Chiffrer son RAT pour le rendre (presque) indétectable
Malheureusement (ou heureusement) de nombreux antivirus détecterons vos RAT lorsque vous tenterez des les envoyer à vos victimes. En plus de le tester sur votre propre antivirus, vous pouvez tester votre RAT à l’aide de services tels que VirusTotal. Ce type de service vous permet de tester un même fichier auprès de plusieurs antivirus différents et d’obtenir un résultat global.
Voici par exemple le résultat d’un RAT que j’ai créé et qui n’est pas du tout crypté :
Comme vous pouvez le voir seul 4 antivirus sur 66 ne détectent pas le virus ! Nous allons donc voir comment diminuer ce score.
Avec WinRAR
Configuration de l’archive
Nous pouvons dans un premier temps, diminuer le score avec le logiciel Winrar.
Pour cela, ajoutez votre RAT à une nouvelle archive WinRAR.
Ensuite, sélectionnez les paramètres suivants :
- « Créer une extension SFX »,
- « Créer une archive compacte »,
- « Verrouiller l’archive »,
- Vous devez également créer un mot de passe
Dans un deuxième temps, rendez-vous dans l’onglet « avancé » et cliquez sur le bouton « Options SFX ». Ajoutez alors la valeur « %appdata% » au chemin d’accès pour l’extraction.
Une fois fait,
- Rendez-vous dans l’onglet « Mettre à jour » puis dans « mode de remplacement ». Cochez « remplacer tous les fichiers ».
- Dans l’onglet « Setup » vous devez mettre dans la rubrique « Lancer après l’exécution » le nom complet votre RAT contenu dans l’archive (avec extension).
- Dans l’onglet « Modes » cochez la case « Décompresser dans un dossier temporaire » et dans mode silencieux : « Tout masquer ».
- Pour finir, cliquez sur l’onglet « Module » et validez le tout.
Création d’un BAT
Vous devez créer un fichier .bat contenant le nom de votre archive créé juste avant suivi de l’option « -p » avec le mot de passe de l’archive. Ajoutez-y par la suite l’option « -d » avec la valeur « %appdata% ».
Vous avez donc deux fichiers : un fichier archive et un fichier .bat :
Faire une archive des deux fichiers
À présent, re-créez une archive comprenant les deux fichiers avec cette fois-ci les mêmes options que précédemment sauf qu’il ne faut pas créer de mots de passe. Le taux de compression quant-à lui devrait être mis sur « Optimale ».
Rendez-vous à nouveau dans « Options SFX » puis ajoutez la même option « %appdata% ».
- Cliquez alors sur l’onglet « Mettre à jour » et dans « mode de remplacement » il faut cocher « remplacer tous les fichiers ».
- Dans l’onglet « Setup »vous devez mettre dans la rubrique « Lancer après l’exécution » le nom complet votre RAT contenu dans l’archive (avec extension).
- Dans l’onglet « Modes » cochez la case « Décompresser dans un dossier temporaire » et dans mode silencieux : « Tout masquer ».
- Pour finir, cliquez sur l’onglet « Module » et validez le tout.
Tester le résultat des compressions
Nous avons diminué de 63 à 17 mais nous pouvons encore faire mieux !
Avec P4crypt (incompatible avec Windows 10)
Nous allons pousser le vice un peu plus loin en rendant notre RAT indétectable !
Téléchargez le logiciel « P4crypt » (aujourd’hui compliqué à trouver), lancez le logiciel, faites parcourir afin de sélectionner votre fichier et cliquez sur « encrypter ».
Tester le résultat du chiffrage
Nous passons de 17 détections à…
Aucune !
-
Add a note