• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Коллекция RAT


MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
В одном архиве собраны 42 RAT. Как старые, так и относительно новые, есть также взломанные приватки.
Безымянный.png

P.s. Все на склейку не проверял, поэтому запускать и использовать следующим образом:
1) В песочнице и/или Виртуалке запускаем первый раз, смотрим поведение.
2) Советую поставить файрвол, в случае если пропустите склейку, чтобы всякая мерзость не получила доступ к интернету.
Лично у меня раты никогда не просят разрешения у файрвола на отправку данных в интернет. Нужны только открытые порты.
3) Если в виртуальной среде все нормально, можно использовать на настоящей машине.
Скачать:
Пароль: ru-sf
 
В

Ванесса

Гость
Если в виртуальной среде все нормально, можно использовать на настоящей машине.
Миш, а если рат склеен к примеру со стилером снабжённым "антивиртуалкой и антипесочницей"? В виртуальной среде этот файлик дропнется в ту же папку где находятся файлы ратника, но запускать свою зловредную деятельность не станет. Что тогда делать?
Как пример:Полезные процедуры и функции для Делфи
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Миш, а если рат склеен к примеру со стилером снабжённым "антивиртуалкой и антипесочницей"? В виртуальной среде этот файлик дропнется в ту же папку где находятся файлы ратника, но запускать свою зловредную деятельность не станет. Что тогда делать?
Как пример:Полезные процедуры и функции для Делфи
Сам как-то делал такую проверку, для этого файрвол, просто смотришь идут ли какие-то запросы на левые сервера, лично я так проверяю, по другому думаю никак не сделать
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
Можно ещё данные тырить через браузер гет-запросом, т.е. например шифруем стыренные пароли и посылаем Get-запросом через любой браузер на php-гейт, все довольны и файерволы часто тоже, правда небольшое палево, что браузер открываться будет, но как-правило если сделать какую заглушку, или редирект, никто и не заподозрит ничего !

Видел такие стилеры ! :)
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Можно ещё данные тырить через браузер гет-запросом, т.е. например шифруем стыренные пароли и посылаем Get-запросом через любой браузер на php-гейт, все довольны и файерволы часто тоже, правда небольшое палево, что браузер открываться будет, но как-правило если сделать какую заглушку, или редирект, никто и не заподозрит ничего !

Видел такие стилеры ! :)
А ратку можно инжектить в процесс браузера тогда файрволы тоже в теории детектить не должны, я делал инжект, но на поведение файрвола не смотрел(
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
Миш, а если рат склеен к примеру со стилером снабжённым "антивиртуалкой и антипесочницей"? В виртуальной среде этот файлик дропнется в ту же папку где находятся файлы ратника, но запускать свою зловредную деятельность не станет. Что тогда делать?
Как пример:Полезные процедуры и функции для Делфи
Можно юзать еще AnVir Task Manager, там много полезных функций
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 173
А ратку можно инжектить в процесс браузера тогда файрволы тоже в теории детектить не должны, я делал инжект, но на поведение файрвола не смотрел(
А вот я тестил, есть-же специальные тулзы чот почти все пропускают и взамодействие с OLE-объектами, и открытие браузера со специальным URL (В котором как-раз может пересылаться краденный пароль) !

Причём если говорить про комодыча, то старый файерволл это отслеживал, новый почему-то перестал, у оутпоста, задаёт вопрос, что процесс пытается открыть другой сетевой процесс по мойму...

Короче мало, кто это мониторит почему-то сейчас !Не въехал!!!
 

MIXA066

Уважаемый пользователь
Форумчанин
Регистрация
18.05.2014
Сообщения
425
Репутация
127
А вот я тестил, есть-же специальные тулзы чот почти все пропускают и взамодействие с OLE-объектами, и открытие браузера со специальным URL (В котором как-раз может пересылаться краденный пароль) !

Причём если говорить про комодыча, то старый файерволл это отслеживал, новый почему-то перестал, у оутпоста, задаёт вопрос, что процесс пытается открыть другой сетевой процесс по мойму...

Короче мало, кто это мониторит почему-то сейчас !Не въехал!!!
Вообще от нормального приват стиллера допустим + фудным криптом + нормально сделанным антисандбоксом, антивиртуал, защититься не получится, если конечно знать что вот в этом файле вирус, то чтонибудь сделать можно конечно, а так в обычном режиме все пропустит shout it
 
В

Ванесса

Гость
нормально сделанным антисандбоксом, антивиртуал
Вот здесь есть ман на испанском, как виртуал бокс замаскировать под реальную систему Как безопасно запускать опасное ПО на реальной системе
Да и сама тема посвящена тестам всякого странного софта.
 
Верх Низ