Как установить njrat на windows

Обновлено: 05.07.2024

Чаще всего для управления взломанными системами используются трояны удаленного доступа. Подобных инструментов множество, и в этой статье я покажу в действии сразу шесть популярных «ратников», которыми пользуются злоумышленники.

WARNING
Несанкционированный доступ к компьютерной информации — преступление. Ни автор, ни редакция журнала не несут ответственности за твои действия. Все тесты проводились на изолированных от реальных данных виртуальных машинах.

Вот список ратников, которые мы сегодня попробуем:

Cerberus 1.03.5;
CyberGate 1.07.5;
DarkComet 5.3;
Orcus Rat 1.9.1;
NjRat Danger Edition 0.7D;
Venom 2.1.
Для некоторого изучения билдов наших ратников я буду использовать Detect It Easy версии 3.01.

Оценивать их будем по следующим критериям:

набор предлагаемых функций;
скорость развертывания в целевой системе;
нагрузка на компьютер жертвы;
уровень защиты кода билда (попробуем разреверсить билд);
проверка на VirusTotal;
плюсы и минусы в целом.
А теперь приступим к анализу.

Пробуем загрузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и ругаются некоторые антивирусы.

Проверка на VirusTotal
Вердикт
Cerberus хорошо подходит для долговременного пребывания в системе. Его проще подсунуть жертве из‑за возможности менять расширение файла.

Из минусов — распознать Windows 10 при работе он не смог, ну и антивирусами палится прилично, так что придется криптовать. Компилятор малость устарел, а при запуске он внезапно издает звук, который совершенно не способствует незаметному заражению.

CYBERGATE

Интересные функции
Сбор сведений об активной сессии
Позволяет искать данные на устройствах
Имеется расширенный объем получаемых данных в панели
Описание
Запуск и закрепление билда занимает около 25 с — медленно, даже по сравнению с тем же Cerebrus. Нагрузка на систему несколько выше, чем у конкурентов; к тому же при запуске он создает несколько процессов и виден в диспетчере задач. Потребляет 0,1% процессора и 4,2 Мбайт памяти. Нагружает диск на 100 Кбайт/с.

С защитой все странно: билд даже не пытается скрыть очень большое количество импортируемых библиотек и функций из них. Обфускации вызовов WinAPI нет, что не может не удивлять.

После сказанного выше детект 64/70 (91,4%) совсем не удивляет, но при проверке этой крысы на VirusTotal только один из 70 антивирусов (eGambit) смог установить точное происхождение вируса.

Полные результаты сканирования
Вердикт
Да, билд палится всем чем только можно, но прост как палка и легок в использовании. Но и вырубить его легко, он не будет особенно сопротивляться.

DARKCOMET

Интересные функции
Имеется два режима сборки вируса (минимальный и расширенный)
Есть функция подключения сокетов (можем пробрасывать подключения для повышения безопасности)
Можно запланировать действия
Позволяет создать ссылку‑загрузчик для вируса
Описание
Сборка билда требует больше минуты, что сильно больше обычного для такого софта. После запуска билда потребляется 2,7 Мбайт ОЗУ, что совсем хорошо на фоне околонулевого потребления остальных ресурсов.

Билд снова не накрыт никаким протекторами или упаковщиками. В импортах сразу заметна user32.dll, из которой импортируются модули mouse и keybd, и, конечно, функция VkKeyScanA, которые позволяют сделать кейлоггер.

Проверка на VirusTotal
Вердикт
Ни один антивирус не понял, что перед ним «Комета». Впрочем, начинка билда вся торчит наружу, так что сильно распространять такие программы не стоит, хоть и кастомизация здесь полная. Да и время сборки билда не радует.

ORCUS RAT

Интересные функции
Может создавать сторонние процессы для отвлечения внимания
Способен создавать респавнер при удалении нагрузки из системы или нарушении его работы
Поддерживает плагины
Описание
Скорость работы высокая: собирается за десять секунд. Потребляет 15,6 Мбайт оперативки и ничем не нагружает комп жертвы.

Проверка на VirusTotal
Вердикт
Штука в целом очень неплохая, разве что требует шифрования, как, впрочем, и все остальные сегодняшние подопытные. Из плюсов — имеет кучу дополнений для более успешной работы. Может транслировать картинку с веб‑камеры.

Многие антивирусы, к примеру AhnLab-V3, обнаруживают Orcus Rat, а защиты от этого толком нет. Также он требует длительной настройки, а без плагинов функциональность заметно ограничена.

NJRAT

Интересные функции
Выключение при активации определенного процесса
Стриминг экрана жертвы
Защита хоста и порта обратного подключения
Запрет на удаление программы
Отключение диспетчера задач
Описание
Сбор билда занимает ровно десять секунд. Нагрузка на систему‑жертву очень сильная: процессор занят на 18%, что сильно выдает вирус.

Проверка на VirusTotal
Проверка антивирусными сканерами показала результат лучше, чем у прошлых семплов, но для боевого широкомасштабного применения это все равно не годится (к тому же мы договаривались так не делать, помнишь?).

Вердикт
Трой довольно интересный: хорошо проработан, его слабо детектят антивирусы, в сети есть исходники, функций — множество. Соединение с C&C-сервером зашифровано — еще один плюсик этой «крысе».

Есть у NjRat и проблемы: в частности, относительно высокая нагрузка на систему жертвы и те же самые открытые исходники, которые указаны как преимущество. Дело в том, что из‑за этой особенности антивирусы в целом обнаруживают его эффективнее, чем закрытые трояны, но в любом случае без шифрования распространять такого рода софт не следует.

INFO
О том, как попадаются распространители вирусов, читай в статье «Не пались! Как вычисляют вирусописателей». Рекомендуем с ней ознакомиться, прежде чем вбить в поисковик «скачать njrat».

Проверка на VirusTotal
Детект еще немного меньше, чем у NjRat, но для масштабного использования снова понадобится крипт.

Вердикт
В целом этот трой — наиболее успешный из сегодня рассмотренных, и его можно эксплуатировать для длительной работы. Нагрузку можно легко модифицировать под свои нужды. Также он наиболее скрытный среди всех конкурентов, и ничего конкретного о нем не может сказать ни один антивирус. Есть всего один, но существенный минус — Venom полностью платный, но это останавливает не всех.

ИТОГИ
Конечно, мы не рассмотрели даже десятой части распространенных ратников — их попросту слишком много! Есть, к примеру, модифицированные клиенты TeamViewer и AnyDesk, которые используются в тех же целях. Впрочем, если ты знаешь заслуживающий внимание RAT, который мы упустили, расскажи об этом в комментариях!

Этичный хакинг и тестирование на проникновение, информационная безопасность

Выполнение атак социальной инженерии требует наличие веб-сервера, на котором запущен сайт или размещена страница, которая пытается перехитрить пользователя и сделать так, чтобы он ввёл определённые данные или совершил какое-либо действие.

Это фишинговый веб-сервер должен быть доступен из Интернета, а для этого требуется публичный IP. Многие клиенты Интернет-провайдеров выходят в Интернет через NAT, а это означает, что они никак не могут сделать свой веб-сервер публичным.

• арендовать хостинг
• арендовать внешний IP у своего Интернет-провайдера

В данной статье я покажу, как с помощью программы ngrok можно обойтись без внешнего IP адреса.

Программа ngrok работает следующим образом:

• её нужно запустить на своём компьютере где установлен веб-сервер и указать порт, на который она должна перенаправлять трафик (например, 80й порт)
• ngrok связывается с облачным сервисом и генерирует вам субдомен третьего уровня
• при поступлении подключения к этому субдомену, программа перенаправляет трафик на ваш локальный компьютер, например, на ваш локальный веб-сервр

Чтобы было понятно, посмотрим как работает ngrok на конкретном примере:

Так вот, в такой безвыходной ситуации и поможет ngrok. Чтобы мой веб-сервер стал доступным из Интернета, мне достаточно запустить такую команду:

На экране следующая информация:

Интересующие меня данные заключается в строках:

Как видим, файл выполнился на локальном сервере и показаны результаты его работы.

