• Votre panier est vide.

  • COMPTE

Chiffrer un RAT pour réduire sa détection

Chiffrer son RAT pour le rendre (presque) indétectable

Malheureusement (ou heureusement) de nombreux antivirus détecterons vos RAT lorsque vous tenterez des les envoyer à vos victimes. En plus de le tester sur votre propre antivirus, vous pouvez tester votre RAT à l’aide de services tels que VirusTotal. Ce type de service vous permet de tester un même fichier auprès de plusieurs antivirus différents et d’obtenir un résultat global.

Voici par exemple le résultat d’un RAT que j’ai créé et qui n’est pas du tout crypté :

Crypter un RAT pour réduire sa détection

Comme vous pouvez le voir seul 4 antivirus sur 66 ne détectent pas le virus ! Nous allons donc voir comment diminuer ce score.


Avec WinRAR

Configuration de l’archive

Nous pouvons dans un premier temps, diminuer le score avec le logiciel Winrar.

Pour cela, ajoutez votre RAT à une nouvelle archive WinRAR.

Ensuite, sélectionnez les paramètres suivants :

  • « Créer une extension SFX »,
  • « Créer une archive compacte »,
  • « Verrouiller l’archive »,
  • Vous devez également créer un mot de passe

Crypter un RAT pour réduire sa détection - WinRAR

Dans un deuxième temps, rendez-vous dans l’onglet « avancé » et cliquez sur le bouton « Options SFX ». Ajoutez alors la valeur « %appdata% » au chemin d’accès pour l’extraction.

Crypter un RAT pour réduire sa détection - WinRAR 2

Une fois fait,

  • Rendez-vous dans l’onglet « Mettre à jour » puis dans « mode de remplacement ». Cochez « remplacer tous les fichiers ».
  • Dans l’onglet « Setup » vous devez mettre dans la rubrique « Lancer après l’exécution » le nom complet votre RAT contenu dans l’archive (avec extension).
  • Dans l’onglet « Modes » cochez la case « Décompresser dans un dossier temporaire » et dans mode silencieux : « Tout masquer ».
  • Pour finir, cliquez sur l’onglet « Module » et validez le tout.

 

Création d’un BAT

Vous devez créer un fichier .bat contenant le nom de votre archive créé juste avant suivi de l’option « -p » avec le mot de passe de l’archive. Ajoutez-y par la suite l’option « -d » avec la valeur « %appdata% ».

Crypter un RAT pour réduire sa détection - BAT

Vous avez donc deux fichiers : un fichier archive et un fichier .bat :

Crypter un RAT pour réduire sa détection - Fichiers

Faire une archive des deux fichiers

À présent, re-créez une archive comprenant les deux fichiers avec cette fois-ci les mêmes options que précédemment sauf qu’il ne faut pas créer de mots de passe. Le taux de compression quant-à lui devrait être mis sur « Optimale ».

Crypter un RAT pour réduire sa détection - WinRAR 3

Rendez-vous à nouveau dans « Options SFX » puis ajoutez la même option « %appdata% ».

Crypter un RAT pour réduire sa détection - WinRAR 4

  • Cliquez alors sur l’onglet « Mettre à jour » et dans « mode de remplacement » il faut cocher « remplacer tous les fichiers ».
  • Dans l’onglet « Setup »vous devez mettre dans la rubrique « Lancer après l’exécution » le nom complet votre RAT contenu dans l’archive (avec extension).
  • Dans l’onglet « Modes » cochez la case « Décompresser dans un dossier temporaire » et dans mode silencieux : « Tout masquer ».
  • Pour finir, cliquez sur l’onglet « Module » et validez le tout.

Tester le résultat des compressions

Crypter un RAT pour réduire sa détection - VirusTotal 2

Nous avons diminué de 63 à 17 mais nous pouvons encore faire mieux !

 

Avec P4crypt (incompatible avec Windows 10)

Nous allons pousser le vice un peu plus loin en rendant notre RAT indétectable !

Téléchargez le logiciel « P4crypt » (aujourd’hui compliqué à trouver), lancez le logiciel, faites parcourir afin de sélectionner votