Альфапедия

DarkComet

редактировать

DarkComet
Разработчик (и) Жан-Пьер Лесуэр (DarkCoderSc)
Окончательная версия 5.3.1
Операционная система em Microsoft Windows
Тип Инструмент удаленного администрирования
Лицензия бесплатное ПО
Веб-сайтhttps://www.darkcomet-rat.com/

DarkComet это троян удаленного доступа (RAT), разработанный Жан-Пьером Лесуэром (известным как DarkCoderSc), независимым программистом и кодировщиком компьютерной безопасности из Франции. Хотя RAT был разработан еще в 2008 году, он начал распространяться в начале 2012 года. Программа была прекращена, частично из-за ее использования в сирийской гражданской войне для наблюдения за активистами, но также из-за опасений ее автора быть арестованным по неназванным причинам. По состоянию на август 2018 года разработка программы «приостановлена ​​на неопределенный срок», и загрузки на ее официальном сайте больше не предлагаются.

DarkComet позволяет пользователю управлять системой с помощью графического пользовательского интерфейса. Он имеет множество функций, которые позволяют пользователю использовать его в качестве инструмента удаленной административной помощи; однако DarkComet имеет множество функций, которые можно использовать злонамеренно. DarkComet обычно используется для слежки за жертвами путем создания снимков экрана, ввода ключей или кражи паролей.

Содержание
  • 1 История DarkComet
    • 1.1 Сирия
    • 1.2 Целевые игроки, военные и правительства
    • 1.3 Je Suis Charlie
  • 2 Архитектура и особенности
    • 2.1 Архитектура
    • 2.2 Особенности
  • 3 Обнаружение
  • 4 Ссылки
  • 5 Внешние ссылки
История DarkComet

Сирия

В 2014 году DarkComet был связан с сирийским конфликтом. Люди в Сирии начали использовать безопасные соединения, чтобы обойти правительственную цензуру и наблюдение за Интернетом. Это заставило сирийское правительство прибегнуть к использованию RAT для слежки за своими гражданскими лицами. Многие считают, что именно это стало причиной арестов многих активистов в Сирии.

RAT распространялся через «заминированное сообщение чата Skype», которое состояло из сообщения со значком Facebook, которое на самом деле было исполняемым файлом который был разработан для установки DarkComet. После заражения машина жертвы попыталась отправить сообщение другим людям с тем же заминированным сообщением чата Skype.

После того, как DarkComet был связан с сирийским режимом, Lesueur прекратил разработку этого инструмента, заявив: «Я никогда не думал, что правительство будет использовать его для шпионажа», - сказал он. «Если бы я знал это, я бы никогда не создал такой инструмент».

Целевые игроки, военные и правительства

В 2012 году компания Arbos Network обнаружила доказательства того, что DarkComet использовался для нацеливания на военных и геймеры неизвестными хакерами из Африки. В то время они в основном были нацелены на Соединенные Штаты.

Je Suis Charlie

После нападения 7 января 2015 года на Charlie Hebdo в журнале Paris хакеры использовали слоган «#JeSuisCharlie », чтобы обманом заставить людей загрузить DarkComet. DarkComet был замаскирован под изображение новорожденного ребенка, на браслете которого было написано «Je suis Charlie». Как только изображение было загружено, пользователи оказались скомпрометированы. Хакеры воспользовались катастрофой, чтобы взломать как можно больше систем. DarkComet был обнаружен в течение 24 часов после атаки.

Архитектура и особенности

Архитектура

DarkComet, как и многие другие RAT, использует архитектуру обратного сокета. Неинфицированный компьютер с графическим интерфейсом, позволяющим управлять зараженными, является клиентом, а зараженные системы (без графического интерфейса) - серверами.

Когда DarkComet запускается, сервер подключается к клиенту и позволяет клиенту управлять и контролировать сервер. На этом этапе клиент может использовать любую из функций, содержащихся в графическом интерфейсе. На сервере открывается сокет, который ожидает получения пакетов от контроллера и выполняет полученные команды.

Особенности

Следующий список функций не является исчерпывающим, но является критически важным, что делает DarkComet опасным инструментом. Многие из этих функций могут использоваться для полного управления системой и предоставления клиенту полного доступа при предоставлении через UAC.

  • Шпионские функции
    • Захват веб-камеры
    • Захват звука
    • Удаленный рабочий стол
    • Кейлоггер
  • Сетевые функции
    • Активные порты
    • Общие сетевые ресурсы
    • Серверные Socks5
    • Компьютеры LAN
    • Сетевой шлюз
    • IP-сканер
    • Загрузка URL
    • Страница обзора
    • Перенаправление IP / порта
    • Точки доступа Wi-Fi
  • Питание компьютера
    • Отключение питания
    • Выключение
    • Перезагрузка
    • Выход
  • Действия сервера
    • Заблокировать компьютер
    • Перезагрузить сервер
    • Закрыть сервер
    • Удалить сервер
    • Загрузка и выполнение
    • Служба удаленного редактирования
  • Сервер обновлений
    • Из URL-адреса
    • Из файла

DarkComet также имеет некоторые «забавные функции».

  • Fun Features
    • Fun Manager
    • Piano
    • Message Box
    • Microsoft Reader
    • Remote Chat
Detection

DarkComet - широко известная часть вредоносного ПО. Если пользователь установит антивирус или средство для удаления дарккомет, он сможет быстро вылечить свой компьютер. Его целевыми машинами обычно являются все от Windows XP до Windows 10.

Общие антивирусные теги для приложения темной кометы следующие:

  • Троян [Backdoor] /Win32.DarkKomet.xyk
  • BDS/DarkKomet.GS
  • Backdoor.Win32.DarkKomet!O
  • RAT.DarkComet

Когда компьютер заражен, он пытается для создания подключения через сокет к компьютеру контроллера. После того, как соединение установлено, зараженный компьютер прослушивает команды от контроллера, если контроллер отправляет команду, зараженный компьютер получает ее и выполняет любую отправленную функцию.

Ссылки
Внешние ссылки
Последняя правка сделана 2021-05-16 13:20:03
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте