Dark Comet

Dark Comet is een Remote Access Tool (RAT). Deze tool maakt het mogelijk om toegang te krijgen tot een andere computer. De ontwikkelaar is de Franse Jean-Pierre Lesueur, ofwel DarkCoderSc.^[1] In 2012 staakte hij het verder ontwikkelen van de software nadat hij ontdekte dat de gebruikers zich niet aan de gebruiksvoorwaarden hielden.^[2] De meest up-to-date versie is V4.^[3]

Werking

Dark Comet werkt gelijkaardig als andere Remote Access Tools. De administrator van de tool hoort eerst een cliëntserver aan te maken. Door deze te zenden naar een cliënt zijn computer, is men in staat de RAT te laten werken. Het is mogelijk om meerdere cliënten te verbinden aan één administrator. De administrator krijgt onbeperkte toegang tot de ander zijn computer en kan zelfs aanpassingen aan diens computer aanbrengen^[4]. De software bevat zelfs de mogelijkheid om DDoS-aanvallen uit te voeren.

Installatielocatie

Bij het maken van de cliëntserver kan de administrator kiezen waar de server automatisch wordt geïnstalleerd. Dit kan op de volgende locaties:

• HDD#\
• WINDIN#\
• SYS32#\
• APP FAV#\
• START#\
• MPROG#\
• MYDOCS#\

Functies

Dark Comet heeft een ingebouwde keylogger. Dit laat toe om de ingevoerde toetsen na te gaan. De administrator kan, zonder dat de cliënt het weet, hardware activeren, zoals een webcam of microfoon. Tegelijkertijd kan de administrator meekijken op het scherm en door de bestanden bladeren van de cliënt zonder dat men daar weet van heeft.

Misbruik

Ondanks het feit dat Dark Comet een legale RAT is, wordt deze vaak misbruikt als hacking tool. Zoals eerder vermeld maakt deze tool het mogelijk om in een computer onopgemerkt rond te neuzen. Zo kan men onder andere verschillende wachtwoorden bemachtigen. Enkel een grondige scan van de uitgaande netwerkdata kan een vermoeden van de aanwezigheid van deze tool bevestigen. De misbruiker geniet op deze manier van een zekere anonimiteit, omdat deze moeilijk te vatten is.^[5]

Door het misbruik staakt de ontwikkelaar het verder updaten van Dark Comet. Hij heeft ook alle downloads verwijderd. Desondanks is het nog steeds mogelijk om op het internet links te vinden die het mogelijk maken de laatste versie van Dark Comet te downloaden.

Onvindbaar

Het vinden van een RAT is doorgaans een moeilijk proces. Dit komt doordat de servercliënt meestal gebonden zit in een ander bestand, want het verwijderen van de RAT in één van de installatielocaties voldoet niet. Zolang de originele en encrypte servercliënt nog aanwezig is op de computer kan de RAT zo weer herstart worden.

De software is gekend bij de meeste antivirussen, zoals Avast, Kaspersky... Maar toch blijft Dark Comet een moeilijk te bestrijden trojan. Dit komt omdat men niet gestopt is met encryptieprogramma's die het mogelijk maken de cliëntserver te verbergen voor de antivirus.

Referenties

Bronnen, noten en/of referenties º (en) W. Wei. Rakabulle, Advance File Binder from DarkComet RAT Developer º (nl) J. Schellevis. Developer stopt met DarkComet vanwege misbruik (2012) º (en) L. Aylward. MALWARE ANALYSIS - DARK COMET RAT (2011) º (en) J.P. Webb. The End of DarkComet RAT - Part 1: The Introduction (2012) º (nl) De smerige wereld van de webcamslaven (2013)