Сегодня мы познакомимся с RAT. Средством для удалённого управления компьютером. RAT - один из самых хорошо известных типов вируса. Его повсеместное применение привело к тому, что в сети существует достаточно много открытых реализацией его. Причём в этих бесплатных программах реализован весь ожидаемый от рата функционал. Поэтому зачастую при выборе рата останавливаются на уже имеющихся открытых вирусах.

njRAT

Самый популярный рат - njRAT. Он был создан ещё давно, но у него есть хорошая поддержка сообщества и много современных модификаций, а так же он прекрасно работает на x64 системах и windows 10. Наверное, вы что-то о нём уже слышали.

панель управления njRAT

В принципе, можно использовать его, когда в этом будет необходимость. К этому подталкивает и то, что вокруг него существует инфраструктура. Есть люди, которые занимаются криптованием его кода(что даёт лучший результат в сравнении с автоматическим криптом), причём криптуют даже сервер(это нужно, если на сервере, где он запускается, стоит штатный антивирус, который невозможно отключить). Но всё равно, njRat сейчас не монополист, и есть достойные альтернативы.

QuasarRAT

Это полностью open source решение. У него есть все основные функции для удалённого управления машиной. Главным преимуществом является то, что его можно скачать с официальной страницы, где находится проверенная версия. Некоторые функции у него работают нестабильно, например кейлоггер, но ботов держит нормально. Если rat требуется закинуть на машину без защиты, сделать что-то и удалиться, то это неплохое решение.

Панель генерации пейлоада QuasarRAT

Revenge-RAT

По функционалу он особо не отличается. Выделяет его возможность создавать действия по умолчанию. Хотя rat и не рассчитан на использование автономно, но тут есть небольшая возможность задать шаблон действий боту при появлении. Среди ратотв он более новый, но по функционалу больших отличий нет.

Панель управления revange-rat

Генерация payload и пример использования

RAT обычно не используется как основной компонент вируса. При массовых атаках это и невозможно, но если надо провести точечную атаку и уже есть представление что и где искать, можно не усложнять себе задачу и ограничиться только ратом. Поэтому надо иметь представление о том, как создать тело вируса, настроить его на работу со своей машиной и как принимать соединения.

RAT - вирус серверного типа. Нужна какая-то машина, которая будет выступать в роли сервера и принимать входящие соединения. Большинство клиентов работают на windows, поэтому нужен сервер на windows. В принципе, это может быть любая машина, даже дедик. Но должна быть возможность открывать порты на нём. Без возможности открывать порты и принимать подключения, к серверной части вируса невозможно будет подключиться. Обычно на всех windows серверах можно открывать порты, дополнительно можно убедиться, что IP адрес выделенный.

В качестве примера сегодня будем использовать QuasarRAT. Настройку будем выполнять локально, сервер на windows сейчас не понадобится.

TOR не предоставляет возможности открывать порты и слушать соединения. Поэтому в торе невозможно создать сервер вируса, только если сам вирус не поддерживает работу через onion сервис.

Подготовка

Нужна отдельная виртуальная машина на windows 7 или 10, без важных данных в системе. Как и большинство других RAT у QuasarRAT есть зависимости - необходимые компоненты в системе, чтобы программа запустилась. Самая часто встречающаяся зависимость - net framework. Это набор утилит microsoft для упрощения взаимодействия приложений с системой. Поскольку он повсеместно требуется сторонними приложениями, на компьютерах большинства пользователей уже стоят актуальные версии net framework. Но при настройке чистой виртуальной машины первым делом надо поставить недостающие компоненты. В случае использования windows 7 надо установить net framework 4. Лучше пользоваться standalone installer. Скачать его можно по ссылке https://www.microsoft.com/en-US/Download/confirmation.aspx?id=17718.

После установки net скачиваем и разархивируем quasar rat на рабочий стол виртуальной машины. Его можно скачать по ссылке https://github.com/quasar/QuasarRAT/releases

Генерация пейлоада

Запускем Quasar.exe. Принимаем пользовательское соглашение. В верхнем меню открываем пункт Builder. Это меню генерации пейлоада. В quasar есть все типовые настройки, сейчас я их перечислю.

Client Tag или просто tag - имя, которое будет доступно в панели управления ботами. Одновременно может производиться куча подключений, имя позволяет определить, откуда пришёл бот. Например, для распространения вируса используется почтовая рассылка и закупка исталов с бирж. Чтобы боты не шли вперемешку, для исталов с биржи делается отдельный билд. Тогда новых ботов с загрузки можно будет легко отфильтровать.

Mutex - метка выполняемого приложения. Она используется для определения, не выполняется ли программа уже в системе. Если запущенная копия с таким mutex уже есть в системе, то приложение просто закрывается. Это полезно, потому что сколько бы раз пользователь не запустил exe, бот в панели будет только один. При создании нового билда mutex лучше обновлять. Если не делать это особенно во время тестов, могут быть проблемы с отстуком. Для генрации нового случайного значения есть кнопка Random Mutex.

Вкладка Connection Settings

Тут самое главное указать IP сервера, к которому будет привязан клиент. Так же тут задаётся пароль. Он усложняет перехват ботов. Устанавливаемый на payload пароль надо запомнить, он потом понадобится при установке сервера.

Чтобы добавить IP надо занести его в соответствующее поле и нажать кнопку +, чтобы введённый IP появился в списке. Возможность менять порт нужна для запуска нескольких версий рата на одном сервере, но её можно использовать и для маскировки трафика. Например, если указать 80 или 443 порт для подключений, вирусную активность будет труднее обнаружить.

Installation Setting

Есть такой термин - персистент. Это установка в систему и сохранение доступа после перезагрузки или обновлении системы. Большинство вирусов поддерживают установку в систему. Но есть один нюанс: чем глубже вирус идёт в систему, тем проще становится его обнаружить. Поэтому использование персистента не всегда оправдано.

Assembly Settings

Это информация о exe, которая оставляется компилятором. Антивирусы при быстрой проверки часто опираются в том числе и на неё, поэтому переписывание assmembly information может помочь в снижении детектов. Поскольку на выполнение программы assembly information не оказывает никакого влияния, туда можно установить любые значения.

Завершение создания

После того как все настройки введены нажимаем кнопку Buld и выбираем путь для сохранения.

Принятие подключений

Для этого в меню главного окна открываем Settings, вводим туда порт как при создании рата и пароль, нажимаем Start Listening. Теперь при запуске exe пейлоада в панели будут появляться боты. Проверить работоспособность можно запустив созданный ранее exe.

Полевое использование

А теперь о том, как подготовиться к использованию рата в реальной атаке вне локальной сети. Вот основные отличия от тестового запуска:

1. Понадобится анонимно оформленный сервер на windows с выделенным IP.
2. Полученный exe потребуется закриптовать, если нет уверенности, что у жерты не стоит антивирус.
3. На сервере для приёма подключений лучше полностью отключить windows firewall, чтобы он не мешал подключениям.

При этом надо обратить внимание, что на некоторых хостингах все виртуальные машины на windows идут с не отключаемым антивирусом. Если он есть, то его можно найти в описании. Такие виртуальные машины лучше не брать, потому что антивирус помешает установить сервер вируса.