Jump to content

ДаркКомета

Страница полузащищена

ДаркКомета
Разработчик(и) Жан-Пьер Лесюёр (DarkCoderSc)
Финальный выпуск
5.3.1
Операционная система Microsoft Windows
Тип Инструмент удаленного администрирования
Лицензия бесплатное ПО
Веб-сайт https://www.darkcomet-rat.com/ [1]

DarkComet — это троян удаленного доступа (RAT), разработанный Жан-Пьером Лесуёром (известным как DarkCoderSc). [2] ), независимый программист и программист компьютерной безопасности из Франции. Хотя программа RAT была разработана еще в 2008 году, ее распространение началось в начале 2012 года. Программа была прекращена частично из-за ее использования во время гражданской войны в Сирии для наблюдения за активистами, но также из-за опасений ее автора быть арестованным по неназванным причинам. . [1] По состоянию на август 2018 года разработка программы «остановлена ​​на неопределенный срок», и загрузка на ее официальном сайте больше не предлагается. [3]

DarkComet позволяет пользователю управлять системой с помощью графического пользовательского интерфейса . Он имеет множество функций, которые позволяют пользователю использовать его в качестве инструмента удаленной административной помощи; однако DarkComet имеет множество функций, которые могут быть использованы злонамеренно. DarkComet обычно используется для слежки за жертвами путем создания снимков экрана, ввода ключей или кражи паролей.

История ДаркКометы

Сирия

В 2014 году DarkComet был связан с сирийским конфликтом . Люди в Сирии начали использовать защищенные соединения, чтобы обойти правительственную цензуру и наблюдение за Интернетом. Это заставило сирийское правительство прибегнуть к использованию RAT для слежки за своим гражданским населением. Многие считают, что именно это стало причиной арестов многих активистов в Сирии. [1]

RAT распространялся через «заминированное сообщение чата Skype», которое состояло из сообщения со значком Facebook, которое на самом деле представляло собой исполняемый файл, предназначенный для установки DarkComet. [4] После заражения машина жертвы попытается отправить сообщение другим людям с тем же заминированным сообщением в чате Skype.

Как только DarkComet оказался связан с сирийским режимом , Лесюёр прекратил разработку этого инструмента, заявив: «Я никогда не предполагал, что правительство будет использовать его для шпионажа», — сказал он. «Если бы я знал это, я бы никогда не создал такой инструмент». [1]

Целевые игроки, военные и правительства

В 2012 году компания Arbos Network обнаружила доказательства использования DarkComet для нападения на военных и геймеров неизвестными хакерами из Африки. В то время они в основном были нацелены на Соединенные Штаты. [5]

Я Чарли

После атаки на журнал Charlie Hebdo в Париже 7 января 2015 года хакеры использовали слоган « #JeSuisCharlie », чтобы обманом заставить людей загрузить DarkComet. DarkComet был замаскирован под изображение новорожденного ребенка, на браслете которого было написано «Je suis Charlie». После загрузки изображения пользователи оказались скомпрометированы. [6] Хакеры воспользовались катастрофой, чтобы скомпрометировать как можно больше систем. DarkComet был замечен через 24 часа после атаки.

Архитектура и особенности

Архитектура

DarkComet, как и многие другие RAT, использует архитектуру с обратными сокетами. Незараженный компьютер с графическим интерфейсом, позволяющим контролировать зараженные, является клиентом, а зараженные системы (без графического интерфейса) — серверами. [7]

Когда DarkComet выполняется, сервер подключается к клиенту и позволяет клиенту контролировать и контролировать сервер. На этом этапе клиент может использовать любую функцию, содержащуюся в графическом интерфейсе. На сервере открывается сокет, ожидающий получения пакетов от контроллера и выполняющий команды при их получении. В некоторых случаях вредоносное ПО может использовать системные утилиты, чтобы избежать обнаружения и обеспечить постоянство. Например, он может использовать технику T1564.001, запуская attrib.exe через cmd.exe, чтобы скрыть основной исполняемый файл.

Функции

Следующий список функций не является исчерпывающим, но представляет собой наиболее важные, которые делают DarkComet опасным инструментом. Многие из этих функций можно использовать для полного контроля над системой и предоставления клиенту полного доступа при предоставлении через UAC.

  • Шпионские функции
    • Захват с веб-камеры
    • Захват звука
    • Удаленный рабочий стол
    • Кейлоггер
  • Сетевые функции
    • Активные порты
    • Сетевые ресурсы
    • Серверные носки5
    • Компьютеры локальной сети
    • Сетевой шлюз
    • IP-сканер
    • URL-адрес загрузки
    • Просмотреть страницу
    • Перенаправление IP/порта
    • Точки доступа Wi-Fi
  • Мощность компьютера
    • Выключение
    • Неисправность
    • Перезапуск
    • Выйти
  • Действия сервера
    • Блокировка компьютера
    • Перезапустить сервер
    • Закрыть сервер
    • Удалить сервер
    • Загрузите и выполните
    • Служба удаленного редактирования
  • Обновление сервера
    • С URL-адреса
    • Из файла

DarkComet также имеет несколько «забавных функций».

  • Интересные функции
    • Веселый менеджер
    • Фортепиано
    • Окно сообщения
    • Microsoft Reader
    • Удаленный чат

Обнаружение

DarkComet — широко известная вредоносная программа . Если пользователь установит антивирус или программу для удаления дарккомет, он сможет быстро деактивировать свой компьютер. Целевыми компьютерами обычно являются любые системы, от Windows XP до Windows 10 .

Общие антивирусные теги для приложения Dark Comet следующие:

  • Троянец[Backdoor]/Win32.DarkKomet.xyk
  • БДС/DarkKomet.GS
  • Бэкдор.Win32.DarkKomet!O
  • КРЫСА.DarkComet

Когда компьютер заражен, он пытается создать соединение через сокет с компьютером контроллера. После установления соединения зараженный компьютер прослушивает команды контроллера. Если контроллер отправляет команду, зараженный компьютер получает ее и выполняет любую отправленную функцию.

Ссылки

  1. ^ Jump up to: а б с д Макмиллан, Роберт. «Как соседский мальчик случайно построил сирийский шпионский инструмент» . Проводной .
  2. ^ «DarkCoderSc | SOLDIERX.COM» . СолдатX . Проверено 13 октября 2017 г.
  3. ^ «Проект окончательно закрыт с 2012 года» . Разработка DarkComet-RAT была прекращена на неопределенный срок в июле 2012 года. С [sic] мы не предлагаем загрузки, копии или поддержку. [ постоянная мертвая ссылка ]
  4. ^ «Создатель шпионского кода закрыл проект после злоупотреблений со стороны Сирии» . Би-би-си. 10 июля 2012 г.
  5. ^ Уилсон, Курт. «Уничтожение КРЫС, Часть I: анализ кампаний темных комет» . Беседка.
  6. ^ Винтон, Кейт. «Как хакеры используют #JeSuisCharlie для распространения вредоносного ПО» . Форбс.
  7. ^ Денбоу, Шон; Герц, Джесси. «Борьба с вредителями: приручение крыс» (PDF) . Матасано . Архивировано из оригинала (PDF) 28 марта 2015 г. Проверено 5 мая 2015 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=DarkComet&oldid=1207344211"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 62410930d5990a2db4e60058eb52afc7__1707914820
URL1:https://arc.ask3.ru/arc/aa/62/c7/62410930d5990a2db4e60058eb52afc7.html
Заголовок, (Title) документа по адресу, URL1:
DarkComet - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)