Вернёмся на компьютер Windows где запущены ngrok и веб-сервер:

Или просматривать статус ngrok в целом:

Как установить ngrok

Установка ngrok в Kali Linux и в любой другой дистрибутив Linux

Установка в ngrok BlackArch

Установка ngrok в Windows

Распакуйте скаченный архив, отройте командную строку и перейдите в папку с исполнимым файлом с помощью cd, например, у меня программа помещена в папку C:\Users\MiAl\Downloads\:

Для проверки выведите справку командой:

Как получить токен аутентификации ngrok (authtoken)

Программа ngrok является бесплатной, но предусматривает платные тарифы. Бесплатных состояний может быть два:

Без регистрации вы можете использовать ngrok сразу после скачивания исполнимого файла. Без регистрации вы сможете выполнить только простейшие действия, например, как приведённое выше — создать тоннель от домена третьего уровня до своего локального сервера. На самом деле, для многих этого достаточно.

После этого токен ngrok будет сохранён в файле, и ngrok будет автоматически считывать его оттуда при каждом запуске.

Как узнать чужой IP

В качестве демонстрации применения ngrok рассмотрим пару примеров. Предположим, мне нужно узнать IP адрес пользователя, с которым я общаюсь, например, по чату или через email. Для этого мне достаточно, чтобы он зашёл на любую страницу моего веб-сервера.

На веб-сервере я делаю следующую подготовку:

1. Создаю папку hacked-accounts (допустим, предлог — ссылка в Интернете на базу данных утёкших учётных данных).

2. Создаю файл index.php с примерно следующим содержимым:

При открытии этой ссылки пользователь увидит что-то вроде такого:

Но при каждой попытке открыть ссылку на веб-сервере будут создаваться новые файлы с информацией:

Пример содержимого файла:

Особый интерес представляют следующие строки:

Что касается REMOTE_ADDR, то значением там всегда будет примерно «::1». В REMOTE_ADDR содержится IP адрес программы, сделавшей запрос, в данном случае запрос сделала программа ngrok, которая запущена на том же самом компьютере поэтому её IP адресом является loopback.

Предположим, нужно переслать другому пользователю файл, но при этом не использовать файлообменники, почту или аналогичные сервисы. Это можно сделать с помощью ngrok.

Теперь выдуманная ситуация следующая — мне действительно нужно быстро и без файлообменников передать пользователю другой файл. Для этого на локальном компьютере даже не нужен веб-сервер — функции простого веб-сервера будет выполнять сам ngrok.

Для выполнения задуманного, мне нужно предоставить доступ к папке hacked-accounts-real, расположенной по пути C:\Server\data\htdocs\hacked-accounts-real\, тогда достаточно запустить следующую команду:

Обратите внимание, что перед папкой стоит строка «file:///».

При открытии вновь сгенерированной ссылки будет получен доступ ко всем файлам в указанной папке:

Прокси с ngrok

ngrok может создавать туннели не только до локальных сетевых служб, но и до любых других адресов в Интернете. При этом получается прокси.

Команды и опции ngrok

Заключение

Итак, ngrok может использоваться как замена хостингу для разовых задач. Например, если на удалённом сервере обнаружена уязвимость Удалённое выполнение кода и есть возможность запустить команду для скачивания шелла, то этот шелл нужно где-то разместить на доступном публично сервере. В качестве очень быстрого решения можно использовать ngrok + ОС, настроенная для работы через Tor.

В следующей статье будет показан более интересный пример использования ngrok в социальной инженерии.

RAT — Remote Administration Tool , в переводе — « средство удалённого администрирования» или «средство удалённого управления ». Термин получил распространение среди системных администраторов и хакеров.

В примере я взял NjRat (данный способ подходит для всех ратников)

Как понять какой у меня статический или динамический ип?
IP-адрес называют статическим (постоянным, неизменяемым), если он назначается пользователем в настройках устройства, либо назначается автоматически при подключении устройства к сети и не может быть присвоен другому устройству.

IP-адрес называют динамическим (непостоянным, изменяемым), если он назначается автоматически при подключении устройства к сети и используется в течение ограниченного промежутка времени, указанного в сервисе назначавшего IP-адрес (

Регистрируемся

Заходим на почту
И открываем письмо от No-ip
Нажимаем " Confirm Account "

Вас прекинет на сайт no-ip
Нажимаем Download


После того как вы скачали и установили no-ip
Вводим логин:пароль

Нажимем " Edit Hosts "

Ставим галочку

Запускаем cmd

Вводим ipconfig

Находим Ethernet
IPv4-адрес 192.168.1.5 у вас может быть другой
К примеру 192.168.1.4 или 192.168.10.3
Запоминаем!

Ещё запоминаем
Основной шлюз 192.168.1.1
У вас может быть другой
К примеру 192.168.0.1

Заходим в браузер
И вводи в адресную строку основной шлюз(адрес роутера)
Вводим логин и пароль
Его можно узнать посмотрев в интернете
Или перевернув роутер


Находим вкладку Port Mapping или Port Forwarding

Выбираем Protocol TCP/UDP
Там где
External start port : вводим порт 1604
External end port : вводим порт 1604
Internal host : вводим адрес IP4v который запоминали
Internal post : вводим порт 1604
У вас может быть так

Там где
Service Port вводим порт 1604
IP Address вводим IPv4 который запоминали

Тоже самое только с портом 80
И вместо IPv4 который запоминали вводим адрес роутера

Запускаем Njrat
И вводи порт который открывали(1604)

Нажимаем Builder что бы создать сервер

На картинке написано что и как

Пример

Сохраняем

Запускаем для теста наш Servert.exe
И появиться юзер)

Реверс малвари

Ранее вредонос njRAT уже фигурировал в отчетах ИБ-экспертов и тоже в связи с весьма оригинальным способом распространения. В середине октября 2016 года исследователи из компании Symantec предупреждали о том, что популярный VoIP-сервис Discord облюбовали спамеры, которые распространяют через каналы чатов сразу несколько RAT (Remote Access Trojan) вредоносов: NanoCore (Trojan.Nancrat), njRAT (Backdoor.Ratenjay) и SpyRat (W32.Spyrat).

Теперь необычную схему доставки трояна заметили исследователи компании Malwarebytes. Цепочка распространения вредоноса начинается с файла VMWare.exe, который маскируется под взломанную, пиратскую версию известного средства для виртуализации VMWare. Однако во время установки подозрительное приложение не просто связывается с управляющим сервером и загружает малварь. Вместо этого исталлятор связывается с PasteBin, откуда в виде текста скачивает скрипт на Visual Basic и запускает его на компьютере жертвы. Скрипт, в свою очередь, подключается к серверу атакующих и скачивает оттуда файл Tempwinlogon.exe. Как показал анализ, данный файл устанавливает в систему жертвы трояна Bladabindi, также известного под именами Derusbi и njRAT.

Исследователи сообщают, что при попытке завершения подозрительного процесса, созданного трояном, через Диспетчер задач, компьютер неизменно «падает» и демонстрирует BSOD. Авторы njRAT определенно подсмотрели этот трюк у JavaScript малвари, которую специалисты компании Kahu Security обнаружили несколько недель назад. JavaScript вредонос вообще выключает компьютер жертвы, если его работе пытаются помешать, а после повторного включения ПК, возобновляет свою работу как ни в чем ни бывало.

Исследователи Malwarebytes предупреждают всех пострадавших от njRAT о необходимости не просто очистить систему от заражения, но также сменить все пароли, так как вредонос ворует учетные данные, перехватывая нажатия клавиш.

Кейлоггер

Читайте также:

  
• Как в windows 7 изменить имя компьютера и рабочей группы
  
• Как запаролить папку на компьютере windows 8
  
• Gpt не обнаружен windows 11
  
• Произошла ошибка при настройке windows server 2016 essentials
  
• Ускорение курсора мыши windows 10