(http://upload.wikimedia.org/wikipedia/commons/thumb/5/5c/Nuclear_rat.png/800px-Nuclear_rat.png)
Imágen del primer RAT desarrollado por Caesar2k
Buenas comunidad de underc0de, en está ocasión les traigo un RAT llamado "
Bozok 1.4" con la configuración del servidor para el troyano. También les traigo un Crypter 100% FUD el cual me lo encontré en indetectables.net (http://indetectables.net) (no es mío), . Primero que nada, daremos una explicación de que es un RAT y un Crypter FUD,
1.- ¿Qué es un RAT?Un RAT "
Remote administration tool", como su nombre lo indica, vendría siendo una herramienta para la administración remota de nuestro troyano el cúal lo debemos tener alojado en un servidor configurado, que al abrirlo automáticamente la víctima queda totalmente infectada y el atacante podrá administrarlo de manera remota. El primer RAT fue desarrollado por un hacker informático llamado "
Caesar2k", salio por primera vez el año 2003.
El nivel de peligrosidad es de alto riesgo o muy grave ya que el atacante puede ver el escritorio de manera remota, usar un keylogger si es que lo tiene incorporado y hasta activar la webcam de la víctima sin que se de cuenta.
En este tutorial veremos como configurar nuestro servidor para el troyano con el RAT llamado "
Bozok 1.4" y entederemos como usar un Crypter FUD.
2.- ¿Qué es un Crypter FUD?Un crypter vendría siendo la herramienta con la cúal encriptamos nuestro troyano con el fin de hacerlo indetectable para el antivirus de la víctima, de manera que cuando sea ejecutado este mismo no lo detecte. Y "
FUD" vendría siendo "
Full un-detectable" y en español "
Completamente indetectable".
3.- Abriendo puertos y configurando las conexiones:Antes de configurar el servidor del RAT, para los que tienen un router yo les recomiendo tener el puerto 81 abierto, TCP y UDP. El cúal es como un puerto alternativo del 80, También puede abrir si quieren el 1515.
Para abrir el puerto nos dirigimos a la ruta del router, en mi caso es
192.168.0.1, Mi router es de la marca Nexxt y lo configuro de la siguiente manera:
LAN IP (en mi caso): 192.168.0.100 (Para verificar cúal es la suya en windows, vayan a la CMD y tecleen
ipconfig, y colocan la que sale en IPv4)
Protocolo: Both (los dos, TCP y UDP).
(http://i.imgur.com/SZuTewI.png)
Luego de esto, debemos registrarnos en http://www.noip.com/ (http://www.noip.com/) , les enviara un email de confirmación de cuenta, lo activan y se logean de forma normal.
Luego de esto se van a: https://www.noip.com/members/dns/ (https://www.noip.com/members/dns/) , En el que se crearan un host, para ello darán click en "
Add Host" y en el campo de formulario "
Hostname:" colocan el nombre de su dominio, luego de eso le dan click en el botón nuevamente "
Add host".
(http://i.imgur.com/KlMiPbb.png)
Después de esto, nos vamos a la página principal del no-ip y abrimos la sección "Download" de la barra de navegación, en el que vamos a descargar el No-ip duc, el cliente de actualización dinámica de DNS. Click en "
Download now" y instalan el no-ip duc. Ya instalado esto ejecutamos el no-ip DUC y nos saldra una pequeña ventana con 3 opciones, primero daremos click en la 1ra opción dónde especificaremos nuestro login y password de nuestra cuenta.
Luego de haberse logeado damos click en "
Edit Hosts" y seleccionamos la casilla del host de la conexión del troyano. Y automáticamente se irá refrescando el host.
Ahora nos vamos a la siguiente ruta:
C -> Windows -> System32 -> drivers -> etc y damos click derecho sobre el archivo hosts, luego click en propiedades y abrimos la opción "seguridad" y damos click en Usuarios luego en editar para modificar los privilegios.
Luego activamos todas las casillas:
(http://i.imgur.com/YDnuEcY.png)
Ahora tenemos todos los permisos para modificar los archivos, con algún editor de texto ejecutamos el archivo hosts, y tendremos lo siguiente incorporado (si es que no ha sido modificado):
0# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# ***** rhino.acme.com # source server
# ****** x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
127.0.0.1 localhostEn una nueva línea, especificamente debajo de 127.0.0.1 colocamos la dirección LAN que especificamos en la del puerto 81, en mi caso es 192.168.0.100 , y a un espacio colocamos el dominio de nuestro host que hemos creado en el no-ip , en mi caso es "
muferorat1.zapto.org" , ejemplo:
(http://i.imgur.com/NHGW30k.png)
Luego guardamos los cambios y listo, tenemos las conexiones configuradas del troyano.
4.- Configurando el servidor del troyano:Para configurarlo, primero debemos ejecutarlo abriendo el exe "
Client" (es 100% seguro está limpio):
Luego de esto, se nos abrirá la siguiente ventana:
(http://i.imgur.com/wZ13n2W.png)
Damos click en el icono inferior de abajo que está al lado derecho de la llave, Se nos abrirá una ventana en la que especificaremos el puerto, en dónde dice "
Listen on port" reemplazamos el 1515 por el 81 y en la parte de abajo, colocamos la contraseña que quieran, ej: 123123.
Y marcamos las dos casillas que están debajo. Una que es para la auto-carga de plugins y otra para la auto iniciada de la captura de pantalla. Luego damos click en "
Save"
(http://i.imgur.com/fa8c7o8.png)
Bien, ya realizado este paso, damos click en el icono de la llave que está al lado izquierdo, dónde se nos abrira una ventana la cúal es la configuración del servidor.
En dónde dice "Server ID" colocaremos el nombre o algún texto que se le dara a una victima, ej: Usuario conectado , Y en password igual colocan: 123123 . Luego en puerto colocan el 81.
Después de esto, en el campo vacío de abajo damos click derecho y damos click en "
Add conection" , se nos abrira una ventana en la que especificaremos "SOLO" la url de nuestro host creado en el no-ip , esta sera la del servidor, Luego le dan en OK.
(http://i.imgur.com/FokXNhF.png)
Ahora pasamos al siguiente paso, damos click en "
Installation", aquí marcaremos la casilla "
Install server", en dónde especificaremos el nombre del archivo.
La siguiente opción "
Visible mode" sera en caso de que la vayamos a testear a ver si funciona, si es así les recomiendo activarla.
(http://i.imgur.com/CEls3D5.png)
Luego nos vamos al siguiente paso, llamado "
Startup" , en este paso colocamos nuestro nombre o cualquier nombre, ej: "
M5f3r0".
Después de esto nos vamos a "
Extension" , Aquí simplemente especificamos la extensión de nuestro archivo ejecutable. Le colocamos la extensión que llevara, en mi caso sera .exe , Luego marcamos la casilla "
Include Extension".
(http://i.imgur.com/71GkAP2.png)
Ahora pasamos a "
Build" , en el que nos saldrá el nombre del archivo ejecutable , ya teniendo todo listo damos click en "
Build" para guardar los cambios.
Aviso: Debemos tener el antivirus desactivado como por 10 minutos para poder guardar los cambios en el archivo ejecutable, si no, lo movera al baúl de virus.
(http://i.imgur.com/g5k9IwQ.png)
Y luego tendremos todo listo, el troyano creado satisfactoriamente. Ahora procederemos a su encriptación con el Crypter FUD para hacerlo indetectable ante el antivirus.
5.- Encriptando el troyano con el Crypter FUDAntes de ejecutar este crypter debemos instalar "
Ronda OCX" , para ello abrimos el instalador y damos click en Next -> next -> hasta que se termine la instalación.
Luego podemos ejecutar el crypter abriendo el archivo "
Project1". Luego se nos abrirá lo siguiente:
(http://i.imgur.com/BMFJBX5.png)
Daremos click en el primer botón en dónde seleccionaremos la ruta en dónde se encuentra nuestro troyano, luego daremos click en el siguiente botón para especificarle el nombre y la ruta en dónde lo guardaremos.
Después de esto, nos saldra una alerta diciendo "
Pronto" es decir, el archivo ejecutable ya lo tendremos encriptado por lo cúal el antivirus no lo podrá detectar.
Ahora es cuestión de usar la ingeniería social para mandarle nuestro troyano a la victima para que la pueda ejecutar y quede totalmente infectada.
- Pruebas de que funciona el Crypter:http://chk4me.com/check/public/44QZV6Ub95Wmf9vAN657oY41IcJ (http://chk4me.com/check/public/44QZV6Ub95Wmf9vAN657oY41IcJ)
(http://i.imgur.com/d2pv2tf.png)
- Créditos:* M5f3r0 (Mufero): Por el post, las explicaciones y la configuración del servidor para el troyano.
* J0R4X: Por algunas explicaciones.
* sudo (de indetectables.net): Por el crypter, no se si sea de él, ya que fue quien realizo el post. http://indetectables.net/viewtopic.php?f=7&t=47401 (http://indetectables.net/viewtopic.php?f=7&t=47401)
* Slayer616: Coder del rat (creador).
* Coughs: Tester del rat.
* DarkPringles: Tester del rat.
- Descargas:RAT:http://www.multiupload.nl/I2GTVMZ7TL (http://www.multiupload.nl/I2GTVMZ7TL)
Crypter FUD:http://www.sendspace.com/file/kvh1n8 (http://www.sendspace.com/file/kvh1n8)
Trae contraseña, tendrán que decodificarla:
-.. .-. .- --. --- -.Post del crypter: http://indetectables.net/viewtopic.php?f=7&t=47401 (http://indetectables.net/viewtopic.php?f=7&t=47401)
Instalador Ronda OCX:http://www.mediafire.com/?d6c1h68g16ah2p7 (http://www.mediafire.com/?d6c1h68g16ah2p7) (el enlace no es mío)
- Aviso importante:No me hago responsable del uso que le den a la herramienta y lo empleado en el tutorial, fue realizado solo con fines educativos.
Eso ha sido todo amigos, saludos y espero les haya gustado el post.
Me pueden decir que tipo de codificacion es esta -.. .-. .- --. --- -.
muy buen tuto, lastima que ya esta un poo quemado el cripter, de todos modos se agradece.
Muy buen post, a favoritos.
Podrias volver a subir el rat?? estan caidos los enlaces.
Muchas gracias
Gracias por la info, tengo una duda al configurar todos los puertos, si uso una Máquina virtual es lo mismo?
Hola. @Kyr0s (https://underc0de.org/foro/index.php?action=profile;u=65937) si es lo mismo, pero tiene que estar en modo bridged
Saludos
Muy buen aporte! muchas gracias por compartirlo!, tengo una duda; has pasado el archivo por VirusTotal?, lo pregunto porque soy nueva aqui y ademas nunca he hecho este tipo de tecnicas. Si he preguntado algo incorrecto lo siento mucho, y que el moderador borre mi post por favor!
Saludos y muchas gracias nuevamente!!