• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Тренировочная мишень. Сравниваем ратники с NjRat

Logotype.jpg

Введение
Давай начнем все с того, что не так давно большинство вирусов стали выкладывать в открытый доступ. Некоторые ратники можно спокойно скачать с GitHub репозиториев и использовать в своих целях. Сейчас аббревиатура RAT переводится как утилита удаленного доступа. Обычно с такой расшифровкой можно встретить очередные исходники зловреда. Но есть и темная сторона перевода, а именно троян удаленного доступа, где главное слово это "троян". В этой статье я предлагаю разобраться с тем, чем все таки отличается вирус от утилиты удаленного администрирования.

План статьи
Чтобы было понятнее и нагляднее предлагаю разработать план. Для начала возьмем 4 образца ратников. Трое из низ находятся в открытом доступе и один был создан специальной компанией в коммерческих целях. Как ты мог догадаться из заголовка мы будем сравнивать все это дело с NjRat. Чтобы не было так скучно я взял версию 0.7D Danger Edition. О других модификациях расскажу подробно в следующих статьях. А теперь давай познакомимся со списком кандидатов:
  1. AsyncRAT (v0.5.7B)
  2. Proton RAT (v1.0.0.6)
  3. Quasar (v1.4.0)
  4. Venom (v2.1.0.0)
За исключением последнего все программы находятся в открытом доступе и их репозитории можно найти на Github. Главная наша цель это выявить недостатки и преимущества перед давно известным NjRat. Его модификации долгое время распространялись за символичную сумму, а сейчас спокойно лежат в открытом доступе.

Критерии оценивания
Здесь я решил оставить критерии, которых мы будем придерживаться при сравнении. Их не так много, поэтому запоминать наизусть не придется.
  1. Многофункциональность: под этим словом подразумевается наличие тех или иных полезных функций. Снимок экрана, встроенный кейлогер и многое другое.
  2. Скрытность: пропустить такой параметр крайне невозможно. Как же тестировать вирус без антивирусов? Дадим им на растерзание наши творения и посмотрим, что они скажут. По стандарту пользуемся .
  3. Объем исполняемых файлов: поставим готовый PE-файл на весы и посмотрим насколько он толстый. Ведь в нашем деле важен каждый мегабайт!
  4. Нагрузка на систему: что может быть хуже чем беспрерывное жужжание системы от неизвестного файла. Пользователь явно будет недоволен если обнаружит в диспетчере задач новый Chrome, поедающий всю оперативу.
  5. Встроенная защита: мьютексы, крипторы и антидебаггеры. Чем только не наполняют современные билдеры. Посмотрим на что они способы. По крайней мере их наличие мы проверим точно.
  6. Разное: для канона обратим внимание на интерфейс, качество программы сервера и на другие мелочи, от которых перфекционисты могут ослепнуть.
Такой небольшой список поможет нам в работе и станет главным моментом, к которому лично я не раз буду обращаться. Все что нужно разобрали, можем приступать (ссылки на репозитории оставлю при сравнении).

Лидер шоу NjRat

njrat.jpg

  • Страница автора: GitHub
Ты думал я забыл напомнить против кого идет борьба? Твоему вниманию в который раз представляю NjRat Danger Edition. Сейчас мы пробежимся по его особенностям, детально рассмотрим работу и закрепим в нашей статье, чтобы сравнивать остальные ратники с этим зверем.

Многофункциональность: здесь много слов не надо. Половина функций заблокирована, а остальная часть приравнивается к типичному арсеналу ратника. В наличие имеется антипроцессор, запись в меню автозапуска, детект определенных процессов (к примеру антивируса). Как всегда можно увидеть любимый timesleep, чтобы не вызывать много лишнего внимания. Копирования во временные директории, создание записей в реестре и жестком диске можно приравнивать к стандартным функциям. Ну а сбор документов, cookies, истории и кэша недоступно для использования.

Скрытность: слова здесь подобрать тяжело, зато эмоций очень много. И не только у меня, антивирусы радуются еще сильнее при загрузке зловреда на . Bladabindi во весь голос кричат 58 антивирусов. Таким синонимом заменяют название NjRat. Как ты понимаешь результаты не утешительные.

Объем исполняемых файлов: в готовом объеме без использования дополнительного обвеса и функций файл весит ровно 96 КБ. Достаточно хороший результат и в системе он не займет много места. Поэтому в этом параметре вирусу удается забрать еще один плюс.

Нагрузка на систему: крайне больше беды в этом, если быть точнее малварь нагружает центральный процессор минимум на 18,6% и максимум на 20,1%. Отъедает от памяти 1 МБ и больше ничего не нагружает. Беспрерывное гудение ноутбука гарантированно.

Встроенная защита: здесь я не нашел ничего похожего на мьютексы, но сам вирус имеет дополнительно функции антипроцесс. Ее основная цель заключается в маскировке файла под другие процессы. В стандарте зловред создает процесс в диспетчере задач с названием Windows Update. Где-то ты это слышал, не правда ли? Такую часть мы находили при реверсе нашей малвари. Теперь ты знаешь с чем связанно это название.

Разное: дизайн такого вируса заслуживает особого внимания. При подключении выдается сбитая русификация и серый квадратик в котором должен быть флаг страны. Текст местами написан безграмотно, встречаются ошибки, а главное не всегда поймешь зачем нужна функция. Большие кнопки, непонятный текст и весьма забавное сокращение (особенно слово Camera сокращенное до Cam) делают NjRat по своему особенным.

Итак, тактическая мишень установлена, а значит можно приступать к ее тестированию. Посмотрим насколько хорошо выдержит такое испытания наш вирус.

AsyncRAT

asyncrat.jpg

  • Страница автора: Github
AsyncRAT — это инструмент удаленного доступа, предназначенный для удаленного мониторинга и управления другими компьютерами через безопасное зашифрованное соединение. Ключевое слово "инструмент". В доказательство этого можно найти сертификат, который храниться вместе с самим файлом.

Многофункциональность: ничего нового или особенного здесь нету. По сути билдер имеет функцию создания клиента, превращение в критический процесс, запись во временные папки и редактирование описание к файлу.

Скрытность: все значительно печальнее чем у ниндзя. Антивирусы бьют тревогу и говорят, что файл потенциально опасен и лишь 20 счастливчиков из 72 не нашли ничего подозрительного. Остальные 52 очень сильно злятся и заполоняют весь сайт красными строками с названием билдера. Взглянуть на результаты ты можешь .

Объем исполняемых файлов: сами зловреды по размерам очень маленькие и на диске занимают каких-то 48 КБ. Для такой малвари это очень хороший результат и в этом аспекте она берет преимущество перед NjRat.

Нагрузка на систему: не трогает центральный процессор, но забирает себе память. При активном подключении берет 8 МБ, а если коннект не произошел забирает себе 6,1 МБ. Достаточно неплохой результат.

Встроенная защита: дополнительно имеет простой обфускатор кода и мьютекс. В результате чего это позволяет защитить исходный код и информацию о создатели.

Разное: интерфейс билдера самый стандартный, без каких-либо особенностей. Есть вкладка логи и таски, которые всегда находятся под рукой. В дополнение к этому на нижней панели отображает сколько процентов занято CPU и RAM. Крайне простая, но удобная функция. Все данные отображаются корректно. Сбоев кодировки или неправильной работы не наблюдается.

В итоге билдер обходит ниндзя по 4 последним пунктам, что становится достаточно хорошим результатом для такого open-source проекта.

Proton RAT

protonrat.jpg

  • Страница автора: Github
К сожалению официального описания софта я не нашел, но могу сказать точно, что такой ратник заслуживает твоего внимания. Сам билдер был найден в репозитории одного пользователя Github. Ничего больше найти не удалось. Исходного кода тоже нет, поэтому разбираться в его строении придется самостоятельно. Версия крякнутая, что свидетельствует об ограниченном или платном доступе для пользователей.

Многофункциональность: такого понятия для этого билдера похоже не существует. Доступен крайне скудный функционал, который включает в себя автозапуск и создание клиента. Есть очень странная функция с названием "Синий экран в терминале". Так и не понял с чем это связанно, возможно просто крашит систему и вызывает синий экран. Остается также гадать куда делись остальные функции. Либо были вырезанные при взломе или же изначально недоступны даже в полной версии.

Скрытность: в этом параметре утилита становится лидером по количеству детектов. Только 50 из 72 антивирусов нашли угрозу в исполняемом файле. Основной идентификатор у большинства голосов это MSILMamut.2116. Никто из участников так и не смог установить при помощи чего был создан файл. Предлагаю оценить это дело как всегда на .

Объем исполняемых файлов: толстый, но в рамках приличия. Только так я могу прокомментировать массу файла в 168 КБ. Результат неплохой, но можно сделать лучше. Этот пункт идет минусом в сравнении.

Нагрузка на систему: задевает только столбец памяти с размером в 8,1 МБ и диска с объемом в 0,1 МБ/c. Результат положительный с учетом того, что в диспетчере задач не мозолит глаза дополнение 32 бита и расширение файла.

Встроенная защита: две функции в подарок. Это мьютекс и дебагер. Больше ничего полезного в во вкладке настроек ты не найдешь. Скудно и досадно, ведь теперь перед работой с ним придется накладывать дополнительные слои защиты, а потом молиться, чтобы все запустилось.

Разное: к интерфейсу не придраться, плюсом к этому в управлении машиной есть интересная фича, которая позволяет преобразовывать введенный тобою текст в звук на устройстве жертвы. С такими функциями кто-то точно поймает инфаркт. Не каждый день увидишь разговаривающую с тобой технику.

Обойти нашего лидера шоу так и не получилось. Всего лишь 2 пункта из 5 идут положительно. Хотя с некоторыми доработками мог бы получиться идеальный ратник на постоянной основе.

Quasar

quasar.jpg

  • Страница автора: Github
Quasar — это быстрый и легкий инструмент удаленного администрирования, написанный на C#. Использование варьируется от поддержки пользователей до повседневной административной работы и мониторинга сотрудников. Обеспечивая высокую стабильность и простой в использовании пользовательский интерфейс, Quasar является идеальным решением для удаленного администрирования. Системный администраторы, ликуйте! Теперь для вас есть 100% рабочий и удобный софт для взаимодействия с офисными тачками. Ну а если серьезно, то описание звучит крайне оптимистично и красиво, что не совсем похоже на правду.

Многофункциональность: билдер обладает достаточно хорошим арсеналом и может похвастаться некоторыми удобными функциями. Одна из которых это создание инсталятора, который в свою очередь настраивается и запускается от пользователя и администратора. Во втором случаи юзер может выбрать корневую библиотеку для загрузки. Либо системную папку, либо стандартный Program Files. Также можно настроить отображаемое имя в автозапуске. В дополнении есть директивы для сохранения PE-файла. К этому всему пристыкуем поддержку IPv6 и добавления DNS Updater с известного сайта No-Ip.

Скрытность: здесь наш друг ставит рекорды. В отрицательную сторону конечно же. 58 детектов из 72, пока что это самый большой результат из всех. Посмотрим, что будет дальше ну а оставлять это так просто нельзя. Стоит позаботиться о дополнительной защите. Результаты смотри на .

Объем исполняемых файлов: жирный, очень жирный файл. 502 КБ на жестком диске занимает его зловред. Если ставить рекорды, то похоже до конца. Придется оптимизировать все это дело, чтобы нормально перемещать и копировать файл.

Нагрузка на систему: больше всего ест памяти. Забирает себе целых 13,4 МБ. Но не напрягает другие аспекты, поэтому обогнать в этом деле ниндзя ему не удалось. За это стоит поставить плюс.

Встроенная защита: мьютекс как всегда на месте, также имеется автоматический режим. Ну а большего для счастья похоже и не нужно. Хотя это еще достаточно приемлемый результат по сравнению с предыдущими кандидатами. Поэтому не будем нагнетать обстановку по этому поводу.

Разное: самый обычный дизайн для самого обычного ратника. Ничего нового или удивительного в нем я не нашел, поэтому этот пункт останется частично пустым.

Теперь стоит сказать, что ратник отличился своим функционалом и нагрузкой. В других случаях ему не удалось обогнать NjRat, поэтому оставляем два положительных аспекта и идем сравнивать дальше.

Venom

venom.jpg

  • Страница автора:
Venom RAT - качественный инструмент удаленного администрирования был главным запросом, который мы получили от наших пользователей эксплойтов макросов, и так родился Venom Software. Нет более простого способа распространить эксплойт в любой среде и воспользоваться удаленным управлением файлами и доступом к реестру/командам. Добавлю к этому немного своего мнения, поскольку его осмотру и анализу была посвящена целая статья. Этот продукт очень хорошо зарекомендовал себя в качестве коммерческого инструмента с огромными возможностями. На скриншоте видна его старая версия, но она до сих пор работает и не перестает удивлять. Но не будем преувеличивать, а приступим к сравнению.

Многофункциональность: сама программа держит на своих плечах огромный арсенал. В него входят как самые стандартные функции так и необычные, совершенно новые на этот момент. Ты можешь после сбора PE-файла сразу же не отходя от главного окна загрузить его на хостинг AnonFile или использовать в дополнения ко всем функциям эксплоиты Excel или Word. Кейлоггеры и стиллеры лишь дополняют всю работу и делают все гораздо удобнее. Билдер также предоставляет возможность повысить привилегии в системе до Ring3. То есть превратить ратник в полноценный Rootkit. Мало где такое встретишь.

Скрытность: что это такое? Ну а если серьезно, то не самый лучший результат, но и не самый худший. 54 антивируса из 72 злятся на исполняемый файл. Этот пункт находится в золотой середине между остальными билдерами. Оценить все это дело можно как обычно в .

Объем исполняемых файлов: самый жирный из всех. Откуда берется 535 КБ мне выяснить так и не удалось. В этом пункте Quasar отдает свое почетное место толстяков нашему Venom. По объему он самый большой из всех зловредов.

Нагрузка на систему: также остается в середине и не похоже не собирается отдавать это место. Всего лишь 9,1 МБ в разделе Память и 0,1 МБ/c нагрузка на диск. Хорошие показатели и отличная работа.

Встроенная защита: из этого имеется только мьютекс, поэтому если хочешь, чтобы это детище работало как надо, то придется в любом случаи докачивать несколько программ и покрывать ими исполняемый файл.

Разное: приятный дизайн и быстрая скорость соединения оставляют хорошие впечатления по отношению к этой программе. Она снаряжена всем необходимым и имеет даже свыше тех функций, что ты видел у других ратников. Здесь стоит поставить хороший плюс и перейти к подведению итога.

В минус у нас уходит только объем, все остальное остается в плюсе. Поэтому можно с уверенностью сказать, что Venom обогнал NjRat и взял над ним превосходство. Теперь, когда мы разобрали все программы можно сделать вывод.

Подводим итоги
Итак, по итогам наших сравнений получилось так, что двое билдеров вырвались вперед и одержали победу над NjRat, оставшиеся программы пролетели сравнительные характеристики и забрали всего лишь 2 положительных аспекта. В результате всех этих работ стоит напомнить тебе, что однозначно есть софт значительно лучше и качественнее NjRat и есть утилиты, которые совсем недотягивают до его уровня. Но в случаи с Quasar это дело можно исправить, взяв в руки исходники и любимый Visual Studio. Сюда еще стоит добавить знания C# и можно создавать свои модификации. Сам же ниндзя это достаточно устаревший ратник, у которого еще остался порох в пороховницах, но его не так много, чтобы тягаться с современными программами. Поэтому перед работой всегда проверяй качество и надежность своего софта.
 
Последнее редактирование модератором:

Mark Klintov

Grey Team
23.07.2022
151
290
BIT
18
Класс! Супер статья! Но мне Venom по душе)
На рынке этот софт показал себя с лучшей стороны. Хотя в части защиты все же стоит дополнительно покрыть его чем-либо. Кстати, это спойлер на следующую статью. В ней я уже расскажу как защитить программы от любопытных глаз
 
  • Нравится
Реакции: Haisenberg
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!