, как перейти к установке в darkcomet, выберите socket/ net, измените номер порта прослушивания на 1604.


Шаг 10: Теперь установите .exe файл на компьютере жертвы. Следуйте рисунку ниже.

Как производится настройка Dark Comet на стороне жертвы?

Пожалуй, ни одной из современных работ в области удалённого администрирования не посвящено столько исследований и целых мировых конференций, как Dark Comet. Отчасти это связано с объёмом неприятностей, которые троян может доставить безалаберному пользователю, отчасти со якобы “скандалом”, связанным с участием трояна в слежении государственных органов Сирийской Арабской Республики за своими гражданами. Что здесь правда, что – нет, судить не мне, а потому приступаем.

Статьёй начнём серию, где разбираем работу популярного клиента удалённого администрирования в Windows Dark Comet, принцип работы, действия и последствия, а также как от неё – Кометы – избавиться.

Материала получилось много. Позволю себе разбить его на несколько частей. Так что читайте в продолжение:

Поправочка. Поисковики все мои ссылки на клиента забанили. Воспользуйтесь поиском по Пиратской бухте через прокси-сервера. Если появится возможность предоставить прямую ссылку, она будет здесь. Пока так…

СРАЗУ

  • В том виде, как она скачивается и в каком виде настраивается “прыщавыми хакерами”, она совершенно не подходит: перехватывается ещё на излёте даже Windows Defender-ом, созданный клиент на удалённом компьютере поставляется в виде легко читаемых файлов exe, bat и т.п.: ни о какой высокоорганизованной атаке и речи быть не может.
  • Если вам понравятся некоторые возможности программы, не стоит прямо сейчас погрузиться в сеть в поисках программы: 8 из 10 скачиваемых в сети копий Dark Comet заражены троянами, так что, просто распаковав архив, вы рискуете сами оказаться в числе жертв. Ситуация на забугорных сайтах ещё хуже – заражённые версии Кометы предлагаются в ссылках статей, где описываются основные настройки программы: ну как тут не попасться на удочку. С сайта разработчиков также скачать последнюю (проект уже давно заброшен: поговаривают, автору пригрозили расправой) версию не получится: нам предлагают только противоядие. Так что заведите сразу себе виртуальную машинку или вторую операционную систему: если что, никто не пострадает.
  • Предлагаемое в сети, в том числе на офсайте, средство удаления скрытого сервера Dark Comet не справляется со своей задачей: при удалении не стоит полагаться только на неё. Качественный способ удаления я предложу в одной из следующих статей.


Dark Comet в сети гуляет в двух видах: с установкой и портативной версиях. Последней и воспользуемся.

Запускаем из папки, настройка Dark Comet начинается.

Настройка Dark Comet: подготавливаем модуль сервера

Проходим по пути:

DarkComet-RAT – Server module – Full editor (expert)


По нажатии мы попадаем в окно настройки модуля, который будет функционировать на стороне жертвы. Третий (условно) квадрант окна программы содержит настройки, которые администратор должен изменить поэтапно. Итак:


Main Settings

В этом окне нам необходимо установить пароль для шифрования трафика. Однако тот же пароль нужно продублировать в настройках со стороны хакера (иначе ни одного клиента он не увидит). Сгенерируем ID сервера, изменим название профиля, мьютекс процесса. Нижняя часть окна Active FWB содержит три пункта обхода фаервола (однако программа сама предупреждает, что настройку лучше не активировать, если вы собираетесь шифровать клиента, использовать его в песочнице и если компьютер, на котором клиент будет работать, не будет защищён фаерволом). Окно Main Settings настраивается в интересах администратора, остальные касаются компьютера жертвы.

Network Settings

В нём выбираем IP адрес, на который будет приходить информация, и номер порта. Кнопкой ADD можно добавить несколько IP адресов – чертовски полезная настройка, но не стоит ей пренебрегать: исходящий трафик на кучу адресов – заметная операция даже для жертвы-дилетанта. Но при опробывании программы – неоценимая настройка. К ней мы вернёмся уже на конкретных примерах.

Что касается номера порта. Тот, что умолчанию, сразу отметаем и выберем в диапазоне до 1000. Этот порт должен быть открыт для приёма прежде всего на вашем компьютере, так что нам нужно, в том числе, пробросить установленный порт.

Module Startup

Здесь выставляются настройки клиента, которые никак нельзя отнести к безобидным: благодаря им программа справедливо относится к категории полноценных троянов. Итак, активируем модуль (клиент будет запускаться на компьютере жертвы вместе с Windows). Немедленно активируются остальные настройки Dark Comet. Хакер может выбрать несколько конечных точек для хранения тела трояна: они видны по нажатии по кнопке Install Path. Это директория с Документами, Рабочий стол, папка Windows, кукисы и т.д. Если тренируетесь, имя (Install Name) и место файла не будут иметь значения. Если атака готовится тщательнее – хакер спрячет троян в папку поглубже, а назовёт знакомым любому пользователю именем, чтобы не вызвать у того подозрений:


Повторюсь, это самое “вкусное” окно, в котором можно будет выбрать следующие параметры трояна:

  • Melt file after first execution – после запуска файл исчезнет из поля зрения жертвы
  • Change the creation date – дата создания файла в его описании будет такой, какой установите – важнейший момент в отвлечении противника
  • Persistence Installation option – принудительная установка – обязательная для хакера опция.

Наконец, нижняя часть окна настройки Installed module file attributes устанавливает 2 самых важных атрибута для самого файла и родительской папки: Скрытый, Системный.

Окно Install Message – здесь можно будет вложить сообщение, которое отразится в окне программы после установки программы, если всё прошло как следует:



Module Shield section – также для хакера крайне важно. Это окно позволяет последовательно:


Да, теоретически трояна можно запрятать так глубоко, что сам потом не найдёшь. Однако любой более-менее грамотный пользователь сразу может заподозрить неладное: UAC молчит, брандмауэр выключен, Диспетчер задач не работает… Никуда не годиться.

Keylogger

Это окно позволяет перехватывать набираемые символы с клавиатуры, отправляя затем логи по указанному адресу. Обратите внимание, что окно выбора FTP тропки можно и не указывать:



Настройки Hosts file позволят подменить одноимённый файл .hosts.

Серьёзная заявка, в которой хакер может направить жертву только на конкретные сайты или, наоборот, запретить посещение других вплоть до полного отключения от интернета.

Пропустим пока плагины Add plugins и File Binder – обещаю к ним вернуться ибо они позволят расширить троян и прилепить его к нужному файлу: сейчас рассматривается только настройка Dark Comet как тела трояна. Также нарочито пропустим иконки, предлагаемые в Choose Icone – они допотопные и бросаются в глаза.

Stub Finalization

Завершает настройки модуля трояна. Предлагает на выбор вариант исполнения трояна: в каком виде он запустится. Здесь есть:

  • .exe файл – троян будет представлен в качестве маленькой утилитки
  • .com – в виде DOS утилиты (без значка где бы то ни было)
  • .bat – батник (без значка где бы то ни было)
  • .pif – ярлык DOS утилиты ( на современных версиях очень уж бросается в глаза)
  • .scr – в виде Хранителя экрана

С возможностью сжатия всё ясно: особого смысла я пока не вижу в этих настройках, хотя файл, к которому троян приклеят, может быть и сам невеликих размеров. Так что по усмотрению. Ссылка на подделывание трояна под рисунок вверху статьи.

В генерации патча также отпала надобность – Dark Comet давно больше не обновляется (поговаривают, у создателя появились большие проблемы в связи с созданием программы). Нам осталось сохранение профиля для каждой из настроек – если эти настройки хакером заточены не под какую-то конкретную цель, а испробованы, например, как вариант для многих потенциальных жертв (по принципу “кто попадётся”), хакер попробует трояна в как можно большем количестве случаев и в разных сферах в сети.

Общая настройка Dark Comet завершена. Создание модуля трояна начнётся по нажатии самой нижней кнопки Build the stub. Процесс будет отображаться тут же в окне:


После того, как модуль трояна будет создан, на своей машине, думаю, ясно, что запускать его не стоит …

В следующий раз рассмотрим настройку сервера для сбора информации о жертвах: без настроек на стороне администратора проделанная работа – игрушки. Ссылки вверху статьи.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.