Тёмная комета для windows: настройка dark comet

A Brief History of RAT (Remote Administration Tools)

The first RAT malware software was developed in the year of 2008 and it started to increase quickly at the starting the year of 2012. This program was partly banned and discontinued because of its usage in the civil war of Syria. The purpose of using it in the war was to monitor activists and also the creators or users of it to protect them from getting arrested for different reasons. And now in August 2018 the development of this program has been banned and stopped, plus the download files of this malware software are no longer available over its official website.

More: Cain and Abel Free Download for Windows 10, 8, 7 (2020).

Как работает Dark Comet: готовим систему к приёму данных

Здесь всё просто: нам необходимо выделить специальный канал передачи данных между сервером и клиентом RAT. После запуска на компьютере жертвы необходимые настройки запустятся автоматически, но и в системе админа тоже нужно кое-что открыть. Для работы с машинами жертв нам нужен отдельный портал, его и нужно проложить, пробросив необходимый порт. Его номер вы вольны выбрать, у меня, как вы увидите, это будет порт 1555. Но до того я пройду настройку сервера и клиента вместе с вами, но без подробностей (они в ссылках в начале статьи).

Антивирус отключаем, отключаем брандмауэр, а также в Windows 8/10 отключаем и Defender (Защитник Windows). Как всё это дело настроить без отключения, рассмотрим позже.

Запускаем DarkComet.exe и соберём сначала сервер трояна:

Выберем расширенный путь настройки сервера:

DarkComet-RAT — Server module — Full editor (expert)

Устанавливаем пароль (в предыдущей статье я указал 112233 – не забудьте его, его придётся ввести в окне настроек клиента) и сразу установлю собственные Server ID и имя профиля (настройки фаервола на стороне жертвы не трогаю):

В окне ниже Network Settings проторим дорожку к нашему компьютеру с настраиваемым сейчас клиентом. Укажем порт и адрес, на который будет стекаться информация. С портом всё ясно – 1555. Для того, чтобы узнать свой адрес в локальной сети, откройте cmd и наберите команду:

ipconfig

У всех нас настройки будут схожи. Вот мои локальные адреса рабочей станции и установленной виртуальной машины с описанием:

Локальный localhost в окне Dark Comet стираем и добавим нам известный по окну консоли локальный по сетке IP адрес и номер порта. Не забудьте нажать кнопку ADD:

Переходим в настройки запуска модуля на будущем сервере. Активируем настройки, выбираем местоположение трояна, его имя с папкой (MSDCSC\msdcsc.exe), название трояна, как его увидит жертва (NvidiaDrivers – обычно такие имена пропускают мимо глаз). Вобщем, хакер знает, где его искать, когда троян скроется от глаз жертвы.

Спускаемся чуть ниже и активируем все окна настроек. Что они означают, читайте в статье Настройки сервера Dark Comet. Сейчас скорректируйте “дату установки” как их будет видеть пользователь. У меня – середина апреля 2016-го (от головы):

Переходим к окну сообщения. При атаке хакеру оно не нужно, администратору – иногда, а нам, так как советую пока держать процесс под контролем (насколько это вообще возможно), оно необходимо. В этом окне мы настроим диалоговое окно, которое появится после успешной установки трояна. Я ввёл вот такой текст и выбрал вот такой значок (по нажатии на кнопку TestMessageBox вы можете его увидеть прямо сейчас):

Следующее окно Защиты модуля. Я поставил вот так, чтобы проверить и показать, что модуль попытается проделать:

Пропускаем остальные окна и переходим к созданию модуля трояна. Ничего не трогаю (троян будет запускаться в виде exe файла и поставляться на компьютер без сжатия); единственное, что сделаю, сохраню профиль настроек: если что-то не сработает, и я, загрузив профиль, смогу быстро сменить настройки где понадобится. Жмём Build the stub. Укажем место создания, ждём пару секунд, и модуль готов (как видите, в настройках Dark Comet появился новый профиль):

Вот он на Рабочем столе:

Запускать его сейчас не нужно – это вы поняли, думаю?

Закроем окно настройки модуля и добавим наш порт к настройкам Dark Comet. Перейдите, к примеру, в панели инструментов Кометы по пути Socket/Net и щёлкните правой мышкой по любой из пустых ячеек, выбрав Add port to listen:

Введите номер нашего порта вместо того, что готов для редактирования по умолчанию. Готово:

Теперь переходим в настройки клиента Client settings. Нам понадобятся 2 пункта. Сначала настроим клиент на пароль (всё тот же 112233). Вводим его:

повторите выбранный пароль в настройках клиента Dark Comet

Далее второй пункт…

DarkComet RAT Free for Windows 7, 8, 10 2020 [Updated]

In this guide, we talked about RAT malware software named DarkComet-RAT Free Download which is used for controlling a computer system and it can also be used for the administrative remote help tool. But mostly it is used by hackers for performing malicious activities.

In this article, we further discussed the History of RAT and then we discussed the History and Malicious usage of DarkComet in the past few years. After that, we saw a whole list of features that are included within the Dark Comet. Last but not the least I shared a link from where you can download the latest version of DarkComet RAT which is SAFE!

Note: Please use this tool on systems you have authorized access on. For more information visit their official wiki page.

Version: 5.3.1

Настройки Hosts file позволят подменить одноимённый файл .hosts.

Серьёзная заявка, в которой хакер может направить жертву только на конкретные сайты или, наоборот, запретить посещение других вплоть до полного отключения от интернета.

Пропустим пока плагины Add plugins и File Binder – обещаю к ним вернуться ибо они позволят расширить троян и прилепить его к нужному файлу: сейчас рассматривается только настройка Dark Comet как тела трояна. Также нарочито пропустим иконки, предлагаемые в Choose Icone – они допотопные и бросаются в глаза.

Stub Finalization

Завершает настройки модуля трояна. Предлагает на выбор вариант исполнения трояна: в каком виде он запустится. Здесь есть:

• .exe файл – троян будет представлен в качестве маленькой утилитки
• .com – в виде DOS утилиты (без значка где бы то ни было)
• .bat – батник (без значка где бы то ни было)
• .pif – ярлык DOS утилиты ( на современных версиях очень уж бросается в глаза)
• .scr – в виде Хранителя экрана

С возможностью сжатия всё ясно: особого смысла я пока не вижу в этих настройках, хотя файл, к которому троян приклеят, может быть и сам невеликих размеров. Так что по усмотрению. Ссылка на подделывание трояна под рисунок вверху статьи.

В генерации патча также отпала надобность – Dark Comet давно больше не обновляется (поговаривают, у создателя появились большие проблемы в связи с созданием программы). Нам осталось сохранение профиля для каждой из настроек – если эти настройки хакером заточены не под какую-то конкретную цель, а испробованы, например, как вариант для многих потенциальных жертв (по принципу “кто попадётся”), хакер попробует трояна в как можно большем количестве случаев и в разных сферах в сети.

Общая настройка Dark Comet завершена. Создание модуля трояна начнётся по нажатии самой нижней кнопки Build the stub. Процесс будет отображаться тут же в окне:

После того, как модуль трояна будет создан, на своей машине, думаю, ясно, что запускать его не стоит …

В следующий раз рассмотрим настройку сервера для сбора информации о жертвах: без настроек на стороне администратора проделанная работа – игрушки. Ссылки вверху статьи.

Успехов.

Как работает Dark Comet: регистрация в No-IP

Найдём слева в столбце настройки аккаунта No-IP Updater. Щёлкнем по кнопке и сразу выскочит окно:

если учётная запись есть, вы можете настраивать сервис не покидая Dark Comet

Жмём по Get a free account и попадаем на сайт. Проходим быструю регистрацию:

Завершим регистрацию по кнопке Create My Free Account.

В окне настроек выберем имя виртуальному хостингу, срок действия которого 30 дней с момента создания: то есть каждый месяц адрес DNS придётся обновлять. Не все домены будут доступны в бесплатном аккаунте, но нам предостаточно имеющихся. Виртуальный адрес добавляется в разделе:

Не закрывайте окно настроек личного кабинета. После завершения процедуры регистрации, процедуры проброса портов проверьте, готов ли порт к приёму информации. Для этого можно скачать маленький модуль с самого No-IP или воспользоваться настройками Dark Comet. Я предлагаю первый вариант. Спуститесь в личном кабинете No-IP чуть ниже и найдите ссылку для скачивания клиента:

Переходим по ней и попадаем в окно закачек. Качаем, а затем устанавливаем:

В запущенном виде он выглядит так:

И сразу проверим, работает ли порт. В клиенте No-IP пройдите по настройкам:

Мы сразу попадаем в окно сетевого сервиса PortCheckTool.com, в строке которого под вашим IP вбейте искомый порт, который нужно проверить:

Вы должны увидеть вот это сообщение:

Если сервис выдаёт ошибку текстовым сообщением на красном фоне, ещё раз проверьте:

• правильность проброса портов вашей Windows или на роутере
• выключен ли или верно настроен брандмауэр Windows или антивирусного пакета
• установлен ли нужный порт в Dark Comet

ПРАКТИКА

Can Antiviruses detect DarkComet?

As we have discussed before that the DarkComet can also be used for malicious and malware purposes. To keep yourself protected from the attacks of this malicious program, you can install the antivirus software. There are DarkComet removers available over the internet which can detect any malware and delete it completely. Programs like Bitdefender, Norton, and Avast are constantly updated. This increases the risk of detection.

The DarkComet’s infected files generate the following infected files to harm your computer:

• DarkComet
• BDS/DarkKomet.GS
• Trojan/Win32.DarkKomet.xyk
• Win32.DarkKomet!O

Whenever any of these files infect your computer system the first thing they do is to create a connection to the controller’s computer via socket. Once the connection has completed your computer is ready to take commands from the attacking computer, when the attacking computer sends commands then your computer system receives it and executes the function which is sent by the attacker.

Read: OphCrack Download Free for Windows 7, 8 and 10.

More Hacking Tools:

• L0phtCrack Free Download – Password Auditing Tool
• fgdump (pwdump 7) Free Download
• OpenVAS Free Download
• Metasploit Pro Framework

Update: DarkComet RAT was updated for 2020 to the latest version.

СРАЗУ

• В том виде, как она скачивается и в каком виде настраивается “прыщавыми хакерами”, она совершенно не подходит: перехватывается ещё на излёте даже Windows Defender-ом, созданный клиент на удалённом компьютере поставляется в виде легко читаемых файлов exe, bat и т.п.: ни о какой высокоорганизованной атаке и речи быть не может.
• Если вам понравятся некоторые возможности программы, не стоит прямо сейчас погрузиться в сеть в поисках программы: 8 из 10 скачиваемых в сети копий Dark Comet заражены троянами, так что, просто распаковав архив, вы рискуете сами оказаться в числе жертв. Ситуация на забугорных сайтах ещё хуже – заражённые версии Кометы предлагаются в ссылках статей, где описываются основные настройки программы: ну как тут не попасться на удочку. С сайта разработчиков также скачать последнюю (проект уже давно заброшен: поговаривают, автору пригрозили расправой) версию не получится: нам предлагают только противоядие. Так что заведите сразу себе виртуальную машинку или вторую операционную систему: если что, никто не пострадает.
• Предлагаемое в сети, в том числе на офсайте, средство удаления скрытого сервера Dark Comet не справляется со своей задачей: при удалении не стоит полагаться только на неё. Качественный способ удаления я предложу в одной из следующих статей.

Dark Comet в сети гуляет в двух видах: с установкой и портативной версиях. Последней и воспользуемся.

Запускаем из папки, настройка Dark Comet начинается.

History of DarkComet in the Past Few Years

In the past few years, DarkComet has been used for many malicious purposes which disturbed the environment of some modern countries. These purposes were as follows:

Booby-trapped Skype Message:

In the past few years, a “Booby-trapped Skype message” was sent to different Skype users. It consisted of a file with a Facebook icon, but actually, it was bait for Skype users. This file was designed to install DarkComet into the victim’s Computer System. Once the targeted victim has installed the file then the Victim’s machine will send the same message to the other people from the victim’s contacts.

#JeSuisCharlie:

In 7th January 2015 attack was made on a magazine of Paris named Charlie Hebdo. Hackers used the Slogan “#JeSuisCharlie” to trick and trap people into downloading the DarkComet. It was embedded in the form of a picture of a newborn baby and on the wristband of the baby it was written “Je Suis Charlie.” Once the victims downloaded the picture, they were endangered by the DarkComet. The hackers took great advantage of this calamity and took control of many systems as possible.

Targeting the Government, Military, and Gamers:

In 2012 a Network company named Arbos found proof about the usage of DarkComet to aim the military and gamers by the anonymous hackers of Africa. They mostly targeted the United States of America.

Also download: Commando-VM – Windows Hacking Distribution.

Как работает Dark Comet. Что может хакер?

Всё, что угодно. Вот как начинаются неприятности на стороне жертвы:

видя такое, насторожится любой пользователь – это атака в лоб

Теперь напишем ему:

Смотрим в виртуалке. Есть контакт:

В клиенте в той же Client Settings есть и такая вкладочка:

Но это шутки. Настройки же от System Functions и ниже позволяют разобрать систему жертвы по полочкам, заставив выдать все секреты компьютера. Потренируйтесь, описание функций клиента трояна есть в статьях по ссылкам в начале статьи. В заключительной статье блога Компьютер76 мы разберём, как видит троян сама Windows, что конкретно, и как работает Dark Comet на уровне кода и реестра системы. И как, наконец, от его избавиться.

Успехов нам всем.

Module Startup

Здесь выставляются настройки клиента, которые никак нельзя отнести к безобидным: благодаря им программа справедливо относится к категории полноценных троянов. Итак, активируем модуль (клиент будет запускаться на компьютере жертвы вместе с Windows). Немедленно активируются остальные настройки Dark Comet. Хакер может выбрать несколько конечных точек для хранения тела трояна: они видны по нажатии по кнопке Install Path. Это директория с Документами, Рабочий стол, папка Windows, кукисы и т.д. Если тренируетесь, имя (Install Name) и место файла не будут иметь значения. Если атака готовится тщательнее – хакер спрячет троян в папку поглубже, а назовёт знакомым любому пользователю именем, чтобы не вызвать у того подозрений:

Повторюсь, это самое “вкусное” окно, в котором можно будет выбрать следующие параметры трояна:

• Melt file after first execution – после запуска файл исчезнет из поля зрения жертвы
• Change the creation date – дата создания файла в его описании будет такой, какой установите – важнейший момент в отвлечении противника
• Persistence Installation option – принудительная установка – обязательная для хакера опция.

Наконец, нижняя часть окна настройки Installed module file attributes устанавливает 2 самых важных атрибута для самого файла и родительской папки: Скрытый, Системный.

Окно Install Message – здесь можно будет вложить сообщение, которое отразится в окне программы после установки программы, если всё прошло как следует:

Как работает Dark Comet: виртуальная Windows (компьютер жертвы)

Идеальный полигон для проверки всего новенького с непредсказуемыми результатами. Если вы можете позволить несколько отдельно стоящих машин в домашних условиях с настраиваемым сетевым оборудованием – это замечательно. Но для того, чтобы оценить масштаб трагедии действия трояна, виртуальной системы вполне хватит. Надеюсь, вы уже установили VirtualBox или что там у вас… Кто совсем только начинает знакомиться с работой виртуальных систем – пишите.

Открываем виртуальную машину и запускаем подопытную Windows 7. Я настроил общую папку для обеих систем и скопировал трояна оттуда, предварительно переместив его в папку из рабочей сборки.

Понеслась…

Запускаем троян. А вот и окно с нашим текстом:

Закройте от имени жертвы окно (его она, впрочем, как вы знаете, не обязательно должны увидеть). Исполнительный файл троянского коня сразу пропадёт. В Windows же администратора cвёрнутый в трей клиент Dark Comet немедленно сообщит, что в сети появилась жертва (если вы не настроили другое). Развернём окно клиента. Точно, появился пользователем с IP адресом и простой информацией по его геолокации:

нажмите, чтобы посмотреть

Отправимся в настройки клиента DarkComet-RAT – Client Settings – Function Manager и активируем все настройки окна, не забыв нажать Apply:

Одно мгновение, и Windows жертвы под вашим контролем.

Functions Manager – Менеджер функций

Вот и интересное окно. В его настройках вы обнаружите всё, что хакер способен сотворить с системой жертвы. Даже беглый осмотр показывает, что, попади троян в Windows, она сразу работает против его, сдавая пользователя с потрохами – ведь она ему уже не принадлежит. Для ознакомления со всеми функциями смело активируйте все пункты огромного меню настроек (“работая” жертву стоит активировать лишь некоторые из них – иначе хакера вычислят мгновенно):

Коротенько об открывшихся возможностях в соответствующих разделах:

• System info. Пункты меню позволят отобразить полную информацию о системе жертвы с местонахождением по картам Google Maps (но губу раскатывать не стоит – работает ни шалко ни валко)
• Fun Functions. Представьте, ничего не подозревающий пользователь вдруг слышит звуки пианино, читает какие-то сообщения, видит призыв к общению в чате… Предусмотрена работа с документами MS Office.
• System Functions. Хакер может видеть запущенные процессы, править реестр, грузить шеллы, удалять программы, редактировать hosts файл.
• Remote Msconfig. Позволит редактировать настройки утилиты msconfig – что это такое, объяснять не нужно: всем известны возможности и предназначение утилиты Конфигурации Windows.
• Remote Scripting. Позволит хакеру исполнять незаметно необходимые скрипты через батники и VBScript -ы. Вот лишь самые безобидные из шуток, которые можно провернуть с их помощью.
• Password/Data. Пароли и закачки. Первое почти не работает в этом виде, как представлено, второе – если торрент-клиент установлен, выдаст всё с лихвой. MSN Functions. Функции MSN-клиента. Ну… Вы пользуетесь мессенджером от Microsoft? Я никогда этого не делал, но если вам нужно – Dark Comet к вашим услугам
• Spy Functions. Шпионские функции позволяют включить веб-камеру жертвы (если драйвер камеры будет корректно обнаружен), услышать проигрываемые системой звуки, посмотреть, что происходит на экране компьютера, включить перехватчик клавиатуры.
• Network Function позволяет хакеру рассказать всё о сетевых настройках компьютера жертвы, выдать пароли к беспроводным соединениям, посмотреть на открытые порты, просканировать сеть компьютера жертвы и др.
• Misc Functions. Работает с принтером сервера и отображает содержимое буфера обмена жертвы (скопировать и вставить пароли он бесследно не сможет) Computer Power управляет питанием компьютера. Весь спектр действий: от перезагрузки и выключения до блокировки учётной записи.
• Restart Socket перезагрузит клиент и серевер
• Server Actions – функции управления сервером Dark Comet на стороне жертвы (заблокировать компьютер пользователя, выключить или перезапустить сам сервер, отредактировать и т.д.)
• Udate Server – забудьте о пункте, если не собираетесь сервер обновлять.

DarkComet RAT Features

Architecture (Working):

Like many other RAT malicious software, the DarkComet also uses the reverse-socket architecture. The computer systems with GUI enabled and not infected by DarkComet are called clients. While the uninfected systems which are without the GUI are called Servers.

The process of DarkComet execution is pretty simple. The first thing which DarkComet does is that it connects the server with the client and it grants permission to the client to monitor and control the server. At this stage, any of the features which contain the GUI can be used by the Client. Plus there is a socket on the server-side which is opened and then that devices wait for the packets to be received from the controller and then it executes the received commands.

There is a whole list of dangerous features that make DarkComet a critical tool. Some of these features can take complete control of a computer system by granting full access to the client via UAC.

The features of DarkComet-RAT are enlisted below:

• Network Functions:
• Server Stocks5
• Net-Gateway
• Active Ports
• URL Download
• Network Shares
• IP Scanner
• Browse Page
• Wi-Fi Access Points:
• Redirect IP/Port
• LAN Computers
• Server Actions
• Restart Server
• Uninstall Server
• Remote Edit Server
• Upload & Execute
• Close Server
• Lock Computer
• Spy Functions
• KeyLogger
• Sound Capture
• Webcam Capture
• Remote Desktop
• Update Server
• From File
• From URL
• Computer Power
• Shutdown
• Logoff
• Poweroff
• Restart

There are also some of the fun features available in the DarkComet:

Fun Features:

• Remote Chat
• Message Box
• Fun Manager
• Piano
• Microsoft Reader