[BIG FAQ] Spy-Net RAT 2.6

[Dave]

Добрый вечер дамы (если такие присутствуют здесь) и господа. И вот она первая самая статья, в которой попробую рассказать и объяснить, как работать и что собой представляет паблик RAT Spy-Net.

Сразу скажу, что статья рассчитана для совсем новичков и для тех, кому вообще не приходилось сталкиваться с данным софтом. Красноречием не обладаю, поэтому писать красивые слова не буду.
Статья пишется в ознакомительных целях. Напомню, что, неправомерный доступ к охраняемой законом компьютерной информации, то есть... бла, бла, бла. Сами знаете, в общем. Не будем о плохом, поехали!

Для обзора, взял версию Spy-Net 2.7 RAT. Скачать ее можно [Ссылки могут видеть только зарегистрированные пользователи.]. Пасс: fuckav.ru

Spy-Net представляет собой клиент-серверную программу для скрытного удаленного администрирования, проще говоря - троян-бэкдор.

Существует много RAT-ов, но мне по душе этот. Хз почему. Более удобный в использовании я считаю.

Бэкдор состоит из 2-х частей: сервер и сам клиент. Сервер запускается на компе жертвы, а с помощью клиента мы можем наблюдать эту самую жертву. [Ссылки могут видеть только зарегистрированные пользователи.] в общем. Думаю, понятен смысл работы зверушки.

Глянем на интерфейс софта, да и вообще, пробежимся по функционалу прожки. Гоу!

1. Основное окно:

В левой части окна будет располагаться список с жертвами и их краткими характеристиками. В правой части отображается скриншот экран, а так же небольшая информация о жертве (ОС, имя компа, юзер, АВ и т.д.), которую вы выбрали в левой части списка.

2. Настройки клиента:

Переключимся на англ. язык. Удобнее, по-моему. А сделать это можно так, для тех, кто не владеет испанским:

В общем, теперь надо понять, что за настройки здесь:

Automatic refresh desktop image - автоматическое обновление скриншота экрана в правой части клиента;
View FTP logs - с помощью этой команды можно посмотреть лог встроенного кейлоггера. Он сохраняется в текстовом формате в закодированном виде. То есть просмотреть его можно, только с помощью данной команды (в блокноте будет бяка);
Select Language - смена языка;
Hide detalis - скрыть правую часть окна клиента;
Select listening ports - с помощью данного меню мы выбираем порты, которые будет слушать клиент:

В поле вводим номер порта и нажимаем стрелочку. Оп! И клиент стал принимать на указанный вами порт. Про ограничение количества портов сказать ничего не могу. Пробовал больше 20, но лимита не обнаружил. Да больше то и не надо. Так же здесь присутствует поле для ввода пароля. Зачем он здесь? А суть такова: при создании сервера вы указываете ID сервера и пасс (об этом чуть позже). Если пасс будет совпадать с пассом, которым вы указали при создании сервера, то вы увидите своих жертв. Если вы создали 2 сервера с разными паролями, то в списке вы увидите только тот сервер, пасс которого вы прописали в этом маленьком окошечке выбора портов. Думаю понятно объяснил;
Visual notification - визуальное оповещение о подключении жертвы:

Sound notification - звуковое оповещение о подключении жертвы;
Show all function - скрывает/отображает некоторые функции управлением жертвой;
Display flags by GeoIP - так и не понял толком для чего эта функция. Дословно если, то отображать флаги с GeoIP. Подозреваю скрывать/показывать флаги стран, рядом с названием страны;
Select notification sound - выбор мелодии оповещения о подключении жертвы;

Это основные настройки клиента.

3. Создание сервера

В данном пункте мы будем создавать сервер в случае, когда клиент находится на выделенном (статичном) IP-е. Проще говоря, клиент будет находиться на дедике. Позже рассмотрим вариант с динамическим IP.

Для создания сервера щелкнем меню "File" ---> "Create Server"

Вкладка "Users"

Появится окно выбора профиля сервера. Можно делать очень много профилей и сохранять их. У каждого профиля могут быть свои настройки:

Удалим все не нужное и создадим свой профиль. Щелкаем по профилю и жмем Delete. Все как всегда.
Нажимаем кнопку "New". Появится окошечко ввода названия профиля. В названии я обычно пишу адрес дедика. Для меня так удобнее. В общем, написать можно все что захочешь:

Нажали "ОК", выбрали его слева и кликнули по кнопке "Forward" (или щелкнули по нему 2 раза). Так.

Вкладка "Connection"

Здесь мы задаем параметры коннекта сервера к клиенту.

Удалим все записи, выделив их и нажав на кнопку "Delete". Нажимаем кнопку "Add", появится окошечко. В нем вводим IP и порт, например, так:

Вводим несколько портов. Примерно должно получиться так:

Далее указываем ID и пасс. В идентификатор я обычно пишу, например, название проги-фейка, чтобы знать, что за сервер и откуда он взялся. Очень удобно, когда создаешь несколько серверов и распространяешь их под различным видом и различными вариантами. Тогда будет четко ясно, откуда и что за сервер появился в клиенте. Пароль можно указать любой, но я советую использовать один и тот же для всех профилей и серверов, так как клиент будет видеть только те сервера, пароли которых совпадают с введенным в клиенте. Об этом писал выше. Мы же хотим видеть всех жертв, поэтому указываем всегда один и тот же пароль на всех создаваемых серверах, ну и само собой в клиенте. Другой пасс, можно указывать в тех случаях, когда мы хотим видеть в клиенте, только определенные сервера. Я надеюсь, что вы поняли, не знаю, что уже здесь написать....

Предположим, будет этот файл в виде фото, ну и назовем его "PHOTO", а пасс поставим 123456789:

Вкладка "Installation"

Разберем вкладку установки сервера. Если галочка не стоит, то сервер не будет установлен в систему и при перезагрузке компа, этот сервер не запуститься автоматически. Проще говоря, это и есть она самая - Автозагрузка. Если не хотим, чтоб сервер автоматом загружался на машине жертвы, то галку снимаем, и все пункты меню нам становятся не доступны, кроме функции "Inject into" и дополнительных настроек.

"Inject into" предназначена для внедрения процесса сервера в другой процесс и работа от его "имени". Есть 3 варианта:

• No injection - без внедрения в другой процесс;
• Default Browser - внедрение в процесс браузера установленного по умолчанию в системе и работа от его "имени";
• Other - здесь указываем самостоятельно в какой процесс внедряться, и от какого имени работать. Если сервер не найдет указанный процесс, то запуститься от "имени" браузера по умолчанию. То есть выше пунктом.

Рассмотрим дополнительные опции:

• Persistance - переводчик переводит как "Настойчивость". Суть заключается в том, что если найдет процесс сервера и захочет его убить, то он автоматом восстанавливается. Если найдет и удалит файл сервер, то он тоже восстановиться. Если попытается удалить ключи автозагрузки сервера, то они восстанавливаются. Очень удобная вещь;
• Hide file - присваивает атрибут "Скрытый" запускаемому файлу сервера, папке, куда устанавливается и самому файлу сервера;
• Change creation date - изменяет дату создания сервера;
• Melt file - самоудаление запускаемого файла;
• Mutex - синхронизация. Определяет уже запущенный сервер. Исключает возможность запуска второй копии сервера. Можно почитать, например [Ссылки могут видеть только зарегистрированные пользователи.].

Ставим галочку "Install server".

Поле Installation directory предназначено для выбора места установки сервера. Есть несколько вариантов:

• System - обозначает папку "X:/WINDOWS/system32/";
• Windows - папка "X:/WINDOWS/";
• Root - корень загрузочного диска;
• Program Files - здесь думаю понятно;
• Other - указываем ручками путь;

Чуть правее видим два поля:

• Directory - папка установки сервера;
• File name - имя файла;

Теперь как все это работает. В поле "Directory" указываем название папки, в которой будет находиться наш сервер. В поле "File name" присваиваем имя серверу. Например папка будет иметь имя "MicrosoftVision" а имя "vision.exe".
И поставим точку в "Installation directory" напротив пункта "System". То есть наш сервер после установки его в систему жертвы будет находиться по адресу: C:/WINDOWS/system32/MicrosoftVision/vision.exe. Думаю все понятно здесь.

В поле "Boot" указаны варианты ключей реестра, откуда возможен запуск нашего сервера. Вписываем название ключа. Например, если напишу "test", то выглядеть в менеджере автозагрузки будет примерно так:

Вкладка "Message"

Данная функция предназначена для вывода окошка с сообщением при запуске сервера. Жертва запускает сервер и вылетает окошечко с содержимым, которым мы захотим. Есть возможность выбрать иконку сообщения и название кнопок. Справа в верхнем поле вводим заголовок сообщения, а в нижнем само сообщение. Нажав на кнопку "Test", можно увидеть наше творчество. Вот, например:

Вкладка "Keylogger"

Кейлогер, кейлоггер, keylogger - (англ. key - клавиша и logger - регистрирующее устройство) - это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.

При поставленной галочке, мы видим следующие настройки кейлоггера: Delete и Send logs by FTP. При установленной галочке "Delete" кейлоггер будет запоминать нажатие клавиши "Backspace". Так же сервер может отправлять логи на ФТП-сервер. Для этого есть определенные настройки:

• Send to - здесь указываем фтп-сервер;
• Directory - папка на сервере, в которую будут приходить логи;
• FTP user - имя пользователя ФТП-сервера
• FTP password - пароль для доступа к ФТП-серверу;
• Send logs FTP port - порт для отправки логов. Обычно 21;
• Send each - промежуток времени между отправками логов.

Если фтп сервера нет или мы не хотим использовать отправку, то кейлоггер будет хранить отчеты на компе жертвы. Их всегда можно скачать и посмотреть. Об этом позже.

Вкладка "Anti-Debug"

Анти-отладачная система защиты сервера. Сервер не запуститься на помеченных галкой системах.

Здесь присутствует защита от запуска на виртуальных машинах разных производителей. Так же присутствует защита от разных видов отладчиков.

Вкладка "Create server"

И завершающий этап настройки и создания сервера. Рассмотрим окошечко:

В центре черное окно. Оно содержит в себе все настройки (в виде текстовых строк) которые мы произвели на всех этапах создания сервера. Как бы общий итог манипуляций с настройками сервера.

Разберем все заключительные настройки:

• Use icon - галочку ставим и слева появляется иконка. Щелкаем по ней и выбираем иконку для нашего сервера. Уже неактуально, так как сервер в чистом виде палиться многими АВ. И его придется криптовать. А крипт сменит иконку в любом случае. Поэтому лучше использовать другие методы смены иконки, если оно вообще надо;
• Compress with UPX - после создания сервера сжать его UPX-ом;
• USB Spreader - распостранение сервера через USB накопители. Когда жертва вставляет флешку, сервер записывает на нее свою копию;
• p2p Spreader -
• RootKit - маскировка сервера и его процесса в памяти. Есть условие здесь: имя файла и имя ключа реестра сервера должны быть SPY_NET_RAT;
• Google Chrome Password - кража паролей браузера Google Chrome. Для его работы нужна библиотека sqlite3.dll. Ее необходимо загрузить на сервер. Когда вы поставите галочку, вылетит окно, в котором нужно ввести полный путь до этой библиотеки;
• Bind files - функция джоинера. С помощью нее с сервером можно склеить несколько файлов:

• File - здесь выбираем файл, который мы хотим присоединить к серверу;
• Destination - место, куда будут распакованы склеенные файлы;
• Parameter - параметры распаковки;
• Execution - варианты запуска склеенных файлов;
• Add - добавить в список.

И заветная кнопочка "Create server"! Указываем путь, куда сохранить сервер. И... Вуаля! Наш сервер готов к работе!
После создания сервера, появится окошечко:

Здесь он нас извещает об успешном создании сервера и спрашивает: "Хотите ли вы сохранить текущие настройки?". Это означает, что все, что мы сейчас настраивали, он сохранит в файл с названием этого профиля и при следующем к нему обращении все будет выглядеть так же, как и сейчас.

Уффф... О создании сервера вроде все рассказал.