Как настроить вирус darkcomet
Так-как меня достали уже спрашивать, решил загнать всё в одну тему, с ответами на вопросы.
Итак вопросы:
1. Что такое DarkComet и есть-ли официальная поддержка ?
DarkComet - Это программа, класса удалённого администрирования, но в отличие от легальных программ, имеет возможность скрытой установки, плюс многие сборки имеют достаточно широкий функционалл, например кейлоггер и т.д.
Проект был закрыт в 2012 году, т.к. автор незахотел поддерживать малварьщиков, подробнее здесь:DarkComet-RAT Official Website
Так-что оффициальной поддержки нет и не будет.
2. Где можно скачать сборки программы без вирусов и смс ?
Ответ:
У нас на форуме есть тема DarkComet RAT (все версии) где можно скачать разные сборки.
3. Как настроить сборку ?
Ответ:
В сети есть куча инструкций, да и в целом программа имеет понятный интерфейс, но вот простенький манн для совсем новичков:
Как использовать DarkComet - подробная интсрукция:
Наверно многих интересует как настроить комету, а так же как ее использовать. В этой статье я расскажу и покажу как это делать.
После регистрации нам нужно создать Host
В HostName пишем любой домен, который нравится. Через него будем перенаправляться на наш IP. В поле IP Adress пишем наш IP, Остальное как показано на картинке.
Хост мы создали. Теперь приступим к созданию стаба.
Для начала нужно открыть порты, делается это во вкладочке Scoket/Net. В поле порт указываем любой порт (обычно это 1604). И жмем Listen.
Отлично, теперь уже создаем стаб. Переходим по DarkCometRat -> ServerModule -> FullEditor
У нас открылось окно создания стаба. Давайте детально рассмотрим вкладочки.
1. MainSettings
Ничего особенного, просто тыкаем пару раз на кнопочку Random и пишем удобный для нас Server Id.
2. Network Settings
Самые важные настройки в поле IP/DNS указываем свой IP (если IP статичный) или Host (который создали в самом начале) если IP динамический. В поле Port указываем порт, который мы открыли в начале. И жмем ADD.
3. Module Startup
Это запуск нашего стаба вместе с WINDOWS, если да, то ставим галочку и выбираем куда сохранять наш сервер. Остальное не трогаем.
4. Install Message
Можем выбрать сообщение при запуске стаба, лучше не включать.
5. Module Shield
Функции стаба, сами разбирайтесь, я не трогаю.
7. HostFile
Можно прописать значения в файл Hosts
8. File Binder
Отличная функция склейки файлов. Делается все очень просто, выбираем exe и жмем add.
9. Choose Icon
Выбор иконки стаба. Можно загрузить свою или выбрать из предложенных.
10. Stub Finalization
Собственно создание самого exe файла. Можно сжать upx или MPRESS. Я обычно не сжимаю. Жмем Build the stub и сохраняем в любое место. Осталось кинуть этот файл жертве.
4. Будет-ли детектить сборку антивирусы ?
Ответ:
Да-разумеется, т.к. сборки старые. Вам нужны крипторы хорошие, ну и сама сборка должна-быть минимальна, т.е. без всяких там добавление в автозагрузку и т.д.
5. Есть-ли уязвимости в сборках ?
Ответ:
Как производится настройка Dark Comet на стороне жертвы?
Пожалуй, ни одной из современных работ в области удалённого администрирования не посвящено столько исследований и целых мировых конференций, как Dark Comet. Отчасти это связано с объёмом неприятностей, которые троян может доставить безалаберному пользователю, отчасти со якобы “скандалом”, связанным с участием трояна в слежении государственных органов Сирийской Арабской Республики за своими гражданами. Что здесь правда, что – нет, судить не мне, а потому приступаем.
Статьёй начнём серию, где разбираем работу популярного клиента удалённого администрирования в Windows Dark Comet, принцип работы, действия и последствия, а также как от неё – Кометы – избавиться.
Материала получилось много. Позволю себе разбить его на несколько частей. Так что читайте в продолжение:
Поправочка. Поисковики все мои ссылки на клиента забанили. Воспользуйтесь поиском по Пиратской бухте через прокси-сервера. Если появится возможность предоставить прямую ссылку, она будет здесь. Пока так…
СРАЗУ
- В том виде, как она скачивается и в каком виде настраивается “прыщавыми хакерами”, она совершенно не подходит: перехватывается ещё на излёте даже Windows Defender-ом, созданный клиент на удалённом компьютере поставляется в виде легко читаемых файлов exe, bat и т.п.: ни о какой высокоорганизованной атаке и речи быть не может.
- Если вам понравятся некоторые возможности программы, не стоит прямо сейчас погрузиться в сеть в поисках программы: 8 из 10 скачиваемых в сети копий Dark Comet заражены троянами, так что, просто распаковав архив, вы рискуете сами оказаться в числе жертв. Ситуация на забугорных сайтах ещё хуже – заражённые версии Кометы предлагаются в ссылках статей, где описываются основные настройки программы: ну как тут не попасться на удочку. С сайта разработчиков также скачать последнюю (проект уже давно заброшен: поговаривают, автору пригрозили расправой) версию не получится: нам предлагают только противоядие. Так что заведите сразу себе виртуальную машинку или вторую операционную систему: если что, никто не пострадает.
- Предлагаемое в сети, в том числе на офсайте, средство удаления скрытого сервера Dark Comet не справляется со своей задачей: при удалении не стоит полагаться только на неё. Качественный способ удаления я предложу в одной из следующих статей.
Dark Comet в сети гуляет в двух видах: с установкой и портативной версиях. Последней и воспользуемся.
Запускаем из папки, настройка Dark Comet начинается.
Настройка Dark Comet: подготавливаем модуль сервера
Проходим по пути:
DarkComet-RAT – Server module – Full editor (expert)
По нажатии мы попадаем в окно настройки модуля, который будет функционировать на стороне жертвы. Третий (условно) квадрант окна программы содержит настройки, которые администратор должен изменить поэтапно. Итак:
Main Settings
В этом окне нам необходимо установить пароль для шифрования трафика. Однако тот же пароль нужно продублировать в настройках со стороны хакера (иначе ни одного клиента он не увидит). Сгенерируем ID сервера, изменим название профиля, мьютекс процесса. Нижняя часть окна Active FWB содержит три пункта обхода фаервола (однако программа сама предупреждает, что настройку лучше не активировать, если вы собираетесь шифровать клиента, использовать его в песочнице и если компьютер, на котором клиент будет работать, не будет защищён фаерволом). Окно Main Settings настраивается в интересах администратора, остальные касаются компьютера жертвы.
Network Settings
В нём выбираем IP адрес, на который будет приходить информация, и номер порта. Кнопкой ADD можно добавить несколько IP адресов – чертовски полезная настройка, но не стоит ей пренебрегать: исходящий трафик на кучу адресов – заметная операция даже для жертвы-дилетанта. Но при опробывании программы – неоценимая настройка. К ней мы вернёмся уже на конкретных примерах.
Что касается номера порта. Тот, что умолчанию, сразу отметаем и выберем в диапазоне до 1000. Этот порт должен быть открыт для приёма прежде всего на вашем компьютере, так что нам нужно, в том числе, пробросить установленный порт.
Module Startup
Здесь выставляются настройки клиента, которые никак нельзя отнести к безобидным: благодаря им программа справедливо относится к категории полноценных троянов. Итак, активируем модуль (клиент будет запускаться на компьютере жертвы вместе с Windows). Немедленно активируются остальные настройки Dark Comet. Хакер может выбрать несколько конечных точек для хранения тела трояна: они видны по нажатии по кнопке Install Path. Это директория с Документами, Рабочий стол, папка Windows, кукисы и т.д. Если тренируетесь, имя (Install Name) и место файла не будут иметь значения. Если атака готовится тщательнее – хакер спрячет троян в папку поглубже, а назовёт знакомым любому пользователю именем, чтобы не вызвать у того подозрений:
Повторюсь, это самое “вкусное” окно, в котором можно будет выбрать следующие параметры трояна:
- Melt file after first execution – после запуска файл исчезнет из поля зрения жертвы
- Change the creation date – дата создания файла в его описании будет такой, какой установите – важнейший момент в отвлечении противника
- Persistence Installation option – принудительная установка – обязательная для хакера опция.
Наконец, нижняя часть окна настройки Installed module file attributes устанавливает 2 самых важных атрибута для самого файла и родительской папки: Скрытый, Системный.
Окно Install Message – здесь можно будет вложить сообщение, которое отразится в окне программы после установки программы, если всё прошло как следует:
Module Shield section – также для хакера крайне важно. Это окно позволяет последовательно:
Да, теоретически трояна можно запрятать так глубоко, что сам потом не найдёшь. Однако любой более-менее грамотный пользователь сразу может заподозрить неладное: UAC молчит, брандмауэр выключен, Диспетчер задач не работает… Никуда не годиться.
Keylogger
Это окно позволяет перехватывать набираемые символы с клавиатуры, отправляя затем логи по указанному адресу. Обратите внимание, что окно выбора FTP тропки можно и не указывать:
Настройки Hosts file позволят подменить одноимённый файл .hosts.
Серьёзная заявка, в которой хакер может направить жертву только на конкретные сайты или, наоборот, запретить посещение других вплоть до полного отключения от интернета.
Пропустим пока плагины Add plugins и File Binder – обещаю к ним вернуться ибо они позволят расширить троян и прилепить его к нужному файлу: сейчас рассматривается только настройка Dark Comet как тела трояна. Также нарочито пропустим иконки, предлагаемые в Choose Icone – они допотопные и бросаются в глаза.
Stub Finalization
Завершает настройки модуля трояна. Предлагает на выбор вариант исполнения трояна: в каком виде он запустится. Здесь есть:
- .exe файл – троян будет представлен в качестве маленькой утилитки
- .com – в виде DOS утилиты (без значка где бы то ни было)
- .bat – батник (без значка где бы то ни было)
- .pif – ярлык DOS утилиты ( на современных версиях очень уж бросается в глаза)
- .scr – в виде Хранителя экрана
С возможностью сжатия всё ясно: особого смысла я пока не вижу в этих настройках, хотя файл, к которому троян приклеят, может быть и сам невеликих размеров. Так что по усмотрению. Ссылка на подделывание трояна под рисунок вверху статьи.
В генерации патча также отпала надобность – Dark Comet давно больше не обновляется (поговаривают, у создателя появились большие проблемы в связи с созданием программы). Нам осталось сохранение профиля для каждой из настроек – если эти настройки хакером заточены не под какую-то конкретную цель, а испробованы, например, как вариант для многих потенциальных жертв (по принципу “кто попадётся”), хакер попробует трояна в как можно большем количестве случаев и в разных сферах в сети.
Общая настройка Dark Comet завершена. Создание модуля трояна начнётся по нажатии самой нижней кнопки Build the stub. Процесс будет отображаться тут же в окне:
После того, как модуль трояна будет создан, на своей машине, думаю, ясно, что запускать его не стоит …
В следующий раз рассмотрим настройку сервера для сбора информации о жертвах: без настроек на стороне администратора проделанная работа – игрушки. Ссылки вверху статьи.
Новая версия лучшего RAT-a от энтузиастов, после закрытия проекта.
Перед скачиванием обязательно отключите антивирус, иначе комета установится не правильно!
Пароль на архив: 123
Я отмечу лишь несколько функций этого чудесного софта:
1. Управление локальными дисками неприятеля,удаление файлов,перенос файлов на диск,копирование файлов с его локального диска на свой,запуск той или иной программы от имени администратора.
2. Такие мелочи как включение Веб-камеры,микрофона,просмотр за рабочим столом.
3. Встроенный кейлоггер.
4. Передача звукового сообщения или же обычный чат с нашей жертвой.
И многое-многое другое вы найдете в этом софте.
Теперь приступим к настройке и созданию нашей Кометы.
1. Регистрируемся на "noip.com" , *только если у вас динамический IP*,так как при создание Кометы необходимо будет ввести ваш IP,если после перезагрузки интернета ваш IP измениться,вы потеряете контроль над жертвой.Инструкцию регистрации я описывать не буду,т.к. в этом нечего сложного нету и в интернете кучу сцылок и статей как это сделать. После этого нам понадобиться программа No-Ip DUC,чтобы наш No-Ip работал.
2. После,запускаем Client Dark Comet(если ваш антивирус ругается,то добавляем в исключение или выключаем его на время работы с клиентом Dark Comet),нам необходимо открыть порт для создания Кометы, жмем на большую синею кнопку DarkComet-RAT -> Listen to new port (+Listen), необходимый нам порт будет уже прописан (1604),жмем на кнопочку Listen и готово. Чтобы проверить,открыт ли наш порт,заходим во вкладку Socket/Net и видим что стоит зеленая галочка напротив нашего порта.
2.1. Стоит заметить,если у вас роутер или другой маршрутизатор,то необходимо открыть порт и в нём.
3. ТАДАМ,настало время создание нашей Кометы,опять же жмем на большую синею кнопку DarkComet-RAT -> Server module -> Full editor (Expert).
3.1. Не спишите жать на все кнопки,обо всём по порядку.Во вкладке Main Setting клацаем несколько раз на кнопку Random,больше тут нам нечего не нужно.
3.2. Теперь Network Setting,в строке IP/DNS,прописываем наш No-IP,если у вас динамический айпи,если же у вас статик то просто прописывает свой IP,в поле Port 1604 и жмем на клавишу ADD.
3.3. На очереди функция Install Message, и вот тут перед нами выбор.Хотим ли мы просто кинуть вирусню на файлообменник?Или же мы хотим склеить её с другим софтом (как это сделать я расскажу позже) чтобы вызвать меньше подозрения у недоверчивого юзера? Если вам по душе второй вариант,то просто пропускаем этот пункт,а если вам достаточно просто вирусного экзешника,то в этом пункте вы можете выбрать иконку и ввести текст для приветственного письма,которое увидит наш юзер после запуска Кометы.Так же во вкладке Choose Icon выбираем иконку уже для самого файла Кометы.
3.4. Вот пожалуй и всё,остальные настройки на не нужны.Переходим к последней вкладки создания нашей Кометы Stub Finalization и жмем на клавишу Build The Stub, задаем имя нашей Комете и сохраняем в нужном нам месте.
Наша Комета создана и готова лететь к своей жертве,но как склеить нашу Комету с другим софтом. В этом нам поможет программа OXI_Joiner.
1. Переносим в окно Файлы нашу Комету.
2. Далее заходим в вкладку Внешний вид -> Маскировка под существующий EXE (Иконка + Version Info) выбераем экзешник с которым будем склеивать нашу Комету и жмем окей. Стоит заметить,что не весь софт с которым Комета будет склеена,будет работать.
3. Жмем на розовую шестеренку,задаем маскировочное имя нашей комете и сохраняем.
После того как наша жертва запустит Комету,над часами в правом нижнем углу вы увидите табличку Dark Comet RAT - New User! ,это будет означать,что наша Комета долетела до нужной цели.Открываем Dark Comet Client и видим во вкладке Users нового клиента,клацаем по нему правой кнопкой мыши и жмем Open Control Center,у вас откроется окно Control,где вы увидите функции Кометы,нечего сложного в них нету,всё описано на очень простом английском.
RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.
На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.
RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.
- Следить за действиями пользователя
- Запускать файлы
- Отключать и останавливать сервисы Windows
- Снимать и сохранять скрины рабочего стола
- Запускать Веб-камеру
- Сканировать сеть
- Скачивать и модифицировать файлы
- Мониторить, открывать и закрывать порты
- Прикалываться над чайниками и ещё многое другое
- DarkComet Rat
- CyberGate
- ProRAT
- Turkojan
- Back Orifice
- Cerberus Rat
- Spy-Net
Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)
Заражение вирусом RAT происходит почти также как другими вредоносными программами через:
- Массовое заражение на варез и торрент сайтах.
- Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
- Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.
Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).
- Не открывать не знакомые файлы, которые вы получаете по почте.
- Пользоваться безопасными браузерами.
- Качать и устанавливать программы только с сайта разработчика.
- Не допускать физического контакта с компьютером посторонних людей.
- Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности ))!
Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:
- Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
- Комп начал тормозить или скорость интернета значительно просела.
- У вас увели пароль от соц. сетей или почты.
- Подозрительный трафик в сниффере
Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.
Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD
Видео: Работа RAT трояна DarkComet
да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит
крипт бесплатен был, бесплатный есть и бесплатным будет.
хорошая статья но автор забыл написать ещё про рат PI
Все ответы на ваши вопросы будут в отдельной статье.
Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.
Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.
У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.
Тем не менее, далеко не все пользователи осознают, насколько уязвимыми становятся файлы в криптоконтейнере после его подключения в качестве логического диска операционной системы и как просто их оттуда украсть. Это и послужило причиной написания данной статьи, в которой на конкретном примере будет показано как можно украсть информацию, размещенную в криптоконтейнере, созданном при помощи практически культовой в рунете (и не только) программа для шифрования TrueCrypt. Однако, то же самое справедливо и для любой другой программы, которая позволяет создавать криптоконтейнеры и не имеет других дополнительных функций для защиты хранящихся в них зашифрованных данных.
Давайте рассмотрим следующий пример. Предположим, есть некая организация ААА, хранящая у себя на сервере (в качестве которого используется обычный ПК) ценную информацию, к которой имеют доступ несколько сотрудников этой организации. Конфиденциальные файлы хранятся в криптоконтейнере, созданном при помощи TrueCrypt. Для того, чтобы допущенные к этой информации сотрудники могли с ней работать в течении всего рабочего дня, криптоконтейнер монтируется в его вначале (например, системным администратором этой организации) и демонтируется в конце. Руководство компании уверено в том, что, так как их конфиденциальные файлы хранятся на криптоконтейнере в зашифрованном виде, они надежно защищены.
Для того, чтобы понять, какая опасность угрожает этой организации, давайте ненадолго представим себя в роли не очень честной конкурирующей фирмы ВВВ, которая желает завладеть конфиденциальной информацией ААА. Реализовать задуманное можно в несколько этапов:
1. Скачать DarkComet RAT — утилиту скрытого удаленного администрирования, которая официально создавалась для легитимного управления удаленной системой. Трудно сказать, насколько на самом деле были чисты помыслы Жана-Пьера Лесьера, разработчика DarkComet. Возможно, также как в свое время Альберт Эйнштейн не мог представить, что открытая им атомная энергия впервые найдет практическое применение в атомной бомбе, он тоже не предполагал, что его разработка вскоре будет эффективно использоваться хакерами по всему миру, а правительство Сирии, например, использует программу против оппозиции в сирийском конфликте.
DarkComet имеет множество функций:
— файловый менеджер;
— менеджер открытых окон, запущенных задач, активных процессов;
— управление автозагрузкой и службами;
— удаленное управление реестром;
— установка и удаление программ;
— захват управления удаленной машиной по технологии VNC;
— снятие скриншотов с удаленного экрана;
— перехват звука с микрофона и видео со встроенных или внешних камер и др.
Конечно, все это позволяет использовать DarkComet в качестве отличной шпионской программы и превращает в мощное оружие в руках киберпреступников. Не смотря на то, что создатель DarkComet RAT принял решение закрыть свой проект, его разработку по-прежнему можно свободно скачать в сети.
Вот так выглядит главное окно программы:
2. После скачивания и установки программы потребуется завести хостинг, на который будем скачивать файлы с компьютера жертвы.
3. При помощи, DarkComet создаем exe-файл (стаб), которым будет инфицирован компьютер жертвы (DarkCometRat > ServerModule > FullEditor). В Network Settings прописываем созданный ранее хост и задаем другие необходимые настройки (подробнее здесь). Или заказываем создание такого файла на бирже (приблизительно 100$).
4. Естественно, исполняемый файл, созданный в DarkComet RAT обнаруживается антивирусами как вредоносное ПО, поэтому, для успешного инфицирования компьютера жертвы, нам нужно его криптовать при помощи криптора (или заказываем за $50-100). С помощью криптора шифруется исходный файл программы, а в его начало записывается код, который при запуске осуществляет дешифрование и запуск основной программы. Шифруя программу, криптор защищает ее от всех наиболее известных антивирусов и методов поиска по сигнатурам.
5. Убеждаемся, что антивирусные программы не расценивают криптованный файл как вирус. Проверку можно сделать на VirusTotal, например:
В этой статье мы напрямую не выкладываем криптованный файл, дабы не выдвигались обвинения о распространении вирусов, в частности, со стороны администрации Хабра. Однако, если у кого-то возникнет желание удостовериться в том, что на момент создания exe-файл действительно не расценивался антивирусами как вирус, можем дать ссылку на него и вы убедитесь в этом сами, сравнив хеш-суммы в видео и на файле.
6. Теперь необходимо, чтобы наш вирус попал на компьютер жертвы. Для этого существует множество различных способов.
Например, компьютер может быть инфицирован по электронной почте. В течении рабочего дня на корпоративную почту сотрудников приходят десятки и даже сотни электронных писем. Конечно, такой поток корреспонденции не позволяет уделить должное внимание каждому письму и большинство сотрудников относятся к обработке таких сообщений как к перекладыванию бумаг из одной кипы в другую, что значительно облегчает осуществление атак. Когда злоумышленник присылает по почте простой запрос, его жертва очень часто на автомате выполняет то, о чем ее просят, не задумываясь о своих действиях.
Это лишь один пример. Могут быть использованы любые другие методы социальной инженерии, основанные на особенностях психологии человека.
7. Как только вирус попадает на компьютер жертвы после открытия исполняемого файла, злоумышленник получает полный доступ к атакуемому компьютеру. Как известно, любое приложение, обращающееся к зашифрованному файлу, размещенному на подключенном криптоконтейнере, получает его копию в расшифрованном виде. Не исключением будет и файловый менеджер DarkComet – с его помощью можно скопировать с криптодиска любую информацию.
Все файлы мы получаем в расшифрованном виде, они доступны для прочтения и редактирования. После этого можно использовать их в своих интересах. Кстати, здесь еще один недостаток криптоконтейнеров – их большие размеры в сотни мегабайт, что существенно облегчает задачу киберпреступнику по поиску защищаемых файлов.
На этом все. Конфиденциальная информация скопирована и скомпрометирована, конкурирующая фирма может использовать ее в своих корыстных целях, а атакованная организация даже не подозревает о хищении данных.
Более наглядно процесс кражи информации с криптоконтейнера TrueCrypt продемонстрирован на этом видео:
Криптоконтейнер обеспечивает надежную защиту информации лишь тогда, когда он отключен (демонтирован); на момент подключения (монтирования) конфиденциальная информация с него может быть украдена и злоумышленник получит ее в расшифрованном виде. Поэтому, если для хранения ценных данных все-таки используется криптоконтейнер, подключать его следует на минимальные промежутки времени и отключать сразу после завершения работы.
В CyberSafe Files Encryption для усиления безопасности мы добавили Систему доверенных приложений, подробно о которой написано в этой статье. Суть заключается в том, что для папки, в которой хранятся зашифрованные файлы, при помощи CyberSafe дополнительно назначается перечень доверенных программ, которые смогут получить доступ к этим файлам. Соответственно, всем остальным приложениям в доступе будет отказано. Таким образом, если к зашифрованному файлу обратится файловый менеджер DarkComet RAT, другое средство удаленного администрирования или любая другая программа, не вошедшая в группу доверенных, они не смогут получить доступ к защищенным файлам.
В том случае, если CyberSafe используется для шифрования сетевых папок, файлы на сервере всегда хранятся в зашифрованном виде и на стороне сервера никогда не расшифровываются — их расшифровывание осуществляется исключительно на стороне пользователя.
Читайте также:
