RAT (Remote Access Tool)

Un petite zoom sur les malwares/virus  que l’on nomme RAT.
(RAT voulant dire Remote Access Tool, mais qui sont surtout utilisés pour se constituer un botnet).
Sous couvert de programmes d’administration d’ordinateurs et de prise en main à distance (comme VNC ou Teamviewer), ces programmes sont distribués et utilisés comme des Trojans.

Il existe divers RATs, un des plus ancien est BlackShades, le plus utilisé est Darkomet ou NanoCore.
Les RAT sont vendus mais on peux trouver des versions crackés, des tutorials (dont des vidéos sur youtube) existent à foison, dès lors n’importe qui, qui a très peu de connaissance peut se créer son propre Botnet (réseaux de PC infectés).

Les RAT fonctionnent en Cient/Serveur, vous faites tourner un serveur et les clients s’y connectent.
Le but est d’arriver à faire exécuter la partie cliente à l’insu de l’utilisateur du PC afin de pouvoir prendre le contrôle de la machine, ce qui est en général assez simple, via du le social engineering, puisque les personnes visées ne sont en général pas très férues d’informatique,

RAT en vidéo :

Botnet pour les nuls..

BlackShades fournis tout ce qu’il faut pour créer le dropper de la partie cliente, comme le montre la capture suivante :

RAT, Bifrose : Botnet pour les nulsIl est alors possible de créer un dropper qui se répand par disques amovibles, choisir la clef de démarrage ajoutée, le nom du processus etc.

La détection du dropper crée :

http://www.virustotal.com/file-scan/report.html?id=4a86d3a302d11ed4b42d8770273a85b661005bf6291adf01a76f22a70c90aeed-1309350687
 
File name: SJVWZQ52DJ.exe
Submission date: 2011-06-29 12:31:27 (UTC)
Current status: queued queued analysing finished
 Result: 28/ 37 (75.7%)
Compact Print results
 Antivirus Version Last Update Result
 AhnLab-V3 2011.06.29.02 2011.06.29 Worm/Win32.AutoRun
 AntiVir 7.11.10.155 2011.06.29 BDS/Backdoor.Gen
 Antiy-AVL 2.0.3.7 2011.06.29 -
 Avast 4.8.1351.0 2011.06.29 Win32:VB-UQZ
 Avast5 5.0.677.0 2011.06.29 Win32:VB-UQZ
 AVG 10.0.0.1190 2011.06.29 Worm/Generic2.ALZM
 BitDefender 7.2 2011.06.29 Generic.Keylogger.2.9EDEEE84
 CAT-QuickHeal 11.00 2011.06.29 Worm.Ainslot.A3
 ClamAV 0.97.0.0 2011.06.29 -
 Commtouch 5.3.2.6 2011.06.29 W32/VB-Backdoor-PSVR-based!Maximus
 Comodo 9221 2011.06.29 -
 eTrust-Vet 36.1.8415 2011.06.29 Win32/VB.AZS
 F-Prot 4.6.2.117 2011.06.28 W32/VB-Backdoor-PSVR-based!Maximus
 F-Secure 9.0.16440.0 2011.06.29 Generic.Keylogger.2.9EDEEE84
 Fortinet 4.2.257.0 2011.06.29 W32/AutoRun!tr
 GData 22 2011.06.29 Generic.Keylogger.2.9EDEEE84
 Ikarus T3.1.1.104.0 2011.06.29 Trojan-PWS.Win32.VB
 Jiangmin 13.0.900 2011.06.28 Worm/AutoRun.abaf
 K7AntiVirus 9.106.4851 2011.06.28 -
 Kaspersky 9.0.0.837 2011.06.29 Worm.Win32.AutoRun.cdlp
 McAfee 5.400.0.1158 2011.06.29 PWS-Spyeye.q
 McAfee-GW-Edition 2010.1D 2011.06.29 Heuristic.BehavesLike.Win32.Downloader.A
 Microsoft 1.7000 2011.06.29 Worm:Win32/Ainslot.A
 NOD32 6249 2011.06.29 Win32/VB.NXB
 nProtect 2011-06-29.01 2011.06.29 Generic.Keylogger.2.9EDEEE84
 Panda 10.0.3.5 2011.06.29 Suspicious file
 PCTools 8.0.0.5 2011.06.29 Malware.Shadesrat
 Prevx 3.0 2011.06.29 -
 Rising 23.64.02.03 2011.06.29 Suspicious
 Sophos 4.66.0 2011.06.29 Mal/VB-GI
 SUPERAntiSpyware 4.40.0.1006 2011.06.29 -
 Symantec 20111.1.0.186 2011.06.29 W32.Shadesrat
 TheHacker 6.7.0.1.244 2011.06.28 -
 TrendMicro 9.200.0.1012 2011.06.29 WORM_SWISYN.SM
 VIPRE 9723 2011.06.29 Trojan.Win32.Ainslot.a (v)
 ViRobot 2011.6.29.4540 2011.06.29 -
 VirusBuster 14.0.100.0 2011.06.28 -
 Additional informationShow all
 MD5   : 57b1e4eef28e21ea98ea26ec42b57f7e
 SHA1  : f629e19b38f97a3778888d29b6a76888b1bea701
 SHA256: 4a86d3a302d11ed4b42d8770273a85b661005bf6291adf01a76f22a70c90aeed

 

Il est ensuite possible d’utiliser des Crypters/Protectors afin d’échapper aux détections des antivirus.

RAT, Bifrose : Botnet pour les nuls

Selon si le crypter est connu ou non des éditeurs d’antivirus et s’il est performant, on peux faire considérablement diminuer la détection.
En 20min de surf, sans rien débourser, j’arrive à ceci :

Result: 21/ 42 (50.0%)
http://www.virustotal.com/file-scan/report.html?id=5fc37719fcaeb1e2d59eef69f2192df4a7f595ea8b955931f722b2f527e9cbbf-1309352748

Result: 21/ 42 (50.0%) :
http://www.virustotal.com/file-scan/report.html?id=b3288c40c76319779c9ae0dcbb968439a9b4ceb8b974ebf7c8c5c685f9943087-1309353532

Result: 15/ 42 (35.7%)
http://www.virustotal.com/file-scan/report.html?id=f41b505e89e58de97ed28026a147a1a499ab7e0fdbb148c5c9ca88b4a9e3c78f-1309357681

Result: 13/ 42 (31.0%) :
http://www.virustotal.com/file-scan/report.html?id=b5f4aecb8bd193e884f4b48ade01aed32a7218d059ac9659488118a6a934bd9c-1309357310
http://www.virustotal.com/file-scan/report.html?id=277f054303e27ac7ce2934fbcf214497fe360536a063e527d2832c3fe6e17124-1309356711
http://www.virustotal.com/file-scan/report.html?id=f9fbca570525e8b73a4e1d72547bf6ff3b216772e36fa64bccc082ab8f0bc086-1309357443

Result: 9/ 42 (21.4%) :
http://www.virustotal.com/file-scan/report.html?id=3e9f5807f12f836de3d8989ad7be04a73023df30b6ab1b6b74c718f22e5b9613-1309357576
http://www.virustotal.com/file-scan/report.html?id=fd892dd9795c062b4b8f7a9e60a99631a775cc2dd221fa93246a8d5fed60ebc9-1309284883

Je n’ai pas essayé d’autres crypters car 9/42 me semblait un score correct pour en déduire que n’importe qui, qui a un minimum de connaissance informatique en l’espace d’1H a ce qu’il faut pour se créer son propre botnet.
Plus d’informations sur ces méthodes sur la page : Crypter/Packer et détection antivirus

Les fonctionnalités de BlackShades RAT

Voici quelques captures des fonctionnalités offertes par la version de BlackShades que j’ai récupérés (ça se trouve en 2min…) :

RAT, Bifrose : Botnet pour les nuls

RAT, Bifrose : Botnet pour les nuls

RAT, Bifrose : Botnet pour les nuls

RAT, Bifrose : Botnet pour les nuls

RAT, Bifrose : Botnet pour les nuls

RAT, Bifrose : Botnet pour les nulsici les mots de passe enregistrés dans Firefox et la clef Windows :

RAT, Bifrose : Botnet pour les nuls

RAT, Bifrose : Botnet pour les nuls

Bref on peut tout faire, la plupart des RATs permettent :

  • d’allumer la webcam
  • à ajouter un contact MSN/Skype
  • effectuer des captures d’écran de l’ordinateur infecté
  • récupérer les mots de passe, notamment ceux enregistrés dans les navigateurs WEB
  • fonctionnalité de keylogger
  • Contrôler Windows : arrêter des services, supprimer des fichiers…

Le pirate peut aussi ouvrir une fenêtre de chat pour causer, souvent pour montrer qu’il est tout puissant.

RAT_Malware_CHAT

Ci-dessous le RAT Imminent Monitor vendu 25$ :

Imminent_Monitor_RAT_3 Imminent_Monitor_RAT_2

Ci-dessous des exemples de récupérations des frappes claviers par la fonctionnalité keylogger :Imminent_Monitor_RAT

ou encore NanoCore vendu environ 10$ avec un service de Cryptage :

NanoCore_3 NanoCore_2 NanoCore

Les RATs sont souvent détectés en Trojan.MSIL.xxx du fait qu’ils sont écrits en MSIL. On trouve notamment le processus RegASM.exe qui est lancé par le malware.
Parfois donc des erreurs de crash de ce processus RegASM.exe

Trojan_RAT_RegAsm

NOD32 détecte souvent ces derniers à travers une détection générique MSIL/Kryptik

MSIL_Kryptik

Du coup on arrive à des topics sur les forums assez fréquents qui vont du vol de compte hotmail/MSN/Facebook ou Steam à des simples prises de contrôle et faire le caid ou faire peur.
Exemple :
http://www.commentcamarche.net/forum/affich-4854278-hacke-par-un-serveur-prorat
http://www.commentcamarche.net/forum/affich-21989750-besoin-d-aide-avec-fichier-xxx-xxx-et-uuu-uuu

Encore hier sur un topic, c’était le cas : http://www.commentcamarche.net/forum/affich-22491642-virus-project1
http://pjjoint.malekal.com/files.php?read=e6a42c0c2c957&html=on

 

File name: e8696f2fd012d2b75e2b683341f9b0dd
Submission date: 2011-06-28 18:14:43 (UTC)
Current status: finished
Result: 6 /42 (14.3%)
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.06.29.00     2011.06.28     -
AntiVir     7.11.10.141     2011.06.28     -
Antiy-AVL     2.0.3.7     2011.06.27     -
Avast     4.8.1351.0     2011.06.28     -
Avast5     5.0.677.0     2011.06.28     -
AVG     10.0.0.1190     2011.06.28     -
BitDefender     7.2     2011.06.28     Gen:Trojan.Heur.xm1@srpzhPgif
CAT-QuickHeal     11.00     2011.06.28     -
ClamAV     0.97.0.0     2011.06.28     -
Commtouch     5.3.2.6     2011.06.28     -
Comodo     9213     2011.06.28     -
DrWeb     5.0.2.03300     2011.06.28     -
eSafe     7.0.17.0     2011.06.28     -
eTrust-Vet     36.1.8412     2011.06.28     -
F-Prot     4.6.2.117     2011.06.28     -
F-Secure     9.0.16440.0     2011.06.28     Gen:Trojan.Heur.xm1@srpzhPgif
Fortinet     4.2.257.0     2011.06.28     -
GData     22     2011.06.28     Gen:Trojan.Heur.xm1@srpzhPgif
Ikarus     T3.1.1.104.0     2011.06.28     -
Jiangmin     13.0.900     2011.06.28     -
K7AntiVirus     9.106.4851     2011.06.28     -
Kaspersky     9.0.0.837     2011.06.28     -
McAfee     5.400.0.1158     2011.06.28     -
McAfee-GW-Edition     2010.1D     2011.06.28     Heuristic.LooksLike.Trojan.Dropper.B
Microsoft     1.7000     2011.06.28     -
NOD32     6248     2011.06.28     a variant of Win32/Injector.HGU
Norman     6.07.10     2011.06.28     -
nProtect     2011-06-28.01     2011.06.28     -
Panda     10.0.3.5     2011.06.28     Suspicious file
PCTools     8.0.0.5     2011.06.28     -
Prevx     3.0     2011.06.28     -
Rising     23.64.01.03     2011.06.28     -
Sophos     4.66.0     2011.06.28     -
SUPERAntiSpyware     4.40.0.1006     2011.06.28    
Symantec     20111.1.0.186     2011.06.28     -
TheHacker     6.7.0.1.244     2011.06.28     -
TrendMicro     9.200.0.1012     2011.06.28     -
TrendMicro-HouseCall     9.200.0.1012     2011.06.28     -
VBA32     3.12.16.3     2011.06.28     -
VIPRE     9719     2011.06.28     -
ViRobot     2011.6.28.4538     2011.06.28     -
VirusBuster     14.0.100.0     2011.06.28     -
Additional information
MD5   : e8696f2fd012d2b75e2b683341f9b0dd
SHA1  : becdad1abfef52158fed317901cc79d65f09420f
SHA256: fd892dd9795c062b4b8f7a9e60a99631a775cc2dd221fa93246a8d5fed60ebc9

La connexion va vers limtred1.no-ip.biz (SFR), déjà rencontrée en Janvier 2010 : http://forum.malekal.com/microsoft-kb65465-exe-backdoor-poison-t22991.html

Bref comme vous pouvez le voir, il est assez facile de créer son propre botnet pour des pirates en herbe et ils sont très répandus, une bonne partie des liens donnés sur la page Botnets et service d’hébergement (rapidshare, dropbox etc) en sont.

Encore une fois donc, ne cliquez pas sur tous les clients et éviter d’exécuter n’importe quel fichier pris n’importe où.

La distribution des RATs

Facebook

Fausse page de vidéo sur Youtube : http://www.malekal.com/2013/06/18/rats-free-sur-facebook/

Darkcomet_Facebook3

Youtube

Une vidéo qui fait la promotion d’un programme (cheat, programme pour trouver le mot de passe Skype, Facebook), bref n’importe quel prétexte pour vous faire cliquer.
Soit directement sur une page de téléchargement type mediafire.

Exemple : Facebook Hack : Comment installer KeyLogger

Rats_Youtube

soit parfois un site WEB pour faire « pro » ou le lien pour télécharger le programme qui s’avère être un RAT se trouve.
Rats_Youtube2

ou par exemple ici une vidéo pour « hacker » un compte Facebook, le programme renferme bien entendu un RAT

Youtube_RAT
ou encore toujours sur Youtube, une vidéo vu de 142k fois qui mènent à un RAT Nanocore.
L’auteur édite la vidéo une fois par jour afin de changer le lien vers un dropper frais et mal détecté afin de ne pas attirer les soupçons.
Méthode déjà évoquée sur ce lien : Ransomware : un moyen de monétiser

youtube_crack_malware_rat

 

youtube_crack_malware_rat_2

On trouve toute sorte de vidéo sur Youtube qui servent à faire installer des Trojan Rats, comme des générateurs Dofus etc
N’importe quel programme peut servir de prétexte.

 Cracks/Keygen

Sur les sites de WAREZ, des cracks qui sont en réalité des RATs.

Exemple :

RAT_Crack_play4_suite5

bref seront touchés ceux qui téléchargent tout et n’importe quoi.

Les limites…

Bien entendu, cela permet de créer un botnet ponctuel mais ce n’est pas donné à tout le monde de pouvoir le maintenir et le faire grossir, il faut mettre à jour le client pour ne pas se faire rattraper les antivirus.
Cela demande donc des connaissances sur des forums de personnes qui produisent des crypters tous les jour, du temps etc…

Mais à travers cet article, vous comprendrez que la démocration des malwares est en marche depuis quelques temps, d’où l’explosion.
Les grosses infections utilisant des systèmes automatisés pour produire chaque jour un nombre de droppers conséquents.

Quelques RAT (Remote Access Control) répandus

Trojan:Win32/Skeeya

Trojan_Win32_Skeeyah

Trojan:Win32/Dynamer!ac

Trojan_Win32_Dynamer

Dans les oubliés :

Backdoor_Win32_Fynloski

Quelques autres billets sur les RAT / Cybergate / Spynet

Les forums Warez avec de faux cracks qui conduisent à des Rats :

Plus technique :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 1 452 times, 1 visits today)

5 thoughts on “RAT (Remote Access Tool)

  1. Me suis fait chope par cette merde,Malekal j aimerais savoir si il y a un topic pour la desinfection car quand j ai voulu le virer a main nu du moins en deletant des fichiers j’ai reboot et la o_o Ecran Noir Grub ToT Bref ce mec est un vicieux pourtant ce qui me choque c’est que j’avais mis un Fichier Hosts Sain =$ Donc bon je vais reparer grace a mon CD d’install XP

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *