Как запустить njrat на linux

Обновлено: 07.07.2024

Этичный хакинг и тестирование на проникновение, информационная безопасность

Выполнение атак социальной инженерии требует наличие веб-сервера, на котором запущен сайт или размещена страница, которая пытается перехитрить пользователя и сделать так, чтобы он ввёл определённые данные или совершил какое-либо действие.

Это фишинговый веб-сервер должен быть доступен из Интернета, а для этого требуется публичный IP. Многие клиенты Интернет-провайдеров выходят в Интернет через NAT, а это означает, что они никак не могут сделать свой веб-сервер публичным.

• арендовать хостинг
• арендовать внешний IP у своего Интернет-провайдера

В данной статье я покажу, как с помощью программы ngrok можно обойтись без внешнего IP адреса.

Программа ngrok работает следующим образом:

• её нужно запустить на своём компьютере где установлен веб-сервер и указать порт, на который она должна перенаправлять трафик (например, 80й порт)
• ngrok связывается с облачным сервисом и генерирует вам субдомен третьего уровня
• при поступлении подключения к этому субдомену, программа перенаправляет трафик на ваш локальный компьютер, например, на ваш локальный веб-сервр

Чтобы было понятно, посмотрим как работает ngrok на конкретном примере:

Так вот, в такой безвыходной ситуации и поможет ngrok. Чтобы мой веб-сервер стал доступным из Интернета, мне достаточно запустить такую команду:

На экране следующая информация:

Интересующие меня данные заключается в строках:

Как видим, файл выполнился на локальном сервере и показаны результаты его работы.

Вернёмся на компьютер Windows где запущены ngrok и веб-сервер:

Или просматривать статус ngrok в целом:

Как установить ngrok

Установка ngrok в Kali Linux и в любой другой дистрибутив Linux

Установка в ngrok BlackArch

Установка ngrok в Windows

Распакуйте скаченный архив, отройте командную строку и перейдите в папку с исполнимым файлом с помощью cd, например, у меня программа помещена в папку C:\Users\MiAl\Downloads\:

Для проверки выведите справку командой:

Как получить токен аутентификации ngrok (authtoken)

Программа ngrok является бесплатной, но предусматривает платные тарифы. Бесплатных состояний может быть два:

Без регистрации вы можете использовать ngrok сразу после скачивания исполнимого файла. Без регистрации вы сможете выполнить только простейшие действия, например, как приведённое выше — создать тоннель от домена третьего уровня до своего локального сервера. На самом деле, для многих этого достаточно.

После этого токен ngrok будет сохранён в файле, и ngrok будет автоматически считывать его оттуда при каждом запуске.

Как узнать чужой IP

В качестве демонстрации применения ngrok рассмотрим пару примеров. Предположим, мне нужно узнать IP адрес пользователя, с которым я общаюсь, например, по чату или через email. Для этого мне достаточно, чтобы он зашёл на любую страницу моего веб-сервера.

На веб-сервере я делаю следующую подготовку:

1. Создаю папку hacked-accounts (допустим, предлог — ссылка в Интернете на базу данных утёкших учётных данных).

2. Создаю файл index.php с примерно следующим содержимым:

При открытии этой ссылки пользователь увидит что-то вроде такого:

Но при каждой попытке открыть ссылку на веб-сервере будут создаваться новые файлы с информацией:

Пример содержимого файла:

Особый интерес представляют следующие строки:

Что касается REMOTE_ADDR, то значением там всегда будет примерно «::1». В REMOTE_ADDR содержится IP адрес программы, сделавшей запрос, в данном случае запрос сделала программа ngrok, которая запущена на том же самом компьютере поэтому её IP адресом является loopback.

Предположим, нужно переслать другому пользователю файл, но при этом не использовать файлообменники, почту или аналогичные сервисы. Это можно сделать с помощью ngrok.

Теперь выдуманная ситуация следующая — мне действительно нужно быстро и без файлообменников передать пользователю другой файл. Для этого на локальном компьютере даже не нужен веб-сервер — функции простого веб-сервера будет выполнять сам ngrok.

Для выполнения задуманного, мне нужно предоставить доступ к папке hacked-accounts-real, расположенной по пути C:\Server\data\htdocs\hacked-accounts-real\, тогда достаточно запустить следующую команду:

Обратите внимание, что перед папкой стоит строка «file:///».

При открытии вновь сгенерированной ссылки будет получен доступ ко всем файлам в указанной папке:

Прокси с ngrok

ngrok может создавать туннели не только до локальных сетевых служб, но и до любых других адресов в Интернете. При этом получается прокси.

Команды и опции ngrok

Заключение

Итак, ngrok может использоваться как замена хостингу для разовых задач. Например, если на удалённом сервере обнаружена уязвимость Удалённое выполнение кода и есть возможность запустить команду для скачивания шелла, то этот шелл нужно где-то разместить на доступном публично сервере. В качестве очень быстрого решения можно использовать ngrok + ОС, настроенная для работы через Tor.

В следующей статье будет показан более интересный пример использования ngrok в социальной инженерии.

когдаь запускаю ратник у меня появляеться эта ошибка что делать?

Ничего,у тебя и так их навалом,а вообще начни лучше с уроков в школе

Михаил Персунов запись закреплена

доброго времени суток. сделал все по инструкции, вроде как открыл порты через hidemyname, но при открытии rat файла ничего не происходит, не вылазит компьютер в подключениях. прошу помочь

Это делается не по инструкции,а по уму,и понимании что делаешь,и вообще, зачем тебе это?

Гриша Михайлов запись закреплена

Гриша Михайлов

Ну да, человек думает, что все мамкины хацкеры начинают с njrat.

Рома Щапов запись закреплена

Кто поможет открыть порты для NjRat? пожалуйств

Гриша Михайлов запись закреплена

Криптую ратники njrat и dark comet бесплатно (только для мамкиных хацкеров)

Макс Льдов запись закреплена

Как установить njrat и через какую прогу напишите пж

Егор Гарах запись закреплена

Написал Егор Скитов с просьбой сказать как он распространил njrat. Его ответ:Pic 1. Послед долгих переписок я спрашиваю у него номер киви кошелька, он присылает никнейм VISTASELL. Я всё успешно перевожу и пишу проверь, на что мне поступает ответ, что ничего не пришло. Как оказалось, он указал неверный Ник(ошибка в последней букве).Итог: он слился и игнорит, денег нет, мануала тоже.

Не­сан­кци­они­рован­ный дос­туп к компь­ютер­ной информа­ции — прес­тупле­ние. Ни автор, ни редак­ция жур­нала не несут ответс­твен­ности за твои дей­ствия. Все тес­ты про­води­лись на изо­лиро­ван­ных от реаль­ных дан­ных вир­туаль­ных машинах.

Вот спи­сок рат­ников, которые мы сегод­ня поп­робу­ем:

• Cerberus 1.03.5;
• CyberGate 1.07.5;
• DarkComet 5.3;
• Orcus Rat 1.9.1;
• NjRat Danger Edition 0.7D;
• Venom 2.1.

Для некото­рого изу­чения бил­дов наших рат­ников я буду исполь­зовать Detect It Easy вер­сии 3.01.

Оце­нивать их будем по сле­дующим кри­тери­ям:

• на­бор пред­лага­емых фун­кций;
• ско­рость раз­верты­вания в целевой сис­теме;
• наг­рузка на компь­ютер жер­твы;
• уро­вень защиты кода бил­да (поп­робу­ем раз­ревер­сить билд);
• про­вер­ка на VirusTotal;
• плю­сы и минусы в целом.

А теперь прис­тупим к ана­лизу.

Cerberus

Интересные функции

Описание

Ско­рость работы высокая: на все про все наг­рузке тре­бует­ся око­ло пяти секунд. При работе занима­ет 7,3 Мбайт памяти и прак­тичес­ки не наг­ружа­ет про­цес­сор.

Про­буем заг­рузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и руга­ются некото­рые анти­виру­сы.

Про­вер­ка на VirusTotal

Вердикт

Cerberus хорошо под­ходит для дол­говре­мен­ного пре­быва­ния в сис­теме. Его про­ще под­сунуть жер­тве из‑за воз­можнос­ти менять рас­ширение фай­ла.

Из минусов — рас­познать Windows 10 при работе он не смог, ну и анти­виру­сами палит­ся при­лич­но, так что при­дет­ся крип­товать. Ком­пилятор малость уста­рел, а при запус­ке он вне­зап­но изда­ет звук, который совер­шенно не спо­собс­тву­ет незамет­ному зараже­нию.

CyberGate

Интересные функции

• Сбор све­дений об активной сес­сии
• Поз­воля­ет искать дан­ные на устрой­ствах
• Име­ется рас­ширен­ный объ­ем получа­емых дан­ных в панели

Описание

За­пуск и зак­репле­ние бил­да занима­ет око­ло 25 с — мед­ленно, даже по срав­нению с тем же Cerebrus. Наг­рузка на сис­тему нес­коль­ко выше, чем у кон­курен­тов; к тому же при запус­ке он соз­дает нес­коль­ко про­цес­сов и виден в дис­петче­ре задач. Пот­ребля­ет 0,1% про­цес­сора и 4,2 Мбайт памяти. Наг­ружа­ет диск на 100 Кбайт/с.

С защитой все стран­но: билд даже не пыта­ется скрыть очень боль­шое количес­тво импорти­руемых биб­лиотек и фун­кций из них. Обфуска­ции вызовов WinAPI нет, что не может не удив­лять.

Пос­ле ска­зан­ного выше детект 64/70 (91,4%) сов­сем не удив­ляет, но при про­вер­ке этой кры­сы на VirusTotal толь­ко один из 70 анти­виру­сов (eGambit) смог уста­новить точ­ное про­исхожде­ние вируса.

Пол­ные резуль­таты ска­ниро­вания

Вердикт

Да, билд палит­ся всем чем толь­ко мож­но, но прост как пал­ка и легок в исполь­зовании. Но и вырубить его лег­ко, он не будет осо­бен­но соп­ротив­лять­ся.

DarkComet

Интересные функции

• Име­ется два режима сбор­ки вируса (минималь­ный и рас­ширен­ный)
• Есть фун­кция под­клю­чения сокетов (можем проб­расывать под­клю­чения для повыше­ния безопас­ности)
• Мож­но зап­ланиро­вать дей­ствия
• Поз­воля­ет соз­дать ссыл­ку‑заг­рузчик для вируса

Описание

Сбор­ка бил­да тре­бует боль­ше минуты, что силь­но боль­ше обыч­ного для такого соф­та. Пос­ле запус­ка бил­да пот­ребля­ется 2,7 Мбайт ОЗУ, что сов­сем хорошо на фоне око­лону­лево­го пот­ребле­ния осталь­ных ресур­сов.

Билд сно­ва не нак­рыт никаким про­тек­торами или упа­ков­щиками. В импортах сра­зу замет­на user32.dll, из которой импорти­руют­ся модули mouse и keybd , и, конеч­но, фун­кция VkKeyScanA , которые поз­воля­ют сде­лать кей­лог­гер.

Про­вер­ка на VirusTotal

Вердикт

Ни один анти­вирус не понял, что перед ним «Комета». Впро­чем, начин­ка бил­да вся тор­чит наружу, так что силь­но рас­простра­нять такие прог­раммы не сто­ит, хоть и кас­томиза­ция здесь пол­ная. Да и вре­мя сбор­ки бил­да не раду­ет.

Продолжение доступно только участникам

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Реверс малвари

В JavaScript-менеджере пакетов npm (Node Package Manager) обнаружили очередную малварь. На этот раз разработчики, установившие пакеты jdb.js и db-json.js оказались заражены трояном удаленного доступа njRAT. Оба пакета были удалены из npm в начале текущей недели.

Пакеты были созданы одним и тем же автором и описывались как инструменты, помогающие работать с файлами JSON. Оба пакета загрузили в npm на прошлой неделе, и пользователи успели скачать их более 100 раз, прежде чем специалисты компании Sonatype обнаружили в них малварь.

По информации аналитиков Sonatype, эти пакеты содержали вредоносный скрипт, который запускался после того, как разработчик импортировал и устанавливал любую из двух вредоносных библиотек. Скрипт выполнял базовую разведку на зараженном хосте, а затем стремился загрузить и запустить файл patch.exe (файл на VirusTotal), который позже устанавливал на пострадавшую машину трояна njRAT. Эта малварь также известна под названием Bladabindi и используется злоумышленниками как минимум с 2015 года.

Чтобы загрузка njRAT проходила без проблем, загрузчик patch.exe изменял работу локального брандмауэра Windows, перед загрузкой малвари добавляя в белый список правило для своего управляющего сервера.

Интересно, что такое поведение демонстрировал только пакет jdb.js , тогда как второй пакет, db-json.js , попросту загружал первый (очевидно, с целью маскировки вредоносного поведения).

Так как njRAT – это весьма серьезная угроза, команда безопасности npm рекомендует пострадавшим разработчикам считать свои системы полностью скомпрометированными. Специалисты подчеркивают, что одним лишь удалением вредоносного пакета в данном случае обойтись не получится, так как «нет никакой гарантии, что удаление пакета приведет к удалению всего вредоносного ПО, появившегося в результате его установки».

Нужно отметить, что с августа текущего года интерес злоумышленников к npm определенно возрос. За последние месяцы эксперты уже не раз обнаруживали различные вредоносные пакеты, ориентированные на кражу данных из зараженных систем. Судя по всему, хакеры заинтересованы во взломе разработчиков, чтобы иметь возможность похитить учетные данные от конфиденциальных проектов, исходный код, интеллектуальную собственность или подготовиться к атакам на более крупные цепочки поставок.

Читайте также:

  
• Windows 8 нужен ли антивирус
  
• Больше файлов не осталось windows 10 как исправить
  
• Как сделать таблицу в ворде на маке
  
• Может ли вирус остаться после переустановки виндовс
  
• Как установить internet explorer на ubuntu