RAT: problema con la conexión del server, IP y puertos.

Iniciado por eljoyero, 13 Diciembre 2013, 17:29 PM

0 Miembros y 1 Visitante están viendo este tema.

eljoyero

Buenos días, soy nuevo en este foro y espero que mi paso por éste no sea efímero. No estoy muy relacionado a la informática, programación, etc, pero me gustaría aprender lo básico y escencial para poder solucionar mi problema sin ahondar mucho en el tema ya que el tiempo no me lo permite.

Yendo al meollo del asunto, hacía algunos años atrás intenté usar Bifrost (en ese tiempo lo encontré con el nombre de Trojan, Troyano, mas no bajo el eufemismo de RAT) y la verdad es que me compliqué mucho la vida y no logré configurarlo bien ni enviarlo ni camuflarlo ni encriptarlo ni nada. Lo dejé. Me fui por la vía más sencilla y práctica, aprendí (si se puede usar ese verbo para algo tan sencillo) a configurar un Keylogger, el REFOG, que me registraba todas las pulsaciones de mi desktop, lo cual era mi objetivo.
La verdad que me fue muy útil porque yo viajaba mucho y ese ordenador quedaba en otras manos, por eso le tengo bastante cariño.

Ahora que vuelvo al tema de la informática y vuelvo a buscar malwares, me encuentro con el Ardamax, pero leí por todos lados que el uso de un RAT es más sencillo y superior porque tiene más funciones.
Me he estado informando más, desde setiembre para ser más exactos, acerca de los nuevos RATs, malwares, terminologías, etc y descubrí al contemporáneo del RAT que alguna vez intenté usar sin éxito: Bifrost, el Poison Ivy, pero lamentablemente no logro configurarlo bien para mi laptop con Windows 8, ni siquiera con el patch de un tal "Metal" ergo terminé probando el CyberGate (que nunca conectó mi server, por cierto, así haya abierto el puerto por defecto 999) y DarkComet que conectó mi desktop y mi laptop (aunque el remoto en la laptop lo perdí no sé por qué y además que su Keylogger era malo, no registraba todo y me suprimía las tildes), creo que lo que más me ha complicado ha sido el tema de los puertos.

Cuento con un router-modem ZTE zcv10 w300 de Movistar:

(sí, lamentable)

Y el procedimiento para abrir mi puerto 1604 que vino por defecto para el DarkComet fue el siguiente: entrar vía web a la configuración del modem, luego Advanced>Virtual Server>Virtual Server una vez ahí ponerle nombre; en "Protocol" dejo en "TCP"; el "WAN port" y "LAN open port" escribo el mismo número (1604); y en "LAN IP adress" puse mi dirección IPv4 que me tiró el CMD.
Con todo este proceso, como comenté más arriba, logré hacer que mi server de DarkComet conecte en mis dos laptops, una con W7 y otra con W8, y, porsupuesto, con mi desktop. El problema es que perdí la conexión de la laptop con W7. No sé si fue por apagarla y encenderla al día siguiente, la verdad. Le había desactivado el AV y el Firewall como hice con los otros dos ordenadores pero nada, me desconectó el server.

Para esto, antes de que lo olvide, me creé una cuenta en NO-IP, me bajé el programa, activé la casilla donde marca la dirección XXXXXX.no-ip.biz que creé y me salían los tres checks en color verde. En algún momento me marcó la X pero lo arreglé moviendo las opciones. Se deben estar riendo pero es que la verdad no entiendo muy bien su funcionamiento. Creí que actuaba como VPN, tipo Tunnelbear, ProxVPN o proXPN pero al parecer apunta en otra dirección. En fin, otra cosa que no entiendo, que he visto que recomiendan en varios tutoriales y videos, es usar la página "canyouseeme.org" para verificar si los puertos que abriste en realidad están abiertos y operativos. Como comenté anteriormente, el único que RAT que hasta ahora me conectó en tres ordenadores ha sido el DarkComet; sin embargo, en esa página "canyouseeme.org" al ingresar el puerto que abrí me aparece un mensaje de "ERROR" en letras rojas. Mi pregunta es ¿habré abierto bien los puertos? y si no lo he logrado, ¿cómo es posible que me conecte el DarkComet?

Leí un post en otro foro que añada mi IPv4 a DMZ. Fui a la configuración de mi modem, luego a Advanced>Virtual Server>DMZ y ahí dentro, en "DMZ Host IP Address" escribí mi IPv4 que me tira el CMD. Sigue igual sin conectarme otro RAT y el Darkcomet sólo me conecta lo que me he autoinfectado mas no las otras dos PC.

El DarkComet me conectó, como les digo, probé muchas opciones, me causo gracia lo del teclado y abrir la lectora. Lo que necesito en sí, es el Keylogger y el gestor de archivos. Si es posible la webcam, el chat y el remote desktop.

Como verán, estoy, si se podría decir así, practicando con estos ordenadores en casa y tengo la ligera sensación de que tendré que formatear alguno de ellos de tanto experimento que le hago jajaja, porque mi objetivo final es otro ordenador del cual necesito su control remoto. Es irrelevante el porqué pero no es ningún fin mal intencionado.

Llevo más de dos meses informándome, leyendo, viendo vídeos, probando en mis ordenadores, aprendiendo algunas cosas ínfimas y hasta el día de hoy me atreví a escribir en estos foros que ya había visitado antes porque no encuentro la solución a este lío que, creo yo, es problema de no saber abrir mis puertos o problema con mi IP que no sé si es fija o dinámica. Sé que hay una pública y una privada.
Y todo esto que les estoy contando es algo nuevo para mí así que por favor si le ocasiono un aneurisma cerebral a alguno, me disculpo de antemano y pido paciencia. Espero puedan orientarme. Gracias por aceptarme en su foro y éxitos.

PD: Las versiones de los RATs, DUC NO-IP y demás, son las últimas. No versiones antiguas. Lo último que he encontrado en la red. Me costó un poco pero preferí tenerlo todo actualizado. Otro dato es que he probado ser cliente en las tres pc pero la que más uso es ésta laptop con Windows 8. Se podría decir que es mi personal. No sé si sea relevante pero los tres ordenadores están conectadas al mismo modem por wifi, no por cable ethernet.

PD2: Las opciones del DUC NO-IP las moví para que me conecte en DarkComet y actualmente sólo me puedo autoinfectar e infectar temporalmente los otros ordenadores. Las tengo así:

xxxposeidonxxx

hola e leído un trozo de tu explicación luego me aburrido pero te iré cosas en las que te puede fallar.

Usa Cybergate con un configuración básica
Mira el vídeo en HD
[youtube=640,360]http://www.youtube.com/watch?v=xDAIL7mZqtY&feature[/youtube]


Después veo que tu DNS ( NO-IP ) esta bien configurado.


Ahora procede abrir  la consola.


Despues que inicies ejecutar se abrira esto:


presionas Enter y se abrirá la consola:


Escribe el comando
ipconfig
y presiona ENTER




Anota tu IP interna. en mi caso 192.168.1.33

Ves al Router y habre los puertos hacia tu ip interna.
Desactiva el Firewall del router del PC y del antivirus.

Procede a descargar un crypter y encryptar el servidor.exe de Cybergate:
http://www.m-security.net/crypters/dead-girl-crypterfud-modificacion-de-poseidonfud-all-s-o/
Ese crypter funciona en todos los Sistemas Operativos.

Una vez tengas todo esto ejecuta el servidor de Cybergate.


Notas importantes

Se da el caso en el que, si,  el router tiene firewall pocas veces permite auto-conexión, es decir, no te podrás infectar tu mismo, por ejemplo yo tengo 2 routers, 1  si me permite la auto-infección y el otro no me permite la auto-infección.


Si no desactivas el firewall del PC o aunque les des permisos muchas veces ha Cybergate no le sale del culo ponerse a la escucha por lo tanto no conectaran.

Abre puertos de rangos grandes que no suelan estar ocupados.  y creo que no se me olvida nada. Si tienes alguna duda mas me preguntas, porque veo que ya as preguntado en varios foros y nadie te a ayudado! saludos!

cpu2

Ya solo por esa parrafada, mereces que alguien te ayude.

Bien te explico, imaginate que estas usando un RAT de conexion inversa como casi todos, el cliente tendria que estar compilado con tu direccion publica, vamos la de tu modem/router, el siguiente paso seria hacer un NAT, para que lo entiendas diciendolo mal y pontro es como un traductor de direcciones cambias la direccion de la cabezera del paquete por tu direccion privada, que sera donde tengas el server escuchando. No hace falta servicios como no-ip, la verdad yo no me fiaria de eso.

El problema que puedes tener y tendras seguro, es que tendras una direccion dinamica, lo que significa que cuando telefonica quiera o cuando hagas un reset esa direccion cambiara por otra y el cliente no conectara, necesitaras contratar una direccion estatica, llama a telefonica, ami me cuesta unos 15 euros mas iva.......... Por eso mucha gente utiliza no-ip.

Y sobre lo de cifrar el cliente, pues si no tienes conocimientos en programacion descargate algun crypter, nada mas.

Un saludo.


scillablade

Hola, se que es post algo viejo, pero el problema de raiz de esta pregunta, que parece un periodico es la siguiente.

El amigo que pregunta quizas le ha puesto un poco de interes al asunto, y ha leido bastante segun el cree, pero no has comprendido nada, de lo contrario no harias preguntas tan basicas, permitanme orientarlos un poco:
1- Cuando eliges un tema el cual te interesa, buscas informcion
2- Si algo de lo que ahi dice no lo eniendes e identificas que pertenece a otro tema, debes investigarlo primero.
3- Ve tomando notas en un archivo aparte y eso te ayudara a comprender en general el tema principal.
Te pongo un ejemplo, dices queres usar un RAT(Remote Administration Tool) pero no comprendes que es conexion inversa ni para que se usa el servicio de No-ip, eso ya es grave, mas grave aun es no saber diferenciar entre ip interna y externa (privada o subnet y publica).

Sugiero que comienzes buscando un manual que explique lo que son las ip y como trabajan, luego algun otro manual acerca de routers, que ahi empiezan los quebraderos de cabeza, luego leer que son y como funcionan los troyanos y quizas despues ya puedas empezar nuevamente a tratar de hacer funcionar uno, no quiero explicar como hacer eso, solo cual deberia ser el proceso de la busqueda de informacion en general de algun tema.

Suerte y salu2