Durante los últimos años he estado realizando evasión de motores heurísticos y sistemas EDR de forma regular, encontrándome con la necesidad de tener que desarrollar mi propio malware para evadir este tipo de detecciones basadas en comportamiento. Este proyecto es una versión modificada realizando reversing al conocido troyano DarkComet, sus funcionalidades son las mismas que las del original, así como sus detecciones antivirus a nivel de firma deben ser similares. Sin embargo, se han realizado los siguientes cambios en su comportamiento, para ser lo más parecido a un software completamente nuevo a los ojos de un antivirus. Estos son los principales cambios que trae esta versión:
  • Nombre de archivo/extensión/carpeta del sistema de registro de keylogger
  • Nombre de las claves de registro creadas por el software
  • Mensaje al inicio de las comunicaciones TCP
  • Clave de cifrado de comunicación
  • Número de versión del servidor
  • Descripción del archivo del servidor
  • Ruta de instalación y nombre del binario
  • Ligero rediseño del estilo de la interfaz
  • Patrón de aleatoriedad de mutex
  • Identificación del servidor
  • Puerto predeterminado para conexiones
  • Archivos GeoIP.dat y UPX
  • Se corrigió un error que bloqueaba la ejecución en las últimas versiones de Windows 10
  • Huevos de Pascua… };)
Aclaraciones
  • Los servidores generados por LarryLurexRAT no funcionan con DarkComet
  • La versión de DarkComet RAT elegida para este proyecto ha sido la 5.2
  • Gracias a DarkCoderSc (Jean-Pierre LESUEUR) por su magnífico trabajo
  • Esta aplicación está diseñada exclusivamente con fines educativos y no soy responsable del mal uso que otras personas puedan dar al software LarryLurexRAT o la información aquí establecida

    [Enlace externo eliminado para invitados]
Imagen
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Tiene pinta papu 😎
Tengo algunas dudas, porque partiste del 5.2 y no del 5.3.1? supongo que para facilitar la tarea.
El server es el mismo modeado o hiciste un binario totalmente diferente?

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
DSR! escribió: 23 Dic 2021, 05:06 Tiene pinta papu 😎
Tengo algunas dudas, porque partiste del 5.2 y no del 5.3.1? supongo que para facilitar la tarea.
El server es el mismo modeado o hiciste un binario totalmente diferente?
Qué pasa macho! cómo estás?
El server es el mismo que el original pero con cambios, la verdad es que siempre me pareció muy estable la 5.2 y viendo el changelog de la última versión decidí quedarme con la que más he utilizado. Lo guay es que si lo pruebas en los Windows 10 actuales los servers de la 5.2 y de la 5.3.1 no funcionan, pero el de LarryLurex sí! =)
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Vaya! también funciona en Windows 11 😅
Imagen
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Lindo laburo 4n0nym0us !! si surgen futuras actualizaciones seria bueno que muestre entre las pestañas las características gráficas de cada pc remota. Felices fiestas!
TITAN escribió: 23 Dic 2021, 20:13 Lindo laburo 4n0nym0us !! si surgen futuras actualizaciones seria bueno que muestre entre las pestañas las características gráficas de cada pc remota. Felices fiestas!
Qué pasa TITAN!? la verdad es que con que sea estable en todos los sistemas y le demos una segunda oportunidad para los tiempos que corren a este bicho me conformo.. jejej segurmanete alguna cosita más le haga ;) Feliz Navidad!! 🌲
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Es un gran trabajo. Hice un crypter y se la cuelas a bastantes  AV's, puedes ejecutarlo sin problema 😎  . Pero cuando esta cargado en la memoria por ejemplo kasperky lo detecta a los 3 segundos.  :( Viene perfecto para hacer mas pruebas y aprender.
Gracias.
 
xxxPoseidonxxx escribió: 24 Dic 2021, 18:49 Es un gran trabajo. Hice un crypter y se la cuelas a bastantes  AV's, puedes ejecutarlo sin problema 😎  . Pero cuando esta cargado en la memoria por ejemplo kasperky lo detecta a los 3 segundos.  :( Viene perfecto para hacer mas pruebas y aprender.
Gracias.

 
Muchas gracias por el testeo!! Sí es cierto que el Kav creo recordar que lo seguía detectando.. pero en su momento hice pruebas con algunos EDR, AVG, Avast, Avira incluso el NOD32 y ni lo olían 😅
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
@4n0nym0us  Un gran trabajo hermano,  un gustazo verte por aqui y con tremendo aporte  se le agradece, como hacen falta estos tipos de post
que antes a diario salian. nuevamente se le agradece!
 
http://Corp-51.net --->RIP 2010-2014
Firma eliminada por spam. .l.
Blog: www.blackophn.blogspot.com
Imagen
Responder

Volver a “Troyanos y Herramientas”