Узнаём автора билда DarkComet RAT (IP,Port...)

C

Celis Hugo

ОПЫТНЫЙ USER
Регистрация
21 Май 2021
Сообщения
154
Реакции
65
Приветствую всех. Сегодня расскажу как узнать данные о билде DarkComet, для того что бы узнать IP и порт подключения, а так же дополнительную информацию о настройке билда.

Прежде всего убедитесь что билд не упакован пакерами:
c6S4Fx7.png

Если же он упакован (обычно это UPX или MPRESS), то распакуйте анпакерами (к примеру Packer Breaker).

Далее открываем билд в любом редакторе ресурсов, и смотрим ресурс в RC_DATA под названием "DCDATA":
jr0jIKS.png


Внутри видим шифрованную строку через RC4. Теперь нужно его просто расшифровать.

Идём сюда: RC4 Encryption – Easily encrypt or decrypt strings or files
Vs7nR6o.png

Вводим данные которые мы нашли и ключ для расшифровки (комета использует ключ "#KCMDDC51#-890" для шифровки всех своих пакетов).

В итоге мы получаем расшифрованный текст:
iIVohE2.png


Скачиваем его как бинарный файл и открываем в блокноте, ну и вот что мы видим в итоге:
Код:
Код: 
#BEGIN DARKCOMET DATA --
MUTEX={DC_MUTEX-9QBE2AZ}
SID={Test} //UserID
FWB={0}
NETDATA={127.0.0.1:1604} //IP и порт подключения.
GENCODE={2PEYRLKdlsU5}
INSTALL={1}
COMBOPATH={7}
EDTPATH={MSDCSC\msdcsc.exe} //Папка для самокопирования
KEYNAME={Windows Security} // Имя в автозагрузке
EDTDATE={16/04/2007}
PERSINST={1}
MELT={1}
CHANGEDATE={0}
DIRATTRIB={6}
FILEATTRIB={6}
SH1={1}
SH5={1}
SH6={1}
SH7={1}
CHIDEF={1}
CHIDED={1}
PERS={1}
OFFLINEK={1}
#EOF DARKCOMET DATA --
 
  • Нравится
Реакции: Ydod
По моему мы так не автора билда узнаем, а просто узнаем что нам автор подсунул и через какую дырку он сидит.
Годненько.
А нельзя расковырять на столько, чтоб можно было конкретно какие то данные компа узнать владельца билда который у нас сидит?
 
@4QSN1K, Была как-то раньше схема одна, что можно было узнать куда со стилака твой отчет улетел. Подрубаешь какую-то прогу и она показывает куда с твоего компа уходит трафик и сразу при включении программы запускаешь чей-то стиллер. Если ему логи приходят на мыло, то можно было все его сливки угнать.
 
@AmaRichBitch, а вот это уже конечно очень даже интересно.
И все же бывает такое когда в компиляторе остается в лог IP.
 
Таа не , туфта
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху