Crypter para Darkcomet – Encriptar Darkcomet RAT

Darkcomet RAT es una herramienta diseñada y desarrollada por  Jean-Pierre Lesueur tambien conocido como DarkCoderSc la herramienta tuvo una corta trayectoria pero tuvo un fuerte impacto en el campo de los RAT’s (Remote administration Tool), a continuación entraremos en materia.

Para todos aquellos que no estén familiarizados con DarkComet cabe destacar que no es un Crypter, es un RAT (Remote administration tool) que se utiliza comúnmente para administrar y gestionar sistemas de manera remota con opciones como:

  • Funciones de Control remoto
    • Captura de Webcam
    • Captura de Sonido
    • Escritorio remoto
    • Keylogger
  • Funciones de Red
    • Activar Puertos
    • Compartir carpetas
    • Server Socks5
    • Net Gateway
    • IP Scanner
    • Url Download
    • Browse Page
    • Redirección IP/Port
    • Puntos de acceso WiFi
  • Control sobre la alimentación del equipo
    • Apagado
    • Cierre de sesión
    • Reinicio
  • Funciones de servidor
    • Reiniciar el servidor
    • Cerrar sesión
    • Desinstalar Servidor
    • Subir y ejecutar archivos (Download & Execute)
    • Editar servicios remotos
  • Actualización de Servidor
    • Desde URL
    • Desde Archivo

Entre otras  funciones bastantes atractivas. Bueno empecemos a configurar el servidor de DarkComet para que sirva con nuestro crypter:

DarkComet RAT Cliente

Le daremos click a la pestaña y se desplegara un menú en el que posicionaremos el cursor sobre “Server module (657,50 KB)” y a continuación damos click sobre “Full editor (Expert)”

Nos mostrara la siguiente ventana:

Configurar Darkcomet RAT con un Crypter.

En esta pestaña del menú no tocaremos nada, puesto que el Firewall Bypass (FWB) a dia de hoy ya se encuentra obsoleto y en caso de activarse los antivirus detectarían la acción, respecto a la contraseña de seguridad para el cliente no es necesario, y no es recomendable dado que se puede olvidar.

El mutex “Process Mutex” sirve para que solo haya una instancia de la aplicación en ejecución y de esta manera no se repitan las acciones/procesos del archivo.

Ahora iremos con la siguiente pestaña: Network settings

Configurando Darkcomet RAT

Como se puede apreciar en la imagen tenemos puesta nuestra ip local (localhost) 127.0.0.1 con el puerto 1604, nosotros podemos cambiar nuestro localhost por nuestro NO-IP o nuestra IP (se recomienda no usar la ip en caso de ser dinámica ya que perderás a la maquina remota si esta cambia.

Si lo que queremos es realizar un estudio de las funciones que tiene esta herramienta de administración remota recomiendo localhost de lo contrario si lo queremos para nuestros equipos lo mejor sería usar NO-IP o bien  DYN dns.

Como estamos mirando y explicando cada pestaña a pesar de no activar la siguiente pestaña “Module Startup” explicaremos por encima un poco cada función

Encriptar Darkcomet

Esta pestaña sirve para que el archivo inicie con Windows pero no la activaremos ¿Por qué?

Debido al avance que a tenido la industria de Antivirus se han dado cuenta de que mucho Malware inicia con Windows con la misma técnica ¿Cuál es esa técnica?

Los desarrolladores en general para iniciar su aplicación con Windows o bien usan llaves de registro o bien colocan el archivo en la ruta de inicio junto con las aplicaciones, pero cabe destacar que esta técnica ya es vieja (dado que los antivirus si el archivo no cuenta con firma digital será detectado)  y como bien sabemos existen diversas maneras de evitar estas detecciones innecesarias por parte de los antivirus, pasamos a explicar cada apartado:

Crypter Startup

La imagen muestra donde se colocara nuestro archivo y la llave de registro que se creara para iniciar con Windows.

Hablaremos ahora del famoso melt que tienen varios RAT’s

Melt Crypter

Melt en ingles es derretir, pero en términos focalizados a los rats quiere decir que el archivo generado una vez se ejecute por primera vez, este pasa a no ser visible ante los ojos del usuario, evitando así que si no es experto no lo pueda eliminar con facilidad.

Ahora le toca el turno a la siguiente caracteristica llamada persistencia, existen dos tipos de persistencia:

  • Persistencia en el proceso
  • Persistencia en el Startup (Inicio de Windows)

En esta ocasión veremos la del startup

Si se trata de quitar del inicio de Windows desde el registro de Windows (Regedit) o desde Msconfig  este volverá a ponerse siempre y cuando el proceso este activo, en caso de que se cierre el proceso e intentas deshabilitarlo desde Msconfig o regedit la persistencia desaparecerá.

La pestaña “Install Message” sirve para que al ejecutarse el archivo salga un mensaje (esta función puede activarla si desea con su crypter), ya bien sea de información, pregunta al tomar una acción, error o bien advertencia. En este caso este RAT solo ejecuta la primera vez el mensaje, una vez ejecutado el servidor ya no sale más.

Esta pestaña llamada “Module Shield” trae diversas características que no activaremos dado que con todas estas saltaran proactivas (Puede activar todas en su crypter si estas encontraran)

Module Shield Darkcomet

Como bien mencionamos anteriormente de esta pestaña no se activaran las funciones en Darkcomet, solo se activaran si el crypter las posee, a continuación dejare una breve explicación de estas y en caso de que estén explicadas en algún articulo anterior dejare constancia de que esta explicado en el articulo, empecemos:

Recopile las características que se encuentran mencionadas en post anteriores con su correspondiente explicación

(Explicado en el siguiente post: https://oberonsoftware.net/blog/caracteristicas-crypter/ )

Hide Startup

Persistent Process

Disable

tanto totally hide parent stub folder from explorer and related files explorer como totally hide stub from related files explorer son opciones obsoletas y lo que hacen es ocultar los archivos del ejecutable.

Esta otra pestaña es la de Keylogger que si desean pueden configurar a su gusto sin ningún problema dado que no afectara al servidor a la hora de encriptarlo.

Aquí podemos ver la de Hosts file que también podemos configurar a nuestro gusto.

Si disponemos de Plugins para Darkcomet al ser estos bastante obsoletos a día de hoy no los recomendaría por si hacen algún problema de compatibilidad con las nuevas versiones de Windows.

Lo que es un binder viene explicado en el articulo mencionado con anterioridad, los crypters modernos traen por defecto el binder, tampoco se habilitara esta opción en el rat, solo en el crypter.

La pestaña de Icon Changer o mejor dicho “Choose Icon” no será tocada para que nuestro archivo al generarse no pese innecesariamente dado que el Crypter quitara el icono y dejara el que trae por defecto o bien el que elijamos nosotros en el.

También te podría gustar...