Netwire
Производство: World Wired Labs
Начну статью с того, что скажу, что у меня есть маломальский опыт работы с системами удаленного администрирования (RAT) и конкретно этот образец меня очень сильно заинтересовал.
Вашему вниманию кроссплатформенный RAT с гибкими возможностями.
Кроссплатформенность:
Билдер может сгенерировать билд под Windows, Linux/Unix и Solaris. Тестировал на Windows XP SP3 и ubuntu 12.10 - без проблем ).
Формат представления:
Программа может быть представлена как в виде PE пакета, так и в виде шеллкодов на следующих языках: Делфи, Си/Си++, Ява, Питон.
Безопасность:
Безопасность передачи данных построена на шифровании трафика алгоритмом AES с 256-битным ключом. Введена система защиты от перебора паролей.
Пароли:
Netwire умеет извлекать пароли следущих программ:
Браузеры:
• Mozilla Firefox (v3.x...v10.x)
• Internet Explorer (7, 8 and 9)
• Opera (All Versions)
• Google Chrome
• Chromium
• SeaMonkey
Месседжеры:
• Windows Live Messenger
• Pidgin
Почтовые клиенты:
• Mozilla Thunderbird
• Microsoft Outlook
Перехват данных с клавиатуры:
Если паролей вам не достаточно, то у Netwire есть отличный кейлоггер. У многих RAT функция перехвата нажатия клавиш реализована крайне плохо: либо нестабильно, либо нет поддержки unicode. В нашем же случае кейлоггер работает четко.
Работа с файлами:
Файловый менеджер реализован крайне грамотно. Помимо стандартный "скачать", "закачать", "запустить" есть возможность поиска файлов по расширению. Отмечу тот факт, что если при скачивании файла произошел обрыв связи, то закачку можно возобновить с прерванного места.
Downloader:
Очень удобная опция "quick download" позволяет скачать и запустить файл, как на каждом сервере отдельно, так и сразу на всех.
Reverse прокси:
Эту опцию стоит расписать отдельно. Вообще, не везде можно просто найти нормальный reveser прокси. А тут это реализовано функцией на сервере. Т.е. любая зараженая машина может стать для вас туннелем в ее подсеть (или в интернет). Сервер соединяется с клиентской частью на вашей стороне. Все что нужно нам, просто указать порт для подключение к локальному соксу, который и перебросит соединение на серверную часть.
Дополнительные функции:
Удаленная командная строка
Захват экрана
Серверная часть умеет соединяться через прокси, в том числе через цепочки прокси, а также считывать и использовать настройки прокси в браузерах. Данная фича может оказаться полезной в сетях (как правило, в корпоративных), где интернет раздается только через прокси.
Недостатки:
Самый большой недостаток данного продукта - отсутствие обхода межсетевых экранов (FWB) и обнаружение антивирусами (FUD). Однако сегодня эти задачи решают крипторы. Более того, разработчики заявили, что в версии Advanced функции FWB и FUD все-таки будут реализованы "из коробки".
На кого ориентирован этот RAT:
Судя по ценнику, становится ясно, что данный RAT не предназначен для массовых инфекций. Он предназначен, прежде всего, для тех, кто устал заниматься постоянными чистками своих RAT для заражения небольшого количества машин. Философия этого RAT - лучше меньше, да дольше. Ожидается, что в целях борьбы со спамерами и кардерами в систему будут введены цифровые водяные знаки, по которым можно будет опознавать утечки и отзывать лицензии.
Общее ощущение:
Складывается ощущение, как будто я держу в руках продукцию компании Apple. Все продумано, все эргономично. Без глюков. Все функции удобные, никаких левых кнопок и ненужных функций. Причем это всего лишь версия 1.0.0.0, когда как DarkComet RAT для такого же функционала понадобилось дойти до версии 5.3.1. Команда разработчиков имеет большой опыт и знает свое дело. Кстати выйти конкретно на кого-либо из разработчиков так и не удалось.
P.S.
Дабы читателей от ошибок уберечь:
Не используйте Fathercrypter и Megacrypt - в последнее время эврестический анализ что у Kaspersky Internet Security что у Eset Smart Security стали обнаруживать процедуру инжекции в процесс.
Производство: World Wired Labs
Начну статью с того, что скажу, что у меня есть маломальский опыт работы с системами удаленного администрирования (RAT) и конкретно этот образец меня очень сильно заинтересовал.
Вашему вниманию кроссплатформенный RAT с гибкими возможностями.
Кроссплатформенность:
Билдер может сгенерировать билд под Windows, Linux/Unix и Solaris. Тестировал на Windows XP SP3 и ubuntu 12.10 - без проблем ).
Формат представления:
Программа может быть представлена как в виде PE пакета, так и в виде шеллкодов на следующих языках: Делфи, Си/Си++, Ява, Питон.
Безопасность:
Безопасность передачи данных построена на шифровании трафика алгоритмом AES с 256-битным ключом. Введена система защиты от перебора паролей.
Пароли:
Netwire умеет извлекать пароли следущих программ:
Браузеры:
• Mozilla Firefox (v3.x...v10.x)
• Internet Explorer (7, 8 and 9)
• Opera (All Versions)
• Google Chrome
• Chromium
• SeaMonkey
Месседжеры:
• Windows Live Messenger
• Pidgin
Почтовые клиенты:
• Mozilla Thunderbird
• Microsoft Outlook
Перехват данных с клавиатуры:
Если паролей вам не достаточно, то у Netwire есть отличный кейлоггер. У многих RAT функция перехвата нажатия клавиш реализована крайне плохо: либо нестабильно, либо нет поддержки unicode. В нашем же случае кейлоггер работает четко.
Работа с файлами:
Файловый менеджер реализован крайне грамотно. Помимо стандартный "скачать", "закачать", "запустить" есть возможность поиска файлов по расширению. Отмечу тот факт, что если при скачивании файла произошел обрыв связи, то закачку можно возобновить с прерванного места.
Downloader:
Очень удобная опция "quick download" позволяет скачать и запустить файл, как на каждом сервере отдельно, так и сразу на всех.
Reverse прокси:
Эту опцию стоит расписать отдельно. Вообще, не везде можно просто найти нормальный reveser прокси. А тут это реализовано функцией на сервере. Т.е. любая зараженая машина может стать для вас туннелем в ее подсеть (или в интернет). Сервер соединяется с клиентской частью на вашей стороне. Все что нужно нам, просто указать порт для подключение к локальному соксу, который и перебросит соединение на серверную часть.
Дополнительные функции:
Удаленная командная строка
Захват экрана
Серверная часть умеет соединяться через прокси, в том числе через цепочки прокси, а также считывать и использовать настройки прокси в браузерах. Данная фича может оказаться полезной в сетях (как правило, в корпоративных), где интернет раздается только через прокси.
Недостатки:
Самый большой недостаток данного продукта - отсутствие обхода межсетевых экранов (FWB) и обнаружение антивирусами (FUD). Однако сегодня эти задачи решают крипторы. Более того, разработчики заявили, что в версии Advanced функции FWB и FUD все-таки будут реализованы "из коробки".
На кого ориентирован этот RAT:
Судя по ценнику, становится ясно, что данный RAT не предназначен для массовых инфекций. Он предназначен, прежде всего, для тех, кто устал заниматься постоянными чистками своих RAT для заражения небольшого количества машин. Философия этого RAT - лучше меньше, да дольше. Ожидается, что в целях борьбы со спамерами и кардерами в систему будут введены цифровые водяные знаки, по которым можно будет опознавать утечки и отзывать лицензии.
Общее ощущение:
Складывается ощущение, как будто я держу в руках продукцию компании Apple. Все продумано, все эргономично. Без глюков. Все функции удобные, никаких левых кнопок и ненужных функций. Причем это всего лишь версия 1.0.0.0, когда как DarkComet RAT для такого же функционала понадобилось дойти до версии 5.3.1. Команда разработчиков имеет большой опыт и знает свое дело. Кстати выйти конкретно на кого-либо из разработчиков так и не удалось.
P.S.
Дабы читателей от ошибок уберечь:
Не используйте Fathercrypter и Megacrypt - в последнее время эврестический анализ что у Kaspersky Internet Security что у Eset Smart Security стали обнаруживать процедуру инжекции в процесс.
