Трояны удаленного доступа (RAT) – что это такое и как защитить от них ⚕️

Как я на RAT’ник попался ⁠ ⁠

Здравствуйте, форумчане! Это мой первый пост, раньше только достал ленту.

Сейчас речь пойдет о таком трояне, как RAT, также известный как «крыса». При запуске ни в чем не подозревающий пользователь включает послушную определенного открытого порта, по которому злоумышленник и передаёт команды.

Java script тоже может быть ратником. Его даже можно зашифровать, так что содержимое вам будет не доступно. И один раз я такой запустил, вставив его в свой HTML файл, думая, что это скрипт для плавной прокрутки страницы. Не судите строго, это было давно. И тут понеслось.

Первым делом на рабочем столе появилась «невидимая» папка,в которой появились какие-то логи. Далее проц запыхтел под 60 процентов. Ну я как довольно опытный юзер винды сразу пошел перезагружать комп и заходить в безопасный режим, чтобы там с CureIt
все подчистить. Но какого было мое удивление, когда безопасный режим стал неактивным. «Все, » — думал — «капец моему кому, буду Линукс от греха подальше ставить». Но на этом все не закончилось, ратник перед перезагрузкой успел расплодиться на все подключенные диски и USB. А у меня их было много подключено. Установил Линукс абунту, все убрал.

Никогда не запускайте и не используйте JavaScript’ы из не проверенных источников, особенно если их содержимое приблизительно равно:

// AaahaaaAASSBAaaaaa shsssssaaaaa aaaaa AAA
// Asssaaabasaaaassssaa aasadccsaaaa

Это не точный пример, но будут примерно 1000 таких строк.

P.S. Avast — фигня. Юзайте что угодно, но только не Аваст, даже не premier версию!

Советчик мамкин. Как ты до клавиатуры то дотянулся.

Иллюстрация к комментарию

Как реализовать совет: «Никогда не запускайте и не используйте JavaScript’ы из не проверенных источников»?

Я вот даже не знаю как выглядят JavaScript’ы, а про их источники .

Для серфинга по сети удобно использовать виртуалку — вирус за ее пределы не выберется. Потом грохаешь ее и все.

Ну всё, понеслась. Школота вышла на каникулы! =(

Итак, что такое RAT?

Троян удаленного доступа – это разновидность вредоносного ПО, которое позволяет хакеру удаленно (отсюда и название) получить контроль над компьютером.

Давайте проанализируем имя.

Троянская часть рассказывает о том, как распространяется вредоносное ПО.

Это относится к древнегреческой истории о троянском коне, который Улисс построил, чтобы вернуть город Трою, который был осажден в течение десяти лет.

В контексте компьютерного вредоносного ПО, троянский конь (или просто троян) представляет собой вредоносное ПО, распространяемое как-то еще.

Например, игра, которую вы загружаете и устанавливаете на свой компьютер, на самом деле может быть троянским конем и содержать некоторый вредоносный код.

Что касается удаленного доступа RAT, то это связано с тем, что делает вредоносная программа.

Проще говоря, это позволяет его автору иметь удаленный доступ к зараженному компьютеру.

И когда он получает удаленный доступ, у него практически нет ограничений на то, что он может сделать.

Это может варьироваться от изучения вашей файловой системы, просмотра ваших действий на экране, сбора ваших учетных данных для входа в систему или шифрования ваших файлов, чтобы затем потребовать выкуп.

Он также может украсть ваши данные или, что еще хуже, данные вашего клиента.

После установки RAT ваш компьютер может стать концентратором, откуда атаки будут запущены на другие компьютеры в локальной сети, что позволит обойти любую защиту периметра.

Майнер NT Kernel & System под видом Realtek HD

Дело было одним вечером, сижу я значит ничего не заподозрив, понимаю что уж сильно начал шуметь мой компьютер.
Подумал ну Яндекс браузер кушает процессор плюс видео в ютубе, ай да забыл я об этом.

Вдруг 4-ый день этого жёсткого звука меня пробило насквозь. Что-то тут не так.
При запуске компьютер только только появился рабочий стол процессор шумит с видеокартой на максимум.
Беру дело в руки открываю диспетчер для просмотра активности вижу спокойный результат.
Уши не обманешь слышу как кулеры в ПК становятся тише.

АГА ЗНАЧИТ ВОТ ОНО КАК, сразу в голову приходит мысль что тут что-то ведь не ладное.
Открываю я значит программу для просмотра FPS в играх (там ещё показывается температура, нагрузка всех цепей), закрываю диспетчер задач, вижу опа через секунд 15, что процессор что видеокарта идут в разрыв, понимаю что нада копать глубже.

Я понимаю что программа виндовса которая отвечает за прерывание находится в папке с звуковыми драйверами, к тому же она полностью пустая. Вижу как мой диспетчер закрылся сам по себе.

Тут я уже всё понял и знал куда копать начал проверку на вирусы делать, нет ничего абсолютно.
Проверял я Microsoft Defender доверия к нему больше. В итоге 0

ставлю на скачку Dr.Web при установке выдавало ошибку постоянно.

Вирус начал закрывать установщик я психанул открыл диспетчер и просто закрывал этот вирусняк. В общем я установил его он запросил перезагрузку, я с вздохом перезагружаю ПК

Господи он начал сам перезагружаться 6 раз

На 7 выдало ошибку какую-то (жаль нету фоток)
Я с горем пополам вижу справа в углу мою любимую службу которую он заблокировал.

163283044415129301

1632830384196919969

Комплектация

В экипировку «Ратник» входит:

  • бронешлем;
  • защитные очки;
  • бронежилет;
  • комбинезон;
  • универсальный рюкзак;
  • защитные щитки;
  • оружие и оптика.

Многослойная каска массой около 1-го кг. Предназначена для защиты головы солдата во время боя (она способна выдержать попадание пистолетной пули даже с малого расстояния), но не только.

В шлем встроена система связи и монокулярный экран, на который передается изображение с прицела оружия. Глаза защищают особые очки, стекла которых способны выдержать попадание 6-миллиметрового осколка на скорости 350 метров в секунду. Сюда же крепится электрический фонарь и звукозащитное приспособление.

Прибор защищает солдата от шума выстрелов и взрывов, усиливает человеческую речь, возможно крепление рации.

Бронежилет

Бронежилет 6Б43, масса – 15 килограмм (в полном комплекте), без накладных элементов – 9. Обеспечивает защиту верхней части тела от пуль, осколков, холодного оружия.

Защитные щитки выполнены из новейших материалов, предназначены для защиты локтей, колен, плеч, паха от осколков и пуль. Достаточно удобная и рациональная защита, спасшая не одну жизнь.

Комбинезон

В состав входит стандартный маскировочный халат, материал которого пропитывается особым веществом, проводящим воздух и защищающим от влаги.

Благодаря этому кожа бойца «дышит», экипировку можно носить не менее двух суток. В зимнем варианте предусмотрена система обогрева. Она представлена автономным источником тепла АИСТ-1 или АИСТ-2.

По сути это химическая грелка, выглядящая как порошок в герметичной упаковке. На ней же указана инструкция по применению, меры безопасности и правила утилизации. Хотя данный способ обогрева имеет свои нюансы, в целом он достаточно удобен.

Помимо комбинезона, в комплект входит система жизнеобеспечения: водоочистительный фильтр, защищенные от воды и ударов армейские часы (впервые в комплекте), нож «Шмель», облегченная саперная лопатка, а также элементы электропитания экипировки.

Предусмотрена блокировка броней ультрафиолетового и инфракрасного излучения, благодаря чему солдата нельзя увидеть с помощью тепловизора.

Берцы

Летний и зимний варианты обуви, плотно сидящей на ноге. Возможно ношение в течение нескольких дней.

У неё другие приоритеты

У неё другие приоритеты

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

  • Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
  • Комп начал тормозить или скорость интернета значительно просела.
  • У вас увели пароль от соц. сетей или почты.
  • Подозрительный трафик в сниффере.

NJRAT обучение и помощь в работе

Предупреждение! Всё ниже описанное я не призываю исполнять и повторять, а лишь рассказываю и обучаю, чтобы вы могли знать как собран механизм взлома/обмана/и т.п.

Пожертвовать

NJRAT обучение и помощь в работе

NJRAT обучение и помощь в работе запись закреплена

Prizrok Os

Prizrok Os

Давид Гостянов

Давид Гостянов

Алек Новиков

Алек Новиков

NJRAT обучение и помощь в работе

NJRAT обучение и помощь в работе запись закреплена

@nekon4ik он же Роман, он же кидок, у такого человека много имён, во первых кинул на деньги, во вторых чуть ноут не угробил, не советую доверять этому человеку что либо настраивать так как он хуесосный кидок
И очень просто закинет вам винлок или какой либо другой вирус, как таких животных носит земля

Админ опубликуй что бы никто не попался на этого раба

Ребят, не ведитесь на таких мудаков
А то и бабу не будет и комп наебнут

Семен Пешняк

Семен Пешняк

Максим Банных

Максим Банных

NJRAT обучение и помощь в работе

NJRAT обучение и помощь в работе запись закреплена

Итак, еще один способ отключения ЭТОГО «№;%?№» АНТИВИРУСА ВИНДЫ)

Показать полностью.
(имя компьютера)HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender

*Щелкните правой кнопкой мыши по папке “Windows Defender”, выберите Создать > Параметр DWORD (32 бита).
*Назовите параметр DisableAntiSpyware и нажмите Enter.
*Щелкните дважды по созданному ключу и установите значение от 1, затем нажмите ОК.

*Щелкните правой кнопкой мыши по папке “Real-Time Protection”, выберите Создать > Параметр DWORD (32 бита) и создайте следующие параметры:
*Назовите параметр DisableBehaviorMonitoring и нажмите Enter. Щелкните дважды по созданному ключу и установите значение 1, затем нажмите ОК.
*Назовите параметр DisableOnAccessProtection и установите значение 1, затем нажмите ОК.
*Назовите параметр DisableScanOnRealtimeEnable и нажмите Enter. Щелкните дважды по созданному ключу и установите значение 1, затем нажмите ОК.
*Назовите параметр DisableIOAVProtection и нажмите Enter. Щелкните дважды по созданному ключу и установите значение 1, затем нажмите ОК.
*Перезагрузите компьютер

NJRAT обучение и помощь в работе

NJRAT обучение и помощь в работе запись закреплена

после перезагрузки не включается вирус?
а вы отключили антивирус только на сеанс!

как с этим бороться? пфф, easy? bro? easy)

Показать полностью.
для того, чтобы удалить антивирус мы воспользуемся командной строкой

1) В командной строке введите wmic

2) Введите команду product get name — это отобразит
список установленных на компьютере программ.

3) Теперь, чтобы удалить конкретную программу,
введите команду: product where name=”имя программы” call uninstall —
в этом случае перед удалением вас попросят подтвердить действие.
Если вы добавите параметр /nointeractive то запрос не появится.

4) По завершении удаления программы вы увидите сообщение
Method execution successfull. Можно закрыть командную строку.

NJRAT обучение и помощь в работе

NJRAT обучение и помощь в работе запись закреплена

В данном посте мы будем изучать методы маскировки вируса, на примере RAT’ника (Если вам нужно посмотреть, как создать RAT-вирус — посмотрите моё прошлое обучение).

I) Первый способ Крипта вируса заключается в скрытии вируса под картинкой, но в этом способе есть минус. Вирус не будет открываться, но будет внутри самой картинки. Чтобы его просмотреть нужно будет открыть архив данной картинки и вы увидите вирус. Этот метод в основном годится больше, чтобы прятать свои файлы, нежели криптовать вирус.

Нужно прописать команду в CMD, примерно всё будет выглядеть так:

C:Files>copy /B kartinka.jpg+virus.exe result.jpg

В итоге создастся картинка в которой будет скрытый вирус.

II) Второй способ Крипта вируса заключается в совмещении двух программ типа .exe. Первым делом нужно прописать в «Пуске» команду «выполнить». Прописываете «iexpress» (без кавычек). А дальше просто нажимаете:

>Добавляем два файла .exe. Добавляем вирус и какую-либо безвредную программу.

>В первую строку выставляем безобидный .exe файл;

Во вторую строку выставляем вирусный .exe файл

>Ставим галочку напротив «Hidden»

>Ставим галочку напротив пункта «Hide File Extracting Progress Animation from User;

Переименовываем и сохраняем полученный файл

>Галочка напротив пункта: «No restart»

>Галочка напротив пункта: «Don’t save»

После открытия полученной программы будет сначала открываться безобидный .exe файл, но после закрытия будет начинать работать уже вирусный файл.

III) Третий способ Крипта вируса заключается в маскировке вируса под картинкой, но уже с открытием самого вируса. Здесь есть 2 минуса:

во-первых, картинка будет подозрительно долго открываться,

во-вторых, картинка сама не будет отображаться на экране, если вид значков будет большой, потому что мы просто-напросто будем загружать .ico файл с видом значка картинки.

Добавляем в архив картинку и вирус:

1) Метод сжатия максимальный

2) Поставить галочку напротив пункта «создать SFX-архив»

Дополнительно: Параметры SFX:

1) Общие: C:Program FilesGames (К примеру)

2) Установка: выполнить после распаковки: имя_картинки.jpg (и в этом же окне через Enter вписываем) имя_вируса.exe

3) Режимы: скрыть всё.

4) Обновление: Ставим галочки напротив пунктов: «Извлечь и обновить файлы» и «Перезаписывать все файлы без запроса» (т.е. галочки напротив двух пунктов «2»)

5) Текст и графика: Загрузить значок из SFX-файла и вставляете .ico файл.

Получаем обычный RAT-вирус с иконкой картинки.

Далее нам понадобится поменять местами имя_файла и .exe. Примерно это будет выглядить так Relexe.jpg. Как видите .exe просто зеркально поменялся местами с .jpg.

Чтобы так сделать, нужно скачать либо Neanderthal, либо Unicodeinput.

Эти две программы работают совершенно одинаково, только в первой всё работает автоматически, а во второй нужно уже будет через CMD вводить свои команды.

Я оставлю ссылку на Яндекс.Диск (в конце статьи) через которую вы сможете скачать данные для крипта вируса.

1) Начнём с Neanderthal программы.

Для её использования нужно подготовить среду работы. Тобишь для начала нужен будет регистратор. Всё будет в Яндекс_Диске. Включаете Resgistrator .OCX.exe и жмёте Register.

Далее уже заходите в данную программу, выбираете Вирус и меняете местами визуально расширение. Сохраняете. Всё готово.

2) Можно поступить другим способом с помощью программы Unicodeinput.

Открываете данную программу, далее открываете CMD.

Примерно всё выглядеть будет так:

C:Files>copy virus.exe virus (на этом моменте зажимаете «Alt»+»+») (Вписываем в окне «202E» без кавычек) (убираете все «+», если они поставились в CMD) (далее в этой же строке пишите:)gpj.exe (как понимаете gpj- это просто-напросто jpg в зеркальном отражении).

Нажимает Enter. Всё готово.

IV) Четвёртый способ маскировки вируса заключается в запароленном архиве. Устанавливать пароль для вируса нужно, чтобы антивирус не начал сразу же детектить ваш вирус.

Начнём. Для начала нам нужно 2-3 файла. Первый файл- вирус, Второй файл- .bat и Третий файл по желанию- либо картинка, либо программа, которая будет запускаться вместе с вирусом.

1) Сначала нужно создать вирус под паролем.

Добавить вирус в архив.

-1) Метод сжатия максимальный

-2) Поставить галочку напротив пункта «создать SFX-архив»

-3) Поставить галочку напротив пункта «создать непрерывный архив»

-4) Поставить галочку напротив пункта «заблокировать архив»

Дополнительно: Параметры SFX:

-1) Общие: C:Program FilesGames (К примеру)

-2) Установка: выполнить после распаковки: имя_вируса.exe

-3) Режимы: скрыть всё.

-4) Обновление: Ставим галочки напротив пунктов: «Извлечь и обновить файлы» и «Перезаписывать все файлы без запроса» (т.е. галочки напротив двух пунктов «2»)

-1)Установить пароль (возьмём пароль: 123)

В итоге получаем файл: имя_вируса.sfx.exe

2) Создаём блокнот. Прописываем туда эту команду:

имя_вируса.sfx.exe -p123 -dc:program filesgames

И сохраняем как .bat файл.

Это нужно для автоматического открытия вируса без ввода пароля.

3) Выделяем вирус, .bat файл и внешнюю программу (т.е. программу, которая нужна какому-либо пользователю- в основном безобидная) (или картинку, в зависимости что нужно жертве) создаём архив.

-1) Метод сжатия максимальный

-2) Поставить галочку напротив пункта «создать SFX-архив»

-3) Поставить галочку напротив пункта «создать непрерывный архив»

-4) Поставить галочку напротив пункта «заблокировать архив»

Дополнительно: Параметры SFX:

-1) Общие: C:Program FilesGames (К примеру)

-2) Установка: выполнить после распаковки: имя_файла.bat

выполнить до распаковки: внешняя_программа.exe

-3) Режимы: скрыть всё.

-4) Обновление: Ставим галочки напротив пунктов: «Извлечь и обновить файлы» и «Перезаписывать все файлы без запроса» (т.е. галочки напротив двух пунктов «2»)

-5) Текст и графика: Загрузить значок SFX из файла.

(Если вам нужен значок именно определённой программы, можете открыть архив данной программы через 7-zip. Далее просто ищите файл .ico и просто загружаем этот значок в Тексте и Графике.

Как понимаете III и IV способы можно комбинировать получая например программу Relexe.mp3, Relexe.jpg, Relexe.txt и т.д. Под которой будет запароленный вирус, батник для автоматического открытия запароленного вируса и нужный жертве файл.

Нужные файлы для маскировки RAT’ника:

Камадо Танджиро

NJRAT обучение и помощь в работе

NJRAT обучение и помощь в работе запись закреплена

Многие люди, в том числе и мы с вами частенько задаёмся вопросом о том как же можно привлечь других, совершенно не знакомых нам людей, на нашу сторону?
Кто-то это делает в политике для привлечения избирателей, кто-то в магазине, чтобы у него хоть что-то купили.
Как часто вы ходите в гипермаркет? Нет, ну серьёзно. Сколько раз к вам подходит продавец-консультант, чтобы что-то продать?
Показать полностью.
Я уверен, что часто. Порой даже больше чем нужно.

Мы же сейчас будем рассматривать методы распространения наших вирусов
Для начала давайте определимся с нашей основной целью.
1) Мне кажется, что моя вторая половинка мне изменяет (кстати, у меня было именно так)
2) Я просто хочу протестить новый софт/мне стала интересна эта тематика
3) Я хочу просто поугорать над друзьями

Ладно, с основными целями разобрались, но всё ли так легко?
Ничуть!
Первостепенной проблемой выпадает выбор софта (ну, в блоге есть название, так что думаю, что все понимают о чем идёт речь).
Второй проблемой с которой часто сталкиваются не понимающие люди — это порты. С тебя если открытие портов — это тот еще геморрой
(возможно, когда-нибудь я напишу длиннопост о том, как же их всё-таки открывать).
Итак, ладно, порты мы типа открыли, поехали дальше.
следующим шагом нам нужно узнать наш истинный ip адрес и сделать его статическим.
Затем нужна «жертва». Для начала советую использовать виртуальную машину, чтобы попусту не палиться.
Окей, всё замечательно мы настроили билдер и сделали свой вирус.
Теперь лишь остаётся втереться кому-либо в доверие под предлогом, например, «надо прогу проверить, а то у меня открывается» (естественно можете придумать что-то своё)
Та-даааа «жертва» в нашем списке, теперь самое время пошалить

И да, если вы будете себя плохо вести, то.
УК РФ Статья 272. Неправомерный доступ к компьютерной информации

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector