Узнаём автора билда DarkComet RAT (IP,Port...)

Celis Hugo

Celis Hugo

we are the legend
Joined
Dec 27, 2016
Messages
284
Reaction score
64
Age
30
Приветствую всех. Сегодня расскажу как узнать данные о билде DarkComet, для того что бы узнать IP и порт подключения, а так же дополнительную информацию о настройке билда.

Прежде всего убедитесь что билд не упакован пакерами:
c6S4Fx7.png

Если же он упакован (обычно это UPX или MPRESS), то распакуйте анпакерами (к примеру Packer Breaker).

Далее открываем билд в любом редакторе ресурсов, и смотрим ресурс в RC_DATA под названием "DCDATA":
jr0jIKS.png


Внутри видим шифрованную строку через RC4. Теперь нужно его просто расшифровать.

Идём сюда: RC4 Encryption – Easily encrypt or decrypt strings or files
Vs7nR6o.png

Вводим данные которые мы нашли и ключ для расшифровки (комета использует ключ "#KCMDDC51#-890" для шифровки всех своих пакетов).

В итоге мы получаем расшифрованный текст:
iIVohE2.png


Скачиваем его как бинарный файл и открываем в блокноте, ну и вот что мы видим в итоге:
Код:
Code: 
#BEGIN DARKCOMET DATA --
MUTEX={DC_MUTEX-9QBE2AZ}
SID={Test} //UserID
FWB={0}
NETDATA={127.0.0.1:1604} //IP и порт подключения.
GENCODE={2PEYRLKdlsU5}
INSTALL={1}
COMBOPATH={7}
EDTPATH={MSDCSC\msdcsc.exe} //Папка для самокопирования
KEYNAME={Windows Security} // Имя в автозагрузке
EDTDATE={16/04/2007}
PERSINST={1}
MELT={1}
CHANGEDATE={0}
DIRATTRIB={6}
FILEATTRIB={6}
SH1={1}
SH5={1}
SH6={1}
SH7={1}
CHIDEF={1}
CHIDED={1}
PERS={1}
OFFLINEK={1}
#EOF DARKCOMET DATA --
 
4

4QSN1K

ШКОЛОЛОТРОН
Joined
May 25, 2017
Messages
626
Reaction score
109
По моему мы так не автора билда узнаем, а просто узнаем что нам автор подсунул и через какую дырку он сидит.
Годненько.
А нельзя расковырять на столько, чтоб можно было конкретно какие то данные компа узнать владельца билда который у нас сидит?
 
A

AmaRichBitch

Member
Joined
May 24, 2017
Messages
179
Reaction score
11
@4QSN1K, Была как-то раньше схема одна, что можно было узнать куда со стилака твой отчет улетел. Подрубаешь какую-то прогу и она показывает куда с твоего компа уходит трафик и сразу при включении программы запускаешь чей-то стиллер. Если ему логи приходят на мыло, то можно было все его сливки угнать.
 
4

4QSN1K

ШКОЛОЛОТРОН
Joined
May 25, 2017
Messages
626
Reaction score
109
@AmaRichBitch, а вот это уже конечно очень даже интересно.
И все же бывает такое когда в компиляторе остается в лог IP.
 
You must log in or register to reply here.
Top