Введение
Давай начнем все с того, что не так давно большинство вирусов стали выкладывать в открытый доступ. Некоторые ратники можно спокойно скачать с GitHub репозиториев и использовать в своих целях. Сейчас аббревиатура RAT переводится как утилита удаленного доступа. Обычно с такой расшифровкой можно встретить очередные исходники зловреда. Но есть и темная сторона перевода, а именно троян удаленного доступа, где главное слово это "троян". В этой статье я предлагаю разобраться с тем, чем все таки отличается вирус от утилиты удаленного администрирования.
План статьи
Чтобы было понятнее и нагляднее предлагаю разработать план. Для начала возьмем 4 образца ратников. Трое из низ находятся в открытом доступе и один был создан специальной компанией в коммерческих целях. Как ты мог догадаться из заголовка мы будем сравнивать все это дело с NjRat. Чтобы не было так скучно я взял версию 0.7D Danger Edition. О других модификациях расскажу подробно в следующих статьях. А теперь давай познакомимся со списком кандидатов:
- AsyncRAT (v0.5.7B)
- Proton RAT (v1.0.0.6)
- Quasar (v1.4.0)
- Venom (v2.1.0.0)
Критерии оценивания
Здесь я решил оставить критерии, которых мы будем придерживаться при сравнении. Их не так много, поэтому запоминать наизусть не придется.
- Многофункциональность: под этим словом подразумевается наличие тех или иных полезных функций. Снимок экрана, встроенный кейлогер и многое другое.
- Скрытность: пропустить такой параметр крайне невозможно. Как же тестировать вирус без антивирусов? Дадим им на растерзание наши творения и посмотрим, что они скажут. По стандарту пользуемся
Ссылка скрыта от гостей.
- Объем исполняемых файлов: поставим готовый PE-файл на весы и посмотрим насколько он толстый. Ведь в нашем деле важен каждый мегабайт!
- Нагрузка на систему: что может быть хуже чем беспрерывное жужжание системы от неизвестного файла. Пользователь явно будет недоволен если обнаружит в диспетчере задач новый Chrome, поедающий всю оперативу.
- Встроенная защита: мьютексы, крипторы и антидебаггеры. Чем только не наполняют современные билдеры. Посмотрим на что они способы. По крайней мере их наличие мы проверим точно.
- Разное: для канона обратим внимание на интерфейс, качество программы сервера и на другие мелочи, от которых перфекционисты могут ослепнуть.
Лидер шоу NjRat
- Страница автора: GitHub
Многофункциональность: здесь много слов не надо. Половина функций заблокирована, а остальная часть приравнивается к типичному арсеналу ратника. В наличие имеется антипроцессор, запись в меню автозапуска, детект определенных процессов (к примеру антивируса). Как всегда можно увидеть любимый timesleep, чтобы не вызывать много лишнего внимания. Копирования во временные директории, создание записей в реестре и жестком диске можно приравнивать к стандартным функциям. Ну а сбор документов, cookies, истории и кэша недоступно для использования.
Скрытность: слова здесь подобрать тяжело, зато эмоций очень много. И не только у меня, антивирусы радуются еще сильнее при загрузке зловреда на
Ссылка скрыта от гостей
. Bladabindi во весь голос кричат 58 антивирусов. Таким синонимом заменяют название NjRat. Как ты понимаешь результаты не утешительные.Объем исполняемых файлов: в готовом объеме без использования дополнительного обвеса и функций файл весит ровно 96 КБ. Достаточно хороший результат и в системе он не займет много места. Поэтому в этом параметре вирусу удается забрать еще один плюс.
Нагрузка на систему: крайне больше беды в этом, если быть точнее малварь нагружает центральный процессор минимум на 18,6% и максимум на 20,1%. Отъедает от памяти 1 МБ и больше ничего не нагружает. Беспрерывное гудение ноутбука гарантированно.
Встроенная защита: здесь я не нашел ничего похожего на мьютексы, но сам вирус имеет дополнительно функции антипроцесс. Ее основная цель заключается в маскировке файла под другие процессы. В стандарте зловред создает процесс в диспетчере задач с названием Windows Update. Где-то ты это слышал, не правда ли? Такую часть мы находили при реверсе нашей малвари. Теперь ты знаешь с чем связанно это название.
Разное: дизайн такого вируса заслуживает особого внимания. При подключении выдается сбитая русификация и серый квадратик в котором должен быть флаг страны. Текст местами написан безграмотно, встречаются ошибки, а главное не всегда поймешь зачем нужна функция. Большие кнопки, непонятный текст и весьма забавное сокращение (особенно слово Camera сокращенное до Cam) делают NjRat по своему особенным.
Итак, тактическая мишень установлена, а значит можно приступать к ее тестированию. Посмотрим насколько хорошо выдержит такое испытания наш вирус.
AsyncRAT
- Страница автора: Github
Многофункциональность: ничего нового или особенного здесь нету. По сути билдер имеет функцию создания клиента, превращение в критический процесс, запись во временные папки и редактирование описание к файлу.
Скрытность: все значительно печальнее чем у ниндзя. Антивирусы бьют тревогу и говорят, что файл потенциально опасен и лишь 20 счастливчиков из 72 не нашли ничего подозрительного. Остальные 52 очень сильно злятся и заполоняют весь сайт красными строками с названием билдера. Взглянуть на результаты ты можешь
Ссылка скрыта от гостей
.Объем исполняемых файлов: сами зловреды по размерам очень маленькие и на диске занимают каких-то 48 КБ. Для такой малвари это очень хороший результат и в этом аспекте она берет преимущество перед NjRat.
Нагрузка на систему: не трогает центральный процессор, но забирает себе память. При активном подключении берет 8 МБ, а если коннект не произошел забирает себе 6,1 МБ. Достаточно неплохой результат.
Встроенная защита: дополнительно имеет простой обфускатор кода и мьютекс. В результате чего это позволяет защитить исходный код и информацию о создатели.
Разное: интерфейс билдера самый стандартный, без каких-либо особенностей. Есть вкладка логи и таски, которые всегда находятся под рукой. В дополнение к этому на нижней панели отображает сколько процентов занято CPU и RAM. Крайне простая, но удобная функция. Все данные отображаются корректно. Сбоев кодировки или неправильной работы не наблюдается.
В итоге билдер обходит ниндзя по 4 последним пунктам, что становится достаточно хорошим результатом для такого open-source проекта.
Proton RAT
- Страница автора: Github
Многофункциональность: такого понятия для этого билдера похоже не существует. Доступен крайне скудный функционал, который включает в себя автозапуск и создание клиента. Есть очень странная функция с названием "Синий экран в терминале". Так и не понял с чем это связанно, возможно просто крашит систему и вызывает синий экран. Остается также гадать куда делись остальные функции. Либо были вырезанные при взломе или же изначально недоступны даже в полной версии.
Скрытность: в этом параметре утилита становится лидером по количеству детектов. Только 50 из 72 антивирусов нашли угрозу в исполняемом файле. Основной идентификатор у большинства голосов это MSILMamut.2116. Никто из участников так и не смог установить при помощи чего был создан файл. Предлагаю оценить это дело как всегда на
Ссылка скрыта от гостей
.Объем исполняемых файлов: толстый, но в рамках приличия. Только так я могу прокомментировать массу файла в 168 КБ. Результат неплохой, но можно сделать лучше. Этот пункт идет минусом в сравнении.
Нагрузка на систему: задевает только столбец памяти с размером в 8,1 МБ и диска с объемом в 0,1 МБ/c. Результат положительный с учетом того, что в диспетчере задач не мозолит глаза дополнение 32 бита и расширение файла.
Встроенная защита: две функции в подарок. Это мьютекс и дебагер. Больше ничего полезного в во вкладке настроек ты не найдешь. Скудно и досадно, ведь теперь перед работой с ним придется накладывать дополнительные слои защиты, а потом молиться, чтобы все запустилось.
Разное: к интерфейсу не придраться, плюсом к этому в управлении машиной есть интересная фича, которая позволяет преобразовывать введенный тобою текст в звук на устройстве жертвы. С такими функциями кто-то точно поймает инфаркт. Не каждый день увидишь разговаривающую с тобой технику.
Обойти нашего лидера шоу так и не получилось. Всего лишь 2 пункта из 5 идут положительно. Хотя с некоторыми доработками мог бы получиться идеальный ратник на постоянной основе.
Quasar
- Страница автора: Github
Многофункциональность: билдер обладает достаточно хорошим арсеналом и может похвастаться некоторыми удобными функциями. Одна из которых это создание инсталятора, который в свою очередь настраивается и запускается от пользователя и администратора. Во втором случаи юзер может выбрать корневую библиотеку для загрузки. Либо системную папку, либо стандартный Program Files. Также можно настроить отображаемое имя в автозапуске. В дополнении есть директивы для сохранения PE-файла. К этому всему пристыкуем поддержку IPv6 и добавления DNS Updater с известного сайта No-Ip.
Скрытность: здесь наш друг ставит рекорды. В отрицательную сторону конечно же. 58 детектов из 72, пока что это самый большой результат из всех. Посмотрим, что будет дальше ну а оставлять это так просто нельзя. Стоит позаботиться о дополнительной защите. Результаты смотри на
Ссылка скрыта от гостей
.Объем исполняемых файлов: жирный, очень жирный файл. 502 КБ на жестком диске занимает его зловред. Если ставить рекорды, то похоже до конца. Придется оптимизировать все это дело, чтобы нормально перемещать и копировать файл.
Нагрузка на систему: больше всего ест памяти. Забирает себе целых 13,4 МБ. Но не напрягает другие аспекты, поэтому обогнать в этом деле ниндзя ему не удалось. За это стоит поставить плюс.
Встроенная защита: мьютекс как всегда на месте, также имеется автоматический режим. Ну а большего для счастья похоже и не нужно. Хотя это еще достаточно приемлемый результат по сравнению с предыдущими кандидатами. Поэтому не будем нагнетать обстановку по этому поводу.
Разное: самый обычный дизайн для самого обычного ратника. Ничего нового или удивительного в нем я не нашел, поэтому этот пункт останется частично пустым.
Теперь стоит сказать, что ратник отличился своим функционалом и нагрузкой. В других случаях ему не удалось обогнать NjRat, поэтому оставляем два положительных аспекта и идем сравнивать дальше.
Venom
- Страница автора:
Ссылка скрыта от гостей
Многофункциональность: сама программа держит на своих плечах огромный арсенал. В него входят как самые стандартные функции так и необычные, совершенно новые на этот момент. Ты можешь после сбора PE-файла сразу же не отходя от главного окна загрузить его на хостинг AnonFile или использовать в дополнения ко всем функциям эксплоиты Excel или Word. Кейлоггеры и стиллеры лишь дополняют всю работу и делают все гораздо удобнее. Билдер также предоставляет возможность повысить привилегии в системе до Ring3. То есть превратить ратник в полноценный Rootkit. Мало где такое встретишь.
Скрытность: что это такое? Ну а если серьезно, то не самый лучший результат, но и не самый худший. 54 антивируса из 72 злятся на исполняемый файл. Этот пункт находится в золотой середине между остальными билдерами. Оценить все это дело можно как обычно в
Ссылка скрыта от гостей
.Объем исполняемых файлов: самый жирный из всех. Откуда берется 535 КБ мне выяснить так и не удалось. В этом пункте Quasar отдает свое почетное место толстяков нашему Venom. По объему он самый большой из всех зловредов.
Нагрузка на систему: также остается в середине и не похоже не собирается отдавать это место. Всего лишь 9,1 МБ в разделе Память и 0,1 МБ/c нагрузка на диск. Хорошие показатели и отличная работа.
Встроенная защита: из этого имеется только мьютекс, поэтому если хочешь, чтобы это детище работало как надо, то придется в любом случаи докачивать несколько программ и покрывать ими исполняемый файл.
Разное: приятный дизайн и быстрая скорость соединения оставляют хорошие впечатления по отношению к этой программе. Она снаряжена всем необходимым и имеет даже свыше тех функций, что ты видел у других ратников. Здесь стоит поставить хороший плюс и перейти к подведению итога.
В минус у нас уходит только объем, все остальное остается в плюсе. Поэтому можно с уверенностью сказать, что Venom обогнал NjRat и взял над ним превосходство. Теперь, когда мы разобрали все программы можно сделать вывод.
Подводим итоги
Итак, по итогам наших сравнений получилось так, что двое билдеров вырвались вперед и одержали победу над NjRat, оставшиеся программы пролетели сравнительные характеристики и забрали всего лишь 2 положительных аспекта. В результате всех этих работ стоит напомнить тебе, что однозначно есть софт значительно лучше и качественнее NjRat и есть утилиты, которые совсем недотягивают до его уровня. Но в случаи с Quasar это дело можно исправить, взяв в руки исходники и любимый Visual Studio. Сюда еще стоит добавить знания C# и можно создавать свои модификации. Сам же ниндзя это достаточно устаревший ратник, у которого еще остался порох в пороховницах, но его не так много, чтобы тягаться с современными программами. Поэтому перед работой всегда проверяй качество и надежность своего софта.
Последнее редактирование модератором: