Cas: Un hacktiviste utilise un RAT DarkComet nommé "Charlie"

[ѠOOT]

Bonjour,

En réponse à un tweet de @PhysicalDrive0 : VirusTotal #Fynloski #Shameless

LegalCopyright: 1.0.2
Assembly Version: 1.0.2.0
InternalName: je suis charlie.exe
FileVersion: 94.0.3.1
CompanyName: Creative Updreg
Comments: Creative Technology Ltd.
ProductName: Copyright (c) Creative Technology Ltd. 2000
FileDescription: UpdReg

Se copie dans "%TMP%\svchost.exe" puis s'exécute.
Dépose une image dans %TMP%\Binded_%d.jpg

Affiche l'image avec la commande.
"rundll32.exe" %WINDIR%\system32\shimgvw.dll,ImageView_Fullscreen %TMP%\Binded_%d.jpg



Il s'agit d'un RAT de type DarkComet dont voici la configuration.



Le compte du no-ip.org est "snakes63"
63 est le département du Puy-de-Dôme.
La résolution retourne l'IP 86.216.158.194
Soit aclermont-ferrand-157-1-247-194.w86-216.abo.wanadoo.fr

Autre échantillon du 23/11/2014, snakes63.no-ip.org ( 86.216.34.116:1604/TCP )

Connexion au port 1500/TCP:
0x00000000 (00000) 44353733 42413541 34454646 43334642 D573BA5A4EFFC3FB
0x00000010 (00016) 36323933 3038 629308

Connexion au port 80/TCP:
Server: HP HTTP Server; HP Photosmart 5520 series - CX042B; Serial Number: CN37I166360602; Morgan_pp Built:Mon Oct 27, 2014 08:28:54AM {MGP1CN1444AR, ASIC id 0x003a0008}

Si vous utilisez des RATs à des fins malveillantes, vous serez traqués.

➱ ( 19 May 2014 ) FBI arrests 100 hackers over Blackshades malware
➱ ( 19 June 2014 ) Case No. 2:14-cv-00987-GMN-GWF - No-IP "Malicious Domains"
➱ ( 30 June 2014 ) Microsoft received court permission to take over No-IP
➱ ( 21 November 2014 ) Multiple UK arrests in international operation

Edit: Période octobre-novembre 2014, usage d'autres DarkComet vers Proxy (UK):
☣ SNAKES.NO-IP.ORG ( 31.24.33.221:1500/TCP )

------------------------------------------------------------------------------------------------------------
2014-10-22 [ MD5: 095EC3D659F84C01C66480E2894C4D34 ]
[+] Reading file
[+] Searching for Config
[+] Printing Config to screen
[-] Key: CampaignID Value: chtbib
[-] Key: Domains Value: snakes.no-ip.org:1500
[-] Key: FTPHost Value: ftp.missyclac.esy.es
[-] Key: FTPKeyLogs Value: 1
[-] Key: FTPPassword Value: Wxcvbn12
[-] Key: FTPPort Value: 21
[-] Key: FTPRoot Value: /logs
[-] Key: FTPSize Value: 5
[-] Key: FTPUserName Value: u556955310
[-] Key: FireWallBypass Value: 0
[-] Key: Gencode Value: EV93vHg3uqyk
[-] Key: Mutex Value: DC_MUTEX-67H4MAG
[-] Key: OfflineKeylogger Value: 1
[-] Key: Password Value:
[-] Key: Version Value: #KCMDDC51#
[+] End of Config
------------------------------------------------------------------------------------------------------------
2014-10-24 [ MD5: 0ED23D04CE0425A8B323154673C6CA8D ]
[+] Reading file
[+] Searching for Config
[+] Printing Config to screen
[-] Key: CampaignID Value: victims
[-] Key: Domains Value: snakes.no-ip.org:1500
[-] Key: FTPHost Value: ftp.missyclac.esy.es
[-] Key: FTPKeyLogs Value: 1
[-] Key: FTPPassword Value: Wxcvbn12
[-] Key: FTPPort Value: 21
[-] Key: FTPRoot Value: /LOGS
[-] Key: FTPSize Value: 10
[-] Key: FTPUserName Value: u556955310
[-] Key: FireWallBypass Value: 0
[-] Key: Gencode Value: zJ0185x3kSCE
[-] Key: Mutex Value: DC_MUTEX-KSHTTKC
[-] Key: OfflineKeylogger Value: 1
[-] Key: Password Value:
[-] Key: Version Value: #KCMDDC51#
[+] End of Config
------------------------------------------------------------------------------------------------------------
2014-11-07 [ MD5: 4B14CA5840A6BE9D96036A5A5F7CF8DA ]
[+] Reading file
[+] Searching for Config
[+] Printing Config to screen
[-] Key: CampaignID Value: victims
[-] Key: Domains Value: snakes.no-ip.org:1500
[-] Key: FTPHost Value: ftp.missyclac.esy.es
[-] Key: FTPKeyLogs Value: 1
[-] Key: FTPPassword Value: Wxcvbn12
[-] Key: FTPPort Value: 21
[-] Key: FTPRoot Value: /public_html/LOGS
[-] Key: FTPSize Value: 5
[-] Key: FTPUserName Value: u556955310
[-] Key: FireWallBypass Value: 0
[-] Key: Gencode Value: hdHuzVdsH7j3
[-] Key: Mutex Value: DC_MUTEX-5L38XJU
[-] Key: OfflineKeylogger Value: 1
[-] Key: Password Value:
[-] Key: Version Value: #KCMDDC51#
[+] End of Config
------------------------------------------------------------------------------------------------------------
2014-11-23 [ MD5: 04D606C37161E905BF8CAF18638D8371 ]
[+] Reading file
[+] Searching for Config
[+] Printing Config to screen
[-] Key: CampaignID Value: Guest16
[-] Key: Domains Value: snakes63.no-ip.org:1604
[-] Key: FTPHost Value: ftp.hackrecovery.altervista.org
[-] Key: FTPKeyLogs Value: 1
[-] Key: FTPPassword Value: vaccifopna24
[-] Key: FTPPort Value: 21
[-] Key: FTPRoot Value: /snakes
[-] Key: FTPSize Value: 5
[-] Key: FTPUserName Value: hackrecovery
[-] Key: FireWallBypass Value: 0
[-] Key: Gencode Value: SuKNfhN4lSrT
[-] Key: Mutex Value: DC_MUTEX-FBGL5CH
[-] Key: OfflineKeylogger Value: 1
[-] Key: Password Value:
[-] Key: Version Value: #KCMDDC51#
[+] End of Config
------------------------------------------------------------------------------------------------------------
2014-11-25 [ MD5: A73661806D923F1C158D561B1816A09F ]
[+] Reading file
[+] Searching for Config
[+] Printing Config to screen
[-] Key: CampaignID Value: chtbib
[-] Key: Domains Value: snakes.no-ip.org:1500 | snakes.no-ip.org:1600
[-] Key: FTPHost Value: ftp.missyclac.esy.es
[-] Key: FTPKeyLogs Value: 1
[-] Key: FTPPassword Value: Wxcvbn12
[-] Key: FTPPort Value: 21
[-] Key: FTPRoot Value: /logs
[-] Key: FTPSize Value: 5
[-] Key: FTPUserName Value: u556955310
[-] Key: FireWallBypass Value: 0
[-] Key: Gencode Value: iuQRrAhTsUJs
[-] Key: Mutex Value: DC_MUTEX-E3MSV7R
[-] Key: OfflineKeylogger Value: 1
[-] Key: Password Value:
[-] Key: Version Value: #KCMDDC51#
[+] End of Config
------------------------------------------------------------------------------------------------------------

[angelique]

Bah ouai , DarkComet , poisonIvY & co c'est mal

En gros snakes63 va voir les amis du petit déjeuner \o/ et tant mieux pour lui.

J'espere au moins qu'il utilise pas sa propre connexion, sinon je dirais bien que c'est un gros bouffon ;)

Tu t'es trompé dans ton titre ?

"Un hacktiviste utilise un RAT DarkComet nommé "Charlie"

"Un BOUFFON utilise un RAT DarkComet nommé "Charlie" ??





PING snakes63.no-ip.org (86.216.157.158) 56(84) bytes of data.

Scanning AClermont-Ferrand-157-1-246-158.w86-216.abo.wanadoo.fr (86.216.157.158) [65535 ports]
PORT STATE SERVICE VERSION
80/tcp open http HP Photosmart 5520 series printer http config (Serial CN37I166360602)
|_http-title: Site doesn't have a title (text/html).
|_http-favicon: Unknown favicon MD5: 76C6E492CB8CC73A2A50D62176F205C9
| http-methods: GET POST PUT DELETE
| Potentially risky methods: PUT DELETE
|_See http://nmap.org/nsedoc/scripts/http-methods.html
139/tcp open netbios-ssn
443/tcp open ssl/https?
| ssl-cert: Subject: commonName=VMware/countryName=US
| Issuer: commonName=VMware/countryName=US
| Public Key type: rsa
| Public Key bits: 2048
| Not valid before: 2015-01-06 18:53:33
| Not valid after: 2016-01-06 18:53:33
| MD5: 97fb ed75 a1e6 934c f1a9 676a 128a b372
|_SHA-1: 45f1 c5fa 5cd8 755a c42c 8295 15e6 dd01 5384 3f6e
|_http-methods: No Allow or Public header in OPTIONS response (status code 501)
902/tcp open ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC, SOAP)
912/tcp open vmware-auth VMware Authentication Daemon 1.0 (Uses VNC, SOAP)
2450/tcp closed unknown
2869/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-methods: No Allow or Public header in OPTIONS response (status code 503)
|_http-title: Service Unavailable
5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Service Unavailable
|_http-methods: No Allow or Public header in OPTIONS response (status code 503)
28048/tcp open skype2 Skype
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49156/tcp open msrpc Microsoft Windows RPC
49164/tcp open msrpc Microsoft Windows RPC
50805/tcp open unknown
56359/tcp open ssl/http uTorrent utserver web interface
|_sslv2: server still supports SSLv2
|_http-title: Site doesn't have a title (text/html).
| ssl-cert: Subject: countryName=US,ST=CA,L=San Francisco,O=BitTorrent,OU=BitTorrent,CN=BitTorrent
| Issuer: countryName=US,ST=CA,L=San Francisco,O=BitTorrent,OU=BitTorrent,CN=BitTorrent
| Public Key type: rsa
| Public Key bits: 1024
| Not valid before: 2015-01-06 18:56:16
| Not valid after: 2016-01-07 00:56:16
| MD5: f2fb 14fe 8c33 1bd9 7546 ee73 9e9e be4c
|_SHA-1: 849f 5b1d 561b a2ee 07d9 925c 1484 76d5 3636 109e
63694/tcp open skype2 Skype
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port443-TCP:V=6.00%T=SSL%I=7%D=1/15%Time=54B80073%P=i686-pc-linux-gnu%r
SF:(GetRequest,88,"HTTP/1\.1\x20403\x20Forbidden\r\nDate:\x20Thu,\x2015\x2
SF:0Jan\x202015\x2018:01:24\x20GMT\r\nConnection:\x20close\r\nContent-Type
SF::\x20text;\x20charset=plain\r\nContent-Length:\x200\r\n\r\n")%r(HTTPOpt
SF:ions,BB,"HTTP/1\.1\x20501\x20Not\x20Implemented\r\nDate:\x20Thu,\x2015\
SF:x20Jan\x202015\x2018:01:29\x20GMT\r\nConnection:\x20close\r\nContent-Ty
SF:pe:\x20text/html\r\nContent-Length:\x2054\r\n\r\n<HTML><BODY><H1>501\x2
SF:0Not\x20Implemented</H1></BODY></HTML>")%r(RTSPRequest,BB,"HTTP/1\.1\x2
SF:0501\x20Not\x20Implemented\r\nDate:\x20Thu,\x2015\x20Jan\x202015\x2018:
SF:01:30\x20GMT\r\nConnection:\x20close\r\nContent-Type:\x20text/html\r\nC
SF:ontent-Length:\x2054\r\n\r\n<HTML><BODY><H1>501\x20Not\x20Implemented</
SF:H1></BODY></HTML>")%r(FourOhFourRequest,88,"HTTP/1\.1\x20404\x20Not\x20
SF:Found\r\nDate:\x20Thu,\x2015\x20Jan\x202015\x2018:02:14\x20GMT\r\nConne
SF:ction:\x20close\r\nContent-Type:\x20text;\x20charset=plain\r\nContent-L
SF:ength:\x200\r\n\r\n")%r(SIPOptions,BB,"HTTP/1\.1\x20501\x20Not\x20Imple
SF:mented\r\nDate:\x20Thu,\x2015\x20Jan\x202015\x2018:02:24\x20GMT\r\nConn
SF:ection:\x20close\r\nContent-Type:\x20text/html\r\nContent-Length:\x2054
SF:\r\n\r\n<HTML><BODY><H1>501\x20Not\x20Implemented</H1></BODY></HTML>");
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port50805-TCP:V=6.00%I=7%D=1/15%Time=54B8006C%P=i686-pc-linux-gnu%r(Get
SF:Request,BF,"HTTP/1\.0\x20404\x20Not\x20Found\r\nTE:\x20chunked\r\nTrans
SF:fer-Encoding:\x20chunked\r\nContent-Type:\x20text/html\r\n\r\n58\r\n<ht
SF:ml><head><title>Not\x20Found</title></head><body><h1>404\x20-\x20Not\x2
SF:0Found</h1></body></html>\n\r\n0\r\n\r\n")%r(HTTPOptions,BF,"HTTP/1\.0\
SF:x20404\x20Not\x20Found\r\nTE:\x20chunked\r\nTransfer-Encoding:\x20chunk
SF:ed\r\nContent-Type:\x20text/html\r\n\r\n58\r\n<html><head><title>Not\x2
SF:0Found</title></head><body><h1>404\x20-\x20Not\x20Found</h1></body></ht
SF:ml>\n\r\n0\r\n\r\n")%r(RTSPRequest,BF,"HTTP/1\.0\x20404\x20Not\x20Found
SF:\r\nTE:\x20chunked\r\nTransfer-Encoding:\x20chunked\r\nContent-Type:\x2
SF:0text/html\r\n\r\n58\r\n<html><head><title>Not\x20Found</title></head><
SF:body><h1>404\x20-\x20Not\x20Found</h1></body></html>\n\r\n0\r\n\r\n")%r
SF:(FourOhFourRequest,BF,"HTTP/1\.0\x20404\x20Not\x20Found\r\nTE:\x20chunk
SF:ed\r\nTransfer-Encoding:\x20chunked\r\nContent-Type:\x20text/html\r\n\r
SF:\n58\r\n<html><head><title>Not\x20Found</title></head><body><h1>404\x20
SF:-\x20Not\x20Found</h1></body></html>\n\r\n0\r\n\r\n");
Aggressive OS guesses: FreeBSD 6.2-RELEASE (94%), HP LaserJet M1522nf printer (91%), OpenBSD 4.3 (89%), HP LaserJet CP1518ni printer (88%), OpenBSD 4.0 (88%), Apple AirPort Extreme WAP v7.3.2 (87%), Apple iPod touch audio player (iPhone OS 2.1) (86%), FreeBSD 6.3-RELEASE (86%), Netasq U70 firewall (86%), Apple iOS 4.3.1 - 4.3.5 (85%)

[ѠOOT]

Bonjour angelique,

Tu exprimes ton opinion et je ne la partage pas.
Le choix du terme a été pensé en conséquences.
☞ hacktivisme : contraction ( hacker + activisme )
Le titre est préfixé par "Cas:", c'est à dire un fait constaté.

Non, je ne me suis pas trompé dans le choix du titre.

Éventuellement, j'aurais pu ajouter script kiddie.
Mais quel intérêt de porter un jugement personnel ?
À part attiser ce qui n'a lieu d'être, je ne vois pas.

Peut-être que je me suis mal exprimé et que la nature du message n'est pas claire. Le sujet vise à isoler un cas rapporté pour sa singularité, à savoir qu'une personne revendique délibérément le slogan "je suis charlie" et affiche une image évocatrice du "mouvement" alors qu'en arrière plan se déroule l'installation d'un outil d'administration à distance (RAT) à des fins malveillantes et dont les objectifs sont en train d'être précisément évalués. Aujourd'hui, il y a des capacités de collectes, de stockages, de triages, d'analyses, de traitements, ... qui peuvent corréler ces données quasiment en temps réel dans l'espace et dans le temps. C'est pourquoi j'ai tenu à conclure en mentionnant des affaires récentes où des individus qui persistaient à manipuler des RATs, ont été traqués puis appréhendés. Clairement, si vous utilisez des codes malveillants, attaques informatiques,... il faut vous attendre à des conséquences bien que celles-ci ne soient pas toujours immédiates.

Derrière l'IP réside un être humain qui, jusqu'à preuve du contraire, est présumé innocent.
Prendre trop à cœur les actualités altère nos comportements et parfois jusqu'à la faute.
Je comprends bien le constat que tu dresses mais moins ce qui te pousse à le formuler.