Hide Server Revenge-RAT From Startup Using Task Scheduler

[Ibrahim Rady]

السلام عليكم ياشباب

اليوم معنا موضوع مكرر اخفاء السيرفر من بدء التشغيل باستخدام المهام المجدوله
لقد اشتكي منه بعض الاشخاص لذلك قمت باعاده النظر الي بعض الاشياء به وسوف نستخدم برنامج Revenge-RAT
طبعا السيرفر مخفي من بدء التشغيل
+ حقنه في فولدر system32 باسم svchost.exe
+ اخذ صلاحيات الادمن دائما
+ اعاده تشغيل السيرفر بعد قتله بدقيقه

اترككم مع الفيديو :
في امان الله

 

[Ibrahim Rady]

السلام عليكم ياشباب

اليوم معنا موضوع مكرر اخفاء السيرفر من بدء التشغيل باستخدام المهام المجدوله
لقد اشتكي منه بعض الاشخاص لذلك قمت باعاده النظر الي بعض الاشياء به وسوف نستخدم برنامج Revenge-RAT
طبعا السيرفر مخفي من بدء التشغيل
+ حقنه في فولدر system32 باسم svchost.exe
+ اخذ صلاحيات الادمن دائما
+ اعاده تشغيل السيرفر بعد قتله بدقيقه

اترككم مع الفيديو :
في امان الله

انا اعطي مثال فقط يمكنكم تشفير السيرفر الخام او استخدام الباورشيل وشكراا

 

[noctss]

كيف يمكن كشف التلغيمة ؟ أو ان svchost محقون ومكان النزول ؟

 

[Ibrahim Rady]

كيف يمكن كشف التلغيمة ؟ أو ان svchost محقون ومكان النزول ؟

يمكنك حذفها من المهام الجدوله عن طريق هذا الامر :
SCHTASKS /DELETE /TN Update

ثم الذهاب الي مسار system32
وابحث عن الملفات الي تم اضفتها مؤخرا سوف تجد svchost احذفه
وشكرا

 

[亗المملكه亗]

يعطيك الف عافيه​

 

[Ibrahim Rady]

يعطيك الف عافيه​

الله يكرمك اخي

 

[NYAN CAT]

شرح فيديو ممتاز شكراً لك عندي بعض الملاحظات

1- أنت لم تحقن بل نسخت إلى system32.

2- تستطيع التخلي عن المكتبة التي تسبب زيادة في الحجم واستبدالها بسطر واحد. مثال:

https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/AsyncRAT-C%23/Client/Install/NormalStartup.cs#L37

 

[Ibrahim Rady]

شرح فيديو ممتاز شكراً لك عندي بعض الملاحظات

1- أنت لم تحقن بل نسخت إلى system32.

2- تستطيع التخلي عن المكتبة التي تسبب زيادة في الحجم واستبدالها بسطر واحد. مثال:

https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/AsyncRAT-C%23/Client/Install/NormalStartup.cs#L37

السلام عليكم اخي الغالي

اولا انا لم اقل حقن في عمليه svchost لقد قلت _ + حقنه في فولدر system32 باسم svchost.exe
ثانيا انا لا افهم سي شارب لكن حاولت فهم الكود رايته يقوم بهذا الامر

كما تري ياخي هي ظاهره في قائمه المهام المجدوله

لكن انا استعملت المكتبه بحيث يمكن التحكم الكامل في المهام المجدوله
ولقد استعملت الاخفاء من المهام المجدوله
tDefinition.Settings.Hidden = True ' Hidden

لم اجد هذا الخيار في schtasks لذلك استعمل مكتبه Microsoft.Win32.TaskScheduler.dll

وشكرا اخي الغالي

 

[noctss]

شرح فيديو ممتاز شكراً لك عندي بعض الملاحظات

1- أنت لم تحقن بل نسخت إلى system32.

2- تستطيع التخلي عن المكتبة التي تسبب زيادة في الحجم واستبدالها بسطر واحد. مثال:

https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/AsyncRAT-C%23/Client/Install/NormalStartup.cs#L37

أخ نيان .. كيف يمكن التعديل على رفنجرات لحذف خصائص و الابقاء على بعض الخصائص فقط .. هل عندك شرح ؟ و بالنسبة للستب المعدل والذي يتخطى الحمايات أين أجده ؟ لأنه عندي بعض السورسات المعدلة لكنها قديمة

 

[NYAN CAT]

السلام عليكم اخي الغالي

اولا انا لم اقل حقن في عمليه svchost لقد قلت _ + حقنه في فولدر system32 باسم svchost.exe
ثانيا انا لا افهم سي شارب لكن حاولت فهم الكود رايته يقوم بهذا الامر
مشاهدة المرفق 1052


كما تري ياخي هي ظاهره في قائمه المهام المجدوله

لكن انا استعملت المكتبه بحيث يمكن التحكم الكامل في المهام المجدوله
ولقد استعملت الاخفاء من المهام المجدوله
tDefinition.Settings.Hidden = True ' Hidden

مشاهدة المرفق 1053

لم اجد هذا الخيار في schtasks لذلك استعمل مكتبه Microsoft.Win32.TaskScheduler.dll

وشكرا اخي الغالي

لقد نسخت الملف إلى مجلد system32 بإسم svchost .. إنها عملية نسخ وليست حقن.

صحيح ، الـ command line للمهام المجدولة ليس بالكامل ولكن الفكرة كانت الاستغناء عن مكتبة بـ سطر واحد.

بالتوفيق.

 

[NYAN CAT]

أخ نيان .. كيف يمكن التعديل على رفنجرات لحذف خصائص و الابقاء على بعض الخصائص فقط .. هل عندك شرح ؟ و بالنسبة للستب المعدل والذي يتخطى الحمايات أين أجده ؟ لأنه عندي بعض السورسات المعدلة لكنها قديمة

رفنجرات أصبح مكشوف واتصاله غير مشفر. لا أعلم لماذا تريد استخدامه في عام 2020 ولكن ممكن أن تبحث في قناتي اليوتيوب عن نسخة مصححه. ولكن أنصحك بـ AsyncRAT ورابط التحميل موجود في Githib.

 

[David]

بارك الله فيك أخي شكرا لك على المشاركة

 

[David]

رفنجرات أصبح مكشوف واتصاله غير مشفر. لا أعلم لماذا تريد استخدامه في عام 2020 ولكن ممكن أن تبحث في قناتي اليوتيوب عن نسخة مصححه. ولكن أنصحك بـ AsyncRAT ورابط التحميل موجود في Githib.

AsyncRAT صعب في التشفير مكشوف من حماية Windows 10 Build 2004 AMSI

 

[NYAN CAT]

AsyncRAT صعب في التشفير مكشوف من حماية Windows 10 Build 2004 AMSI

لا دخل بالرات في موضوع تخطي الديفيندر. الموضوع فقط قوة التشفيرة وخبرة المشفر.

لقد تخطيت ويندوز 2004 آخر تحديث بتشفيره كلاينت AsyncRAT + التثبيت بدون مشاكل.

 

[David]

لا دخل بالرات في موضوع تخطي الديفيندر. الموضوع فقط قوة التشفيرة وخبرة المشفر.

لقد تخطيت ويندوز 2004 آخر تحديث بتشفيره كلاينت AsyncRAT + التثبيت بدون مشاكل.

شكرا على المرور أخي نيان هناك البور شيل هو الوحيد الدي إستطعت التخطي به أما التشفير بالخوارزميات والتمويه إلى أخره....حتى وإن كان كلين 100% يكتشفه عند الهجوم
لكن كل واحد وخبرته في التشفير كما قلت...

 

[Ibrahim Rady]

لقد نسخت الملف إلى مجلد system32 بإسم svchost .. إنها عملية نسخ وليست حقن.

صحيح ، الـ command line للمهام المجدولة ليس بالكامل ولكن الفكرة كانت الاستغناء عن مكتبة بـ سطر واحد.

بالتوفيق.

يا اخي انتا تقارن مكتبه ب كود
ما الفكره في كود واحد ام اتنين
المهم الفكره تكون قويه لانك لو بتخترق شخص محترف سوف يكشفها بكل بساطه

 

[noctss]

رفنجرات أصبح مكشوف واتصاله غير مشفر. لا أعلم لماذا تريد استخدامه في عام 2020 ولكن ممكن أن تبحث في قناتي اليوتيوب عن نسخة مصححه. ولكن أنصحك بـ AsyncRAT ورابط التحميل موجود في Githib.

شكرا لك ... سأقوم بالتجربة

 

[fafanana]

يا اخي انتا تقارن مكتبه ب كود
ما الفكره في كود واحد ام اتنين
المهم الفكره تكون قويه لانك لو بتخترق شخص محترف سوف يكشفها بكل بساطه

شكرًا لك على كل مجهوداتك الرائعة
أخي إبراهيم هل الطريقة ناجعة مع سيرفر نجرات

 

[Ibrahim Rady]

بارك الله فيك أخي شكرا لك على المشاركة

الله يخليك يغالي

 

[Ibrahim Rady]

شكرًا لك على كل مجهوداتك الرائعة
أخي إبراهيم هل الطريقة ناجعة مع سيرفر نجرات

العفوا يغالي لا انصحك بنجرات اخي استعمل ريفنج افضل