תוכנת מחשב זדונית המאפשרת שליטה וניהול מחשב מרוחק (RAT). תוכנה זו תומכת במערכות הפעלה חלונות מבית מיקרוסופט ומאפשרת למשתמש בה להריץ כלים ופקודות במחשב מרוחק.

התוכנה מאפשרת שליטה על מערכות הפעלה עם ממשק משתמש גרפי (GUI) ומציעה כלי תמיכה רבים המסייעים בפתרון תקלות. לדארקומט מספר כלים זדוניים המאפשרים לצלם מסך, ללכוד סיסמאות, רישום הקשות, הפעלת קבצים ועוד.




ניתן להוריד את הגרסה העדכנית ביותר של דארקומט דרך האתר הרשמי www.darkcomet.net או גרסאות קודמות דרך האתר https://www.rekings.com/darkcomet-rat-all-versions


* לאחר הורדת התוכנה נעבור אל התיקיה ונריץ את קובץ DarkComet.exe.


* לאחר ההרצה יפתח קובץ השרת ויציג פאנל לניהול המשתמשים.


* בעמודת Users - נקבל מידע אודות המשתמשים שהתחברו בעזרת קובץ הלקוח.
* בעמודת On Connect - נקבל מידע אודות הפקודות שרצו במחשב המרוחק.
* בעמודת Users Logs - נקבל מידע ופקודות יומן אודות תאריך התחברות.
* בעמודת Socket / Net - נגדיר את הפורט בו נאזין, ובחלק התחתון נוכל לראות את שהופעלו.

אם נרצה להתחבר למחשב מרוחק שאינו ברשת שלנו כל שעלינו לעשות הוא לפתוח פורטים בראוטר פעולה הנקראת (Port Forwarding). ניתן להשתמש גם בשרת עם כתובת חיצונית.
כאשר הבדיקה מתבצעת בתוך הרשת שלנו או הארגון אין צורך להשתמש ב-Port Forwarding.


* כדי להאזין בפורט חדש, יש ללחוץ מקש ימני על החלק העליון, לבחור ב-Add port to listen ולמלא את מספר הפורט הרצוי.


 



* כעת, עלינו ליצור את קובץ הלקוח בהתאם לפורט הנבחר.
יש ללחוץ על התפריט הכחול DarkComet-RAT --> Server module --> Full Editor.


* במסך הבא נגדיר את קובץ הלקוח לפי התנאים והמגבלות שידועות לנו מראש.
 

* בחלק השמאלי של המסך מופיעות כל ההגדרות של אותו הקובץ, לא חייבים למלא את כולן.


* במסך Network Settings נמלא את כתובת ה-IP שלנו, את הפורט שבחרנו בהתחלה, ונלחץ Add.




* במסך Module Startup נסמן ב-V אם אנחנו רוצים שקובץ הלקוח ירוץ יחד עם מערכת ההפעלה, באיזה נתיב, תאריך יצירה, קובץ מוסתר וכו' (ניתן לסמן בהתאם).


* במסך Install Message נסמן ב-V אם אנחנו רוצים שקובץ הלקוח יציג הודעה כלשהי לאחר ההפעלה.




* במסך Module Shield נסמן ב-V במידה ואנחנו רוצים שהפרוסס לא יופיע בשירות msconfig או להגדיר שבמדיה ועוצרים אותו הוא יחזור שוב וכו'.


* במסך Keylogger נסמן ב-V במידה ואנחנו רוצים לבצע רישום הקלדות ואם ברצוננו להעביר את הקובץ לשרת FTP.


* האפשרויות הבאות הן במידה ואנחנו רוצים להוריד קובץ או להוריד תוסף לאחר ההפעלה.
ניתן לדלג עליהם, לכן נעבור למסך Choose Icon ונבחר את האייקון הרצוי עבור הקובץ שלנו.


 * ניתן להוסיף אייקונים נוספים לתיקיית Icons בתיקייה הראשית של התוכנה.


* במסך Stub Finalization נבחר את הפורמט הרצוי ונלחץ  


* נבחר שם ונמתין לסיום. כל שנשאר לעשות הוא לשלוח את הקובץ ולהריץ במחשב המרוחק.


* לאחר הרצת קובץ הלקוח במחשב המרוחק, תופיע לנו הודעה והמחשב המרוחק יתווסף אל הרשימה בלשונית Users.


* לחיצה כפולה על המחשב הרצוי תציג את תפריט הפעולות אותן ניתן לבצע.


* ניתן לפתוח פסנתר, צ'אט, לשגר הודעות שגיאה, להפעיל את שורת הפקודה, להפעיל את המצלמה, המיקרופון, לצפות בשולחן העבודה ולרגל אחר מה שרואה המשתמש, לנעול, לאתחל, לכבות את המחשב ועוד מגוון רחב של פעולות אותן ניתן לבצע דרך פאנל הניהול המרוחק.


איתור בעזרת Process Explorer:
* לפני השימוש רצוי להוריד את אוסף הכלים המעודכן של Sysinternals:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

במקרה הנ"ל בחרתי שלא להסתיר את הקובץ כדי שנוכל לראות בבירור איך התהליך נראה, צריך לקחת בחשבון שהקובץ יכול להתחבא תחת תהליכים אחרים וגם תהליכים חתומים.


כפי שניתן לראות הפרוסס הנ"ל אינו חתום.


איתור בעזרת TCPView:


איתור בעזרת Process Monitor:




Share To:

פאביו ליאור רחמים

Post A Comment: