Darkcomet – RAT piyasada mevcur diğer ratlara pek çok benzer özelliğe sahiptir ve aşağıdaki şemada gösterildiği gibi aynı istemci sunucu (client - server) mimarisini uygular. Sunucular istemci makinesinde oluşturulur ve gerektiği kadar uzak sunucuya dağıtılır. Bir kez dağıtılan sunucular istemci ile bağlantı kurar ve yeni komutları bekleyecek şekilde bilgisayara yerleşir. İstemci tarafı tam bir komuta ve kontrol yeteneği ve dosya sistemi erişimi sağlayan, tüm gelen bağlantıları yönetmek için bir yönetim konsolu sağlar. Birden çok sunucu profilleri tek bir istemci tarafından muhafaza edilebilir. Sunucular uzaktan güncellenebilir veya kaldırılabilir.
Uzaktan yöneticim aracı (Bilinen diğer şekliyle RAT) yazılımı uzak istemciler için tam erişim sağlamak amacıyla tasarlanmıştır. Yapabildikleri genelde tuş günlüğü, dosya sistemi erişimi ve uzaktan kontrol; kontrol edebildiği kamera, mikrofon gibi donanımlar vardır. Ratlar legal uzaktan yönetim araçları olarak tasarlanmasına rağmen gelişmiş yetenekleri sayesinde kötü niyetli yazılım olarak kullanıldıkları görülür. RAT kötü niyetli bir enfeksiyon yükü olarak tanımlandığında, tipik bir kötü amaçlı yazılım gibi saldırgana tüm özellikleri sağlayacaktır. Ancak saldırgan tüm bu özellikleri kullanmayabilir. Saldırganlar sadece tuş günlüğü özelliğini kullanabilir veya bu durumu kurbana daha fazla araç yüklemek için kullanabilirler. Tam etki değerlendirmesi yapmak için bu ayrıntı gereklidir ve sadece saldırgan tarafından ana bilgisayara gönderilen komutların analizi aracılığıyla mümkün olabilir. Ancak komut ve kontrol trafiğine erişim çoğu ratın internet üzerinden veri gönderimini gizme veya şifreleme uygulamasından dolayı sınırlıdır.
Bu yazıda Darkcomet – RAT a göz atacağım. Aracın sağladığı özellikleri çalıştıracağım, ilişkili ağ trafiğini inceleyeceğim, şifreleme algoritmasını belirleyecek ve kurbanda anahtarın nasıl tanımlanacağını ufak bir analiz ile belirleyeceğim.
Keine Kommentare:
Kommentar veröffentlichen