Friend
Professional
- Messages
- 2,653
- Reaction score
- 849
- Points
- 113
Сразу скажу, что статья рассчитана для совсем новичков и для тех, кому вообще не приходилось сталкиваться с данным софтом. Красноречием не обладаю, поэтому писать красивые слова не буду.
Статья пишется в ознакомительных целях. Напомню, что, неправомерный доступ к охраняемой законом компьютерной информации, то есть... бла, бла, бла. Сами знаете, в общем. Не будем о плохом, поехали!
Для обзора, взял версию Spy-Net 2.6 RAT. Скачать ее можно здесь. Пасс: csu
Spy-Net представляет собой клиент-серверную программу для скрытного удаленного администрирования, проще говоря - троян-бэкдор.
Существует много RAT-ов, но мне по душе этот. Хз почему. Более удобный в использовании я считаю.
Бэкдор состоит из 2-х частей: сервер и сам клиент. Сервер запускается на компе жертвы, а с помощью клиента мы можем наблюдать эту самую жертву.Back-Connect в общем. Думаю, понятен смысл работы зверушки.
Глянем на интерфейс софта, да и вообще, пробежимся по функционалу прожки. Гоу!
В левой части окна будет располагаться список с жертвами и их краткими характеристиками. В правой части отображается скриншот экран, а так же небольшая информация о жертве (ОС, имя компа, юзер, АВ и т.д.), которую вы выбрали в левой части списка.
Переключимся на англ. язык. Удобнее, по-моему. А сделать это можно так, для тех, кто не владеет испанским:
В общем, теперь надо понять, что за настройки здесь:
Automatic refresh desktop image - автоматическое обновление скриншота экрана в правой части клиента;
View FTP logs - с помощью этой команды можно посмотреть лог встроенного кейлоггера. Он сохраняется в текстовом формате в закодированном виде. То есть просмотреть его можно, только с помощью данной команды (в блокноте будет бяка);
Select Language - смена языка;
Hide detalis - скрыть правую часть окна клиента;
Select listening ports - с помощью данного меню мы выбираем порты, которые будет слушать клиент:
В поле вводим номер порта и нажимаем стрелочку. Оп! И клиент стал принимать на указанный вами порт. Про ограничение количества портов сказать ничего не могу. Пробовал больше 20, но лимита не обнаружил. Да больше то и не надо. Так же здесь присутствует поле для ввода пароля. Зачем он здесь? А суть такова: при создании сервера вы указываете ID сервера и пасс (об этом чуть позже). Если пасс будет совпадать с пассом, которым вы указали при создании сервера, то вы увидите своих жертв. Если вы создали 2 сервера с разными паролями, то в списке вы увидите только тот сервер, пасс которого вы прописали в этом маленьком окошечке выбора портов. Думаю понятно объяснил;
Visual notification - визуальное оповещение о подключении жертвы:
Sound notification - звуковое оповещение о подключении жертвы;
Show all function - скрывает/отображает некоторые функции управлением жертвой;
Display flags by GeoIP - так и не понял толком для чего эта функция. Дословно если, то отображать флаги с GeoIP. Подозреваю скрывать/показывать флаги стран, рядом с названием страны;
Select notification sound - выбор мелодии оповещения о подключении жертвы;
Это основные настройки клиента.
В данном пункте мы будем создавать сервер в случае, когда клиент находится на выделенном (статичном) IP-е. Проще говоря, клиент будет находиться на дедике. Позже рассмотрим вариант с динамическим IP.
Для создания сервера щелкнем меню "File" ---> "Create Server"
Вкладка "Users"
Появится окно выбора профиля сервера. Можно делать очень много профилей и сохранять их. У каждого профиля могут быть свои настройки:
Удалим все не нужное и создадим свой профиль. Щелкаем по профилю и жмем Delete. Все как всегда.
Нажимаем кнопку "New". Появится окошечко ввода названия профиля. В названии я обычно пишу адрес дедика. Для меня так удобнее. В общем, написать можно все что захочешь:
Нажали "ОК", выбрали его слева и кликнули по кнопке "Forward" (или щелкнули по нему 2 раза). Так.
Здесь мы задаем параметры коннекта сервера к клиенту.
Удалим все записи, выделив их и нажав на кнопку "Delete". Нажимаем кнопку "Add", появится окошечко. В нем вводим IP и порт, например, так:
Вводим несколько портов. Примерно должно получиться так:
Далее указываем ID и пасс. В идентификатор я обычно пишу, например, название проги-фейка, чтобы знать, что за сервер и откуда он взялся. Очень удобно, когда создаешь несколько серверов и распространяешь их под различным видом и различными вариантами. Тогда будет четко ясно, откуда и что за сервер появился в клиенте. Пароль можно указать любой, но я советую использовать один и тот же для всех профилей и серверов, так как клиент будет видеть только те сервера, пароли которых совпадают с введенным в клиенте. Об этом писал выше. Мы же хотим видеть всех жертв, поэтому указываем всегда один и тот же пароль на всех создаваемых серверах, ну и само собой в клиенте. Другой пасс, можно указывать в тех случаях, когда мы хотим видеть в клиенте, только определенные сервера. Я надеюсь, что вы поняли, не знаю, что уже здесь написать....
Предположим, будет этот файл в виде фото, ну и назовем его "PHOTO", а пасс поставим 123456789:
Вкладка "Installation"
Разберем вкладку установки сервера. Если галочка не стоит, то сервер не будет установлен в систему и при перезагрузке компа, этот сервер не запуститься автоматически. Проще говоря, это и есть она самая - Автозагрузка. Если не хотим, чтоб сервер автоматом загружался на машине жертвы, то галку снимаем, и все пункты меню нам становятся не доступны, кроме функции "Inject into" и дополнительных настроек.
"Inject into" предназначена для внедрения процесса сервера в другой процесс и работа от его "имени". Есть 3 варианта:
Поле Installation directory предназначено для выбора места установки сервера. Есть несколько вариантов:
И поставим точку в "Installation directory" напротив пункта "System". То есть наш сервер после установки его в систему жертвы будет находиться по адресу: C:/WINDOWS/system32/MicrosoftVision/vision.exe. Думаю все понятно здесь.
В поле "Boot" указаны варианты ключей реестра, откуда возможен запуск нашего сервера. Вписываем название ключа. Например, если напишу "test", то выглядеть в менеджере автозагрузки будет примерно так:
Вкладка "Message"
Данная функция предназначена для вывода окошка с сообщением при запуске сервера. Жертва запускает сервер и вылетает окошечко с содержимым, которым мы захотим. Есть возможность выбрать иконку сообщения и название кнопок. Справа в верхнем поле вводим заголовок сообщения, а в нижнем само сообщение. Нажав на кнопку "Test", можно увидеть наше творчество. Вот, например:
Анти-отладачная система защиты сервера. Сервер не запуститься на помеченных галкой системах.
Здесь присутствует защита от запуска на виртуальных машинах разных производителей. Так же присутствует защита от разных видов отладчиков.
И завершающий этап настройки и создания сервера. Рассмотрим окошечко:
В центре черное окно. Оно содержит в себе все настройки (в виде текстовых строк) которые мы произвели на всех этапах создания сервера. Как бы общий итог манипуляций с настройками сервера.
Разберем все заключительные настройки:
И заветная кнопочка "Create server"! Указываем путь, куда сохранить сервер. И... Вуаля! Наш сервер готов к работе!
После создания сервера, появится окошечко:
Здесь он нас извещает об успешном создании сервера и спрашивает: "Хотите ли вы сохранить текущие настройки?". Это означает, что все, что мы сейчас настраивали, он сохранит в файл с названием этого профиля и при следующем к нему обращении все будет выглядеть так же, как и сейчас.
Уффф... О создании сервера вроде все рассказал.
Итак, сервер создан. Нашли криптор - закриптовали. Нашли джоинер - склеили с фоткой. Нашли жертву и подарили ему(ей) эту фотку. Жертва смотрит фотку и радуется, а параллельно запустился наш сервер. Наш сервер установил себя туда, куда мы ему указали, а именно:
Все, сервер спрятался и делает свои грязные делишки.... а точнее мы, а он нас слушает.
Открываем клиент. Жмем кнопочку "START". Открываем Option ---> Select listening ports. Здесь вбиваем порты, которые мы указывали при создании сервера. И не забываем указывать пароль. Жмем "Save" и ждем появления нашей жертвы..... Вдруг неожиданно наши динамики разрывает зловещий хохот и в правом нижнем углу всплыло знакомое окошечко.
Итак, что мы видим:
В списке жертв у нас появилась строчка. Вот наш сервер, который мы клеили с фоткой. Обратим внимание на его идентификатор. Когда мы создавали сервер, идентификатор мы указывали PHOTO, но в клиенте мы видим надпись типа: PHOTO_1C57F93F. А дело в том, что каждой жертве присваивается уникальный номер. Это для того, чтоб хоть как то различать жертвы. Так же видим в окне клиента столбцы, дающие нам небольшое представление о жертве и ее параметрах (страна, идентификатор, IP, имя пользователя, наличие камеры, ОС, ОЗУ и т.д.).
Как же нам управлять жертвой? Где все функции? А все очень просто! Кликнем правой кнопкой по сточке с нужной нам жертвой и увидим следующее:
Разберем все по порядку.
Думаю здесь все понятно. Запуск файлового менеджера (сокр. ФМ).
Здесь видим 2 вкладки. Первая сам ФМ, а на 2-й поиск. Разделим окно ФМ на 3 части: шапка, центральная область, нижняя часть (хз как правильно должно быть, сильно не ругайте). В шапке видим 2 строки: справа адресная строка, а слева меню быстрого перехода. Меню включает в себя:
В адресной строке появился адрес, согласно тому, какой вариант меню слева мы выбрали. Ну а центральная часть отображает сам список папок и файлов. Что же здесь мы можем делать? Давайте рассмотрим:
Вроде разобрались что к чему в файловом менеджере. Топаем дальше!
Кликаем меню "Keylogger" и видим следующее:
Здесь видим 4 кнопки:
Кликаем по пункту Registry editor и видим следующее:
Я думаю, все когда-нибудь встречались с редактором реестра. Здесь все тоже самое. Можно удалять, переименовывать и создавать ключи и разделы. Поиск отсутствует.
Командная строка:
При нажатии на меню появится пустое окошечко. Чтоб активировать командную строку, щелкаем правой кнопкой мыши на белом фоне окна. Появится меню:
Пункт меню "Clipboard"
Здесь мы можем наблюдать содержимое буфера обмена жертвы:
Чтоб увидеть его, нужно нажать кнопку "Refresh". В текстовом поле мы увидим содержание буфера обмена. Чтоб установить свое значение, нужно в текстовом поле набрать нужную информацию и нажать кнопку "Set".
После открытия окошка, нажимаем кнопку "Refresh". Появится список открытых портов:
Здесь мы видим список открытых портов. Так же присутствует информация о локальном и удаленном IP-ах, статус открытого порта, протокол, PID и процесс, который открыл порт. Если щелкнуть правой кнопкой по строчке, то мы увидим меню:
Выбираем этот пункт. Жмем сразу "Refresh":
Если выбрать программу и кликнуть по ней правой кнопкой мыши, то увидим небольшое меню:
Посмотрим меню "Windows list":
Здесь видим список всех окон. Что черным выделено, это окна, которые мы видим, что серым, соответственно мы не видим. Кликаем правой кнопкой мыши:
Здесь мы рассмотрим сервисы у жертвы:
Здесь видим список сервисов, которые есть в системе. Так же можно посмотреть, какие из них запущены. Опять Кликаем правой кнопкой мыши на службе:
Здесь мы можем видеть все настройки сервера. Собственно мы уже видели ранее это окошечко, когда создавали сервер.
Список установленного оборудования:
Пункт меню "Device list"
Собственно, чем то смахивает на стандартный диспетчер устройств. Нет возможности удалять и устанавливать:
В левой колонке выбираем устройство, а в правой смотрим его свойства.
Захват звука на удаленном компе. В общем слушаем то, что слушает жертва:
Здесь можно выбрать качество звука и количество каналов.
Захват удаленного рабочего стола:
Здесь мы можем наблюдать за рабочим столом жертвы. Жертва не заметит то, что за ней наблюдают.
В левой части окна мы видим 3 кнопочки:
Так же здесь видим возможность включения мыши(Mouse) и клавиатуры(Keyboard). То есть если вы проведете мышкой по окну, то жертва ничего не заметит, но если вы кликните, то мышка вас покорно послушается и сделает то, что вы ей скомандовали. Аналогично с клавиатурой.
Так же видим левее полосу с ползунком. С помощью него регулируем качество передаваемой картинки (в левой части окна поле "Quality" отображает цифровое значение качества картинки), чем выше качество, тем более больший размер придется скачивать с жертвы, тем медленнее картинка, как всегда, в общем. Размер передаваемой картинки и процесс ее загрузки(вертикальная шкала) так же видим в левой части панели.
Захват изображения с WEB-камеры жертвы.
Окно практически идентичное окну захвата рабочего стола. В левой части видим 2 кнопки:
Данный пункт включает в себя дополнительные функции управления жертвой.
Здесь видим 3 вкладки. Разберем каждую:
Вкладка "Message box":
С помощью данной функции мы можем отправлять жертве сообщения в виде стандартного Windows-окна. По сути то же самое, когда мы создавали сервер и настраивали сообщение при запуске. Вводим заголовок окна, текст сообщения, выбираем иконку и группу кнопок. Тестируем и нажимаем "Send".
Вкладка "Miscellaneous":
Здесь видим разные "прикольчики и шутки" над жертвой. В верхней части окна можно выключить монитор, компьютер, перезагрузить его. Для этого выбираем нужное действие и жмем справа кнопку "Execute".
Ниже видим кнопочки. С помощью них можно делать следующее:
Ни разу не приходилось пользоваться (( Толком не могу сказать для чего это функция. Подозреваю, что отправлять сообщения через акк MSN жертвы.... Кто объяснить, буду благодарен. )))
Чат с жертвой. Сначала задаем параметры:
В правой части окна задаем параметры, а в левой части наблюдаем результаты. Настроить можно следующее:
Например:
Название чата: пусть будет ЧатОк;
Имя жертвы: Балбес;
Наше имя: Бывалый;
Цвета оставим по умолчанию. Нажимаем "ОК". Появляется новое окно:
Внизу вбиваем сообщение, справа выбираем кому (может быть несколько жертв) и нажимаем "Send". Наши сообщения отправлены. У жертвы всплывает окно:
Здесь мы видим, что оно соответствует нашим настройкам. Окно невозможно закрыть, если только через диспетчер задач найти наш замаскированный сервер.
С помощью этого меню можно сделать скриншот рабочего стола жертвы. А отобразиться он здесь:
Мелко, но быстро!
С помощью этого меню делаем из жертвы прокси-сервер. Нажимаем "Start", вводим порт, пользуемся. Чтоб остановить прокси-сервер, жмем "Stop".
Меню предназначено для сбора сохраненных паролей с компа жертвы:
По-моему собирает только IE и Safari. Ну может старые версии мозиллы и оперы. Не могу точно сказать. Скажу одно, ерунда, а не стилер. Для таких целей существует нормальный софт.
С помощью внутреннего меню, мы можем, скопировать пароль или логин в буфер обмена, открыть сайт, а так же сохранить весь список в текстовом формате.
Меню предназначено для поиска слов в кейлоггере и для поиска файлов на компах жертв. В выпадающем меню выбираем что и где будем искать. В окошечке вводим имя файла или слово(в случае с кейлоггером). Символов для поиска должно быть не менее 3-х в обоих случаях. И нажимаем "OK":
Появиться окошечко с списком жертв, где было обнаружено слово или файл.
Меню предназначено для скачивания и запуска файла на компе жертвы. Расширение может быть любым. Хоть картинка, хоть видео, хоть музыка. Запустится приложение, ассоциированное с данным типом файлов.
Выбираем это меню, в окошечке вводим прямой линк на нужный нам файл, нажимаем "OK". Далее он предложит, запустить ли файл в скрытом режиме. На ваше усмотрение.
С помощью данной функции мы можем открыть любую веб страницу на компе жертвы. В окошечке вводим адрес и нажимаем "OK". Страничка будет открыта через браузер, который стоит по умолчанию в системе.
Запуск приложения с дополнительными параметрами. В общем то одно и то же, в меню "Пуск" команда "Выполнить..." Собственно я думаю здесь все понятно....
Меню помогает нам отправить файл с компа, на котором находиться клиент, на комп жертвы и запустить его там, либо в скрытом режиме, либо в обычном режимах.
Функция обновления сервера. Есть 2 варианта:
Пингуем жертву.
О результатах пинга нам говорят эти квадратики. Они могут быть 4-х цветов: зеленый, оранжевый, красный и белый. При отличном качестве связи с жертвой квадратик - зеленый. При плохом оранжевый и красный. Если нет связи, то квадрат белый.
Меню позволяет временно перенаправить сервер на другой адрес и порт.
Разорвать связь с жертвой. При следующей перезагрузке, жертва вновь появиться в списке.
Уничтожить файл сервера на компе жертвы. Восстановление невозможно.
Изменить идентификатор сервера. В нашем случае "PHOTO". Переименуем и получим следующее:
5. В заключении:
Материал, изложенный в этой статье, несет сугубо образовательный характер, основанный исключительно на использовании публичного софта и ни коем образом не является руководством к действию либо пособием для начинающих. За этим следит УК РФ.
Все это было показано на примере одного из массы инструментов, но ни что не вечно, технологии меняются и на смену этой версии продукта придет другая, либо раз и навсегда мелкомягкие пофиксят возможность его доступа, от этого тоже ни кто не застрахован.
Основная цель которую хотел донести этой статьей - умение пользоваться подручными инструментами: слил актуальный инструмент - применил к уязвимой системе, само собой в образовательных целях!
(c) Dave
Статья пишется в ознакомительных целях. Напомню, что, неправомерный доступ к охраняемой законом компьютерной информации, то есть... бла, бла, бла. Сами знаете, в общем. Не будем о плохом, поехали!
Для обзора, взял версию Spy-Net 2.6 RAT. Скачать ее можно здесь. Пасс: csu
Spy-Net представляет собой клиент-серверную программу для скрытного удаленного администрирования, проще говоря - троян-бэкдор.
Существует много RAT-ов, но мне по душе этот. Хз почему. Более удобный в использовании я считаю.
Бэкдор состоит из 2-х частей: сервер и сам клиент. Сервер запускается на компе жертвы, а с помощью клиента мы можем наблюдать эту самую жертву.Back-Connect в общем. Думаю, понятен смысл работы зверушки.
Глянем на интерфейс софта, да и вообще, пробежимся по функционалу прожки. Гоу!
1. Основное окно:
В левой части окна будет располагаться список с жертвами и их краткими характеристиками. В правой части отображается скриншот экран, а так же небольшая информация о жертве (ОС, имя компа, юзер, АВ и т.д.), которую вы выбрали в левой части списка.
2. Настройки клиента:
Переключимся на англ. язык. Удобнее, по-моему. А сделать это можно так, для тех, кто не владеет испанским:
В общем, теперь надо понять, что за настройки здесь:
Automatic refresh desktop image - автоматическое обновление скриншота экрана в правой части клиента;
View FTP logs - с помощью этой команды можно посмотреть лог встроенного кейлоггера. Он сохраняется в текстовом формате в закодированном виде. То есть просмотреть его можно, только с помощью данной команды (в блокноте будет бяка);
Select Language - смена языка;
Hide detalis - скрыть правую часть окна клиента;
Select listening ports - с помощью данного меню мы выбираем порты, которые будет слушать клиент:
В поле вводим номер порта и нажимаем стрелочку. Оп! И клиент стал принимать на указанный вами порт. Про ограничение количества портов сказать ничего не могу. Пробовал больше 20, но лимита не обнаружил. Да больше то и не надо. Так же здесь присутствует поле для ввода пароля. Зачем он здесь? А суть такова: при создании сервера вы указываете ID сервера и пасс (об этом чуть позже). Если пасс будет совпадать с пассом, которым вы указали при создании сервера, то вы увидите своих жертв. Если вы создали 2 сервера с разными паролями, то в списке вы увидите только тот сервер, пасс которого вы прописали в этом маленьком окошечке выбора портов. Думаю понятно объяснил;
Visual notification - визуальное оповещение о подключении жертвы:
Sound notification - звуковое оповещение о подключении жертвы;
Show all function - скрывает/отображает некоторые функции управлением жертвой;
Display flags by GeoIP - так и не понял толком для чего эта функция. Дословно если, то отображать флаги с GeoIP. Подозреваю скрывать/показывать флаги стран, рядом с названием страны;
Select notification sound - выбор мелодии оповещения о подключении жертвы;
Это основные настройки клиента.
3. Создание сервера
В данном пункте мы будем создавать сервер в случае, когда клиент находится на выделенном (статичном) IP-е. Проще говоря, клиент будет находиться на дедике. Позже рассмотрим вариант с динамическим IP.
Для создания сервера щелкнем меню "File" ---> "Create Server"
Вкладка "Users"
Появится окно выбора профиля сервера. Можно делать очень много профилей и сохранять их. У каждого профиля могут быть свои настройки:
Удалим все не нужное и создадим свой профиль. Щелкаем по профилю и жмем Delete. Все как всегда.
Нажимаем кнопку "New". Появится окошечко ввода названия профиля. В названии я обычно пишу адрес дедика. Для меня так удобнее. В общем, написать можно все что захочешь:
Нажали "ОК", выбрали его слева и кликнули по кнопке "Forward" (или щелкнули по нему 2 раза). Так.
Вкладка "Connection"
Здесь мы задаем параметры коннекта сервера к клиенту.
Удалим все записи, выделив их и нажав на кнопку "Delete". Нажимаем кнопку "Add", появится окошечко. В нем вводим IP и порт, например, так:
Вводим несколько портов. Примерно должно получиться так:
Далее указываем ID и пасс. В идентификатор я обычно пишу, например, название проги-фейка, чтобы знать, что за сервер и откуда он взялся. Очень удобно, когда создаешь несколько серверов и распространяешь их под различным видом и различными вариантами. Тогда будет четко ясно, откуда и что за сервер появился в клиенте. Пароль можно указать любой, но я советую использовать один и тот же для всех профилей и серверов, так как клиент будет видеть только те сервера, пароли которых совпадают с введенным в клиенте. Об этом писал выше. Мы же хотим видеть всех жертв, поэтому указываем всегда один и тот же пароль на всех создаваемых серверах, ну и само собой в клиенте. Другой пасс, можно указывать в тех случаях, когда мы хотим видеть в клиенте, только определенные сервера. Я надеюсь, что вы поняли, не знаю, что уже здесь написать....
Предположим, будет этот файл в виде фото, ну и назовем его "PHOTO", а пасс поставим 123456789:
Вкладка "Installation"
Разберем вкладку установки сервера. Если галочка не стоит, то сервер не будет установлен в систему и при перезагрузке компа, этот сервер не запуститься автоматически. Проще говоря, это и есть она самая - Автозагрузка. Если не хотим, чтоб сервер автоматом загружался на машине жертвы, то галку снимаем, и все пункты меню нам становятся не доступны, кроме функции "Inject into" и дополнительных настроек.
"Inject into" предназначена для внедрения процесса сервера в другой процесс и работа от его "имени". Есть 3 варианта:
- No injection - без внедрения в другой процесс;
- Default Browser - внедрение в процесс браузера установленного по умолчанию в системе и работа от его "имени";
- Other - здесь указываем самостоятельно в какой процесс внедряться, и от какого имени работать. Если сервер не найдет указанный процесс, то запуститься от "имени" браузера по умолчанию. То есть выше пунктом.
- Persistance - переводчик переводит как "Настойчивость". Суть заключается в том, что если найдет процесс сервера и захочет его убить, то он автоматом восстанавливается. Если найдет и удалит файл сервер, то он тоже восстановиться. Если попытается удалить ключи автозагрузки сервера, то они восстанавливаются. Очень удобная вещь;
- Hide file - присваивает атрибут "Скрытый" запускаемому файлу сервера, папке, куда устанавливается и самому файлу сервера;
- Change creation date - изменяет дату создания сервера;
- Melt file - самоудаление запускаемого файла;
- Mutex - синхронизация. Определяет уже запущенный сервер. Исключает возможность запуска второй копии сервера. Можно почитать, например здесь.
Поле Installation directory предназначено для выбора места установки сервера. Есть несколько вариантов:
- System - обозначает папку "X:/WINDOWS/system32/";
- Windows - папка "X:/WINDOWS/";
- Root - корень загрузочного диска;
- Program Files - здесь думаю понятно;
- Other - указываем ручками путь;
- Directory - папка установки сервера;
- File name - имя файла;
И поставим точку в "Installation directory" напротив пункта "System". То есть наш сервер после установки его в систему жертвы будет находиться по адресу: C:/WINDOWS/system32/MicrosoftVision/vision.exe. Думаю все понятно здесь.
В поле "Boot" указаны варианты ключей реестра, откуда возможен запуск нашего сервера. Вписываем название ключа. Например, если напишу "test", то выглядеть в менеджере автозагрузки будет примерно так:
Вкладка "Message"
Данная функция предназначена для вывода окошка с сообщением при запуске сервера. Жертва запускает сервер и вылетает окошечко с содержимым, которым мы захотим. Есть возможность выбрать иконку сообщения и название кнопок. Справа в верхнем поле вводим заголовок сообщения, а в нижнем само сообщение. Нажав на кнопку "Test", можно увидеть наше творчество. Вот, например:
Вкладка "Keylogger"
Кейлогер, кейлоггер, keylogger - (англ. key - клавиша и logger - регистрирующее устройство) - это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.
При поставленной галочке, мы видим следующие настройки кейлоггера: Delete и Send logs by FTP. При установленной галочке "Delete" кейлоггер будет запоминать нажатие клавиши "Backspace". Так же сервер может отправлять логи на ФТП-сервер. Для этого есть определенные настройки:
Если фтп сервера нет или мы не хотим использовать отправку, то кейлоггер будет хранить отчеты на компе жертвы. Их всегда можно скачать и посмотреть. Об этом позже.Кейлогер, кейлоггер, keylogger - (англ. key - клавиша и logger - регистрирующее устройство) - это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.
При поставленной галочке, мы видим следующие настройки кейлоггера: Delete и Send logs by FTP. При установленной галочке "Delete" кейлоггер будет запоминать нажатие клавиши "Backspace". Так же сервер может отправлять логи на ФТП-сервер. Для этого есть определенные настройки:
- Send to - здесь указываем фтп-сервер;
- Directory - папка на сервере, в которую будут приходить логи;
- FTP user - имя пользователя ФТП-сервера
- FTP password - пароль для доступа к ФТП-серверу;
- Send logs FTP port - порт для отправки логов. Обычно 21;
- Send each - промежуток времени между отправками логов.
Вкладка "Anti-Debug"
Анти-отладачная система защиты сервера. Сервер не запуститься на помеченных галкой системах.
Здесь присутствует защита от запуска на виртуальных машинах разных производителей. Так же присутствует защита от разных видов отладчиков.
Вкладка "Create server"
И завершающий этап настройки и создания сервера. Рассмотрим окошечко:
В центре черное окно. Оно содержит в себе все настройки (в виде текстовых строк) которые мы произвели на всех этапах создания сервера. Как бы общий итог манипуляций с настройками сервера.
Разберем все заключительные настройки:
- Use icon - галочку ставим и слева появляется иконка. Щелкаем по ней и выбираем иконку для нашего сервера. Уже неактуально, так как сервер в чистом виде палиться многими АВ. И его придется криптовать. А крипт сменит иконку в любом случае. Поэтому лучше использовать другие методы смены иконки, если оно вообще надо;
- Compress with UPX - после создания сервера сжать его UPX-ом;
- USB Spreader - распостранение сервера через USB накопители. Когда жертва вставляет флешку, сервер записывает на нее свою копию;
- p2p Spreader -
- RootKit - маскировка сервера и его процесса в памяти. Есть условие здесь: имя файла и имя ключа реестра сервера должны быть SPY_NET_RAT;
- Google Chrome Password - кража паролей браузера Google Chrome. Для его работы нужна библиотека sqlite3.dll. Ее необходимо загрузить на сервер. Когда вы поставите галочку, вылетит окно, в котором нужно ввести полный путь до этой библиотеки;
- Bind files - функция джоинера. С помощью нее с сервером можно склеить несколько файлов:
- File - здесь выбираем файл, который мы хотим присоединить к серверу;
- Destination - место, куда будут распакованы склеенные файлы;
- Parameter - параметры распаковки;
- Execution - варианты запуска склеенных файлов;
- Add - добавить в список.
После создания сервера, появится окошечко:
Здесь он нас извещает об успешном создании сервера и спрашивает: "Хотите ли вы сохранить текущие настройки?". Это означает, что все, что мы сейчас настраивали, он сохранит в файл с названием этого профиля и при следующем к нему обращении все будет выглядеть так же, как и сейчас.
Уффф... О создании сервера вроде все рассказал.
4. Управление сервером:
Итак, сервер создан. Нашли криптор - закриптовали. Нашли джоинер - склеили с фоткой. Нашли жертву и подарили ему(ей) эту фотку. Жертва смотрит фотку и радуется, а параллельно запустился наш сервер. Наш сервер установил себя туда, куда мы ему указали, а именно:
Все, сервер спрятался и делает свои грязные делишки.... а точнее мы, а он нас слушает.
Открываем клиент. Жмем кнопочку "START". Открываем Option ---> Select listening ports. Здесь вбиваем порты, которые мы указывали при создании сервера. И не забываем указывать пароль. Жмем "Save" и ждем появления нашей жертвы..... Вдруг неожиданно наши динамики разрывает зловещий хохот и в правом нижнем углу всплыло знакомое окошечко.
Итак, что мы видим:
В списке жертв у нас появилась строчка. Вот наш сервер, который мы клеили с фоткой. Обратим внимание на его идентификатор. Когда мы создавали сервер, идентификатор мы указывали PHOTO, но в клиенте мы видим надпись типа: PHOTO_1C57F93F. А дело в том, что каждой жертве присваивается уникальный номер. Это для того, чтоб хоть как то различать жертвы. Так же видим в окне клиента столбцы, дающие нам небольшое представление о жертве и ее параметрах (страна, идентификатор, IP, имя пользователя, наличие камеры, ОС, ОЗУ и т.д.).
Как же нам управлять жертвой? Где все функции? А все очень просто! Кликнем правой кнопкой по сточке с нужной нам жертвой и увидим следующее:
Разберем все по порядку.
Пункт меню "File manager"
Думаю здесь все понятно. Запуск файлового менеджера (сокр. ФМ).
Здесь видим 2 вкладки. Первая сам ФМ, а на 2-й поиск. Разделим окно ФМ на 3 части: шапка, центральная область, нижняя часть (хз как правильно должно быть, сильно не ругайте). В шапке видим 2 строки: справа адресная строка, а слева меню быстрого перехода. Меню включает в себя:
- %WIN% - папка "WINDOWS"
- %SYS% - папка "System32"
- %RECENT% - недавние файлы и документы (папка "Recent")
- %DESKTOP% - рабочий стол
- Локальные диски
- CD(DVD)-ROM(RW)
- Съемные носители
В адресной строке появился адрес, согласно тому, какой вариант меню слева мы выбрали. Ну а центральная часть отображает сам список папок и файлов. Что же здесь мы можем делать? Давайте рассмотрим:
- Refresh - обновить список файлов и папок;
- List shared network folders - получение списка расшаренных ресурсов сети. Список добавляется в левое меню в шапке ФМ;
- Download folder - скачать папку;
- File download - скачать файл;
- File download(recursive) - скачивание файла, сохраняя структуру папок;
- Send file - загрузить файл;
- Send file(FTP) - отправить файл на FTP-сервер.
- Add to download list - добавить в список загрузки. Загрузки не произойдет, клиент будет ждать вашей команды на начало загрузки. Файл попадет в нижнюю часть ФМ;
- Run - запуск файла. Есть 2 варианта: в скрытом режиме и обычном;
- Delete - удалить файл;
- Rename - переименовать;
- Copy - копировать;
- Paste - вставить;
- Create folder - создать папку;
- Set as wallpapper - установить картинку как обои рабочего стола;
- Show image - просмотреть картинку. В нижней части в черном квадрате отобразится эскиз этого изображения;
- Attributes - смена атрибутов файла;
- Open folders of downloads - открывается окно с тем, что вы скачали с файловой системы жертвы. Собственно здесь будут лежать все скаченные файлы. В том числе и лог кейлоггера.
- Pause the transfer - приостанавливает загрузку файла(папки);
- Start/Restart the transfer - начало загрузки;
- First position - переместить на первую позицию списка;
- Up a - вверх;
- Down position - вверх;
- Last position - на последнюю строчку списка;
- Delete transfers complete - удалить из списка завершенные загрузки;
- Delete transfer - удалить закачку;
- Stop download folder - остановить закачку папки;
- Open folders of downloads - открывается окно с тем, что вы скачали с файловой системы жертвы.
Вроде разобрались что к чему в файловом менеджере. Топаем дальше!
Пункт меню "Keylogger"
Кликаем меню "Keylogger" и видим следующее:
Здесь видим 4 кнопки:
- Download - скачать с жертвы текущий лог;
- Delete - удалить текущий лог;
- Save - сохранить лог в текстовом формате;
- Disable - отключить ведение лога кейлоггером;
Пункт меню "Registry editor"
Кликаем по пункту Registry editor и видим следующее:
Я думаю, все когда-нибудь встречались с редактором реестра. Здесь все тоже самое. Можно удалять, переименовывать и создавать ключи и разделы. Поиск отсутствует.
Пункт меню "DOS Promt"
Командная строка:
При нажатии на меню появится пустое окошечко. Чтоб активировать командную строку, щелкаем правой кнопкой мыши на белом фоне окна. Появится меню:
- Enable - активировать DOS;
- Disable - деактивировать DOS;
- Save - сохранить содержимое окна;
- Exit - выход.
Пункт меню "Clipboard"
Здесь мы можем наблюдать содержимое буфера обмена жертвы:
Чтоб увидеть его, нужно нажать кнопку "Refresh". В текстовом поле мы увидим содержание буфера обмена. Чтоб установить свое значение, нужно в текстовом поле набрать нужную информацию и нажать кнопку "Set".
Пункт меню "Actve ports list"
После открытия окошка, нажимаем кнопку "Refresh". Появится список открытых портов:
Здесь мы видим список открытых портов. Так же присутствует информация о локальном и удаленном IP-ах, статус открытого порта, протокол, PID и процесс, который открыл порт. Если щелкнуть правой кнопкой по строчке, то мы увидим меню:
- Refresh - обновить окно;
- DNS resolve - сменить вид удаленного IP на его DNS записи. После установки этого параметра, надо обновить окно;
- End connection - закрыть подключение;
- Kill Process - убить процесс, который открыл порт;
- Exit - выход.
Пункт меню "Installed Programs"
Выбираем этот пункт. Жмем сразу "Refresh":
Если выбрать программу и кликнуть по ней правой кнопкой мыши, то увидим небольшое меню:
- Resfresh - обновить окно;
- Uninstall - удалить программу. Появится окно удаления программы. Жертва сразу спалит;
- Exit - выход.
Пункт меню "Windows list"
Посмотрим меню "Windows list":
Здесь видим список всех окон. Что черным выделено, это окна, которые мы видим, что серым, соответственно мы не видим. Кликаем правой кнопкой мыши:
- Refresh - обновить окно;
- Close - закрыть окно;
- Maximize - окно на весь экран;
- Minimize - свернуть на панель задач;
- Show/Restore - развернуть/восстановить;
- Hide - спрятать;
- Minimize all - свернуть все окна на панель задач;
- Rename - переименовать окно;
- Lock button [X] "Close" - запретить закрытие окна;
- Unlock button [X] "Close" - разрешить закрытие окна
- Exit - выход.
Пункт меню "Service list"
Здесь мы рассмотрим сервисы у жертвы:
Здесь видим список сервисов, которые есть в системе. Так же можно посмотреть, какие из них запущены. Опять Кликаем правой кнопкой мыши на службе:
- Refresh - обновить окно;
- Start - запуск сервиса;
- Stop - остановка сервиса;
- Uninstall - удалить сервис;
- Install - установить сервис. Указываем название сервиса, его описание, и путь к файлу;
- Exit - выход.
Здесь мы можем видеть все настройки сервера. Собственно мы уже видели ранее это окошечко, когда создавали сервер.
Пункт меню "Device list"
Список установленного оборудования:
Пункт меню "Device list"
Собственно, чем то смахивает на стандартный диспетчер устройств. Нет возможности удалять и устанавливать:
В левой колонке выбираем устройство, а в правой смотрим его свойства.
Пункт меню "Capture audio"
Захват звука на удаленном компе. В общем слушаем то, что слушает жертва:
Здесь можно выбрать качество звука и количество каналов.
Пункт меню "Remote Desktop"
Захват удаленного рабочего стола:
Здесь мы можем наблюдать за рабочим столом жертвы. Жертва не заметит то, что за ней наблюдают.
В левой части окна мы видим 3 кнопочки:
- Single - единожды обновляет окно. Нажали - обновили;
- Start - запустить постоянное обновление окна;
- End - остановить постоянное обновление окна.
Так же здесь видим возможность включения мыши(Mouse) и клавиатуры(Keyboard). То есть если вы проведете мышкой по окну, то жертва ничего не заметит, но если вы кликните, то мышка вас покорно послушается и сделает то, что вы ей скомандовали. Аналогично с клавиатурой.
Так же видим левее полосу с ползунком. С помощью него регулируем качество передаваемой картинки (в левой части окна поле "Quality" отображает цифровое значение качества картинки), чем выше качество, тем более больший размер придется скачивать с жертвы, тем медленнее картинка, как всегда, в общем. Размер передаваемой картинки и процесс ее загрузки(вертикальная шкала) так же видим в левой части панели.
Пункт меню "Capture Webcam"
Захват изображения с WEB-камеры жертвы.
Окно практически идентичное окну захвата рабочего стола. В левой части видим 2 кнопки:
- Start - запуск захвата вебкамеры;
- End - остановка захвата вебкамеры;
Пункт меню "Extra options"
Данный пункт включает в себя дополнительные функции управления жертвой.
Здесь видим 3 вкладки. Разберем каждую:
Вкладка "Message box":
С помощью данной функции мы можем отправлять жертве сообщения в виде стандартного Windows-окна. По сути то же самое, когда мы создавали сервер и настраивали сообщение при запуске. Вводим заголовок окна, текст сообщения, выбираем иконку и группу кнопок. Тестируем и нажимаем "Send".
Вкладка "Miscellaneous":
Здесь видим разные "прикольчики и шутки" над жертвой. В верхней части окна можно выключить монитор, компьютер, перезагрузить его. Для этого выбираем нужное действие и жмем справа кнопку "Execute".
Ниже видим кнопочки. С помощью них можно делать следующее:
- Прятать/блокировать меню Пуск;
- Прятать/блокировать иконки на рабочем столе;
- Прятать/блокировать панель задач;
- Прятать иконки из системного трея;
- Открывать/закрывать лоток CD-ROM;
- Блокировать мышь и клавиатуру;
- Менять кнопки мыши местами.
Ни разу не приходилось пользоваться (( Толком не могу сказать для чего это функция. Подозреваю, что отправлять сообщения через акк MSN жертвы.... Кто объяснить, буду благодарен. )))
Пункт меню "CHAT"
Чат с жертвой. Сначала задаем параметры:
В правой части окна задаем параметры, а в левой части наблюдаем результаты. Настроить можно следующее:
- Chat Windows title - название окна чата;
- Server name - ник жерты;
- Client name - ваш ник.
Например:
Название чата: пусть будет ЧатОк;
Имя жертвы: Балбес;
Наше имя: Бывалый;
Цвета оставим по умолчанию. Нажимаем "ОК". Появляется новое окно:
Внизу вбиваем сообщение, справа выбираем кому (может быть несколько жертв) и нажимаем "Send". Наши сообщения отправлены. У жертвы всплывает окно:
Здесь мы видим, что оно соответствует нашим настройкам. Окно невозможно закрыть, если только через диспетчер задач найти наш замаскированный сервер.
Пункт меню "Desktop image"
С помощью этого меню можно сделать скриншот рабочего стола жертвы. А отобразиться он здесь:
Мелко, но быстро!
Пункт меню "HTTP proxy"
С помощью этого меню делаем из жертвы прокси-сервер. Нажимаем "Start", вводим порт, пользуемся. Чтоб остановить прокси-сервер, жмем "Stop".
Пункт меню "Passwords"
Меню предназначено для сбора сохраненных паролей с компа жертвы:
По-моему собирает только IE и Safari. Ну может старые версии мозиллы и оперы. Не могу точно сказать. Скажу одно, ерунда, а не стилер. Для таких целей существует нормальный софт.
С помощью внутреннего меню, мы можем, скопировать пароль или логин в буфер обмена, открыть сайт, а так же сохранить весь список в текстовом формате.
Пункт меню "Search..."
Меню предназначено для поиска слов в кейлоггере и для поиска файлов на компах жертв. В выпадающем меню выбираем что и где будем искать. В окошечке вводим имя файла или слово(в случае с кейлоггером). Символов для поиска должно быть не менее 3-х в обоих случаях. И нажимаем "OK":
Появиться окошечко с списком жертв, где было обнаружено слово или файл.
Пункт меню "Download and execute file"
Меню предназначено для скачивания и запуска файла на компе жертвы. Расширение может быть любым. Хоть картинка, хоть видео, хоть музыка. Запустится приложение, ассоциированное с данным типом файлов.
Выбираем это меню, в окошечке вводим прямой линк на нужный нам файл, нажимаем "OK". Далее он предложит, запустить ли файл в скрытом режиме. На ваше усмотрение.
Пункт меню "Open WEB-page"
С помощью данной функции мы можем открыть любую веб страницу на компе жертвы. В окошечке вводим адрес и нажимаем "OK". Страничка будет открыта через браузер, который стоит по умолчанию в системе.
Пункт меню "Run command"
Запуск приложения с дополнительными параметрами. В общем то одно и то же, в меню "Пуск" команда "Выполнить..." Собственно я думаю здесь все понятно....
Пункт меню "Send file and..."
Меню помогает нам отправить файл с компа, на котором находиться клиент, на комп жертвы и запустить его там, либо в скрытом режиме, либо в обычном режимах.
Пункт меню "Update server"
Функция обновления сервера. Есть 2 варианта:
- From local file - берем новый файл сервера со своего компа, на котором находиться клиент;
- From URL - с сервера в интернете. Линк, должен быть прямой на новый сервер;
Пункт меню "Ping"
Пингуем жертву.
О результатах пинга нам говорят эти квадратики. Они могут быть 4-х цветов: зеленый, оранжевый, красный и белый. При отличном качестве связи с жертвой квадратик - зеленый. При плохом оранжевый и красный. Если нет связи, то квадрат белый.
Пункт меню "Recconect to adress..."
Меню позволяет временно перенаправить сервер на другой адрес и порт.
Пункт меню "Disconnect"
Разорвать связь с жертвой. При следующей перезагрузке, жертва вновь появиться в списке.
Пункт меню "Uninstall"
Уничтожить файл сервера на компе жертвы. Восстановление невозможно.
Пункт меню "Rename"
Изменить идентификатор сервера. В нашем случае "PHOTO". Переименуем и получим следующее:
5. В заключении:
Материал, изложенный в этой статье, несет сугубо образовательный характер, основанный исключительно на использовании публичного софта и ни коем образом не является руководством к действию либо пособием для начинающих. За этим следит УК РФ.
Все это было показано на примере одного из массы инструментов, но ни что не вечно, технологии меняются и на смену этой версии продукта придет другая, либо раз и навсегда мелкомягкие пофиксят возможность его доступа, от этого тоже ни кто не застрахован.
Основная цель которую хотел донести этой статьей - умение пользоваться подручными инструментами: слил актуальный инструмент - применил к уязвимой системе, само собой в образовательных целях!
(c) Dave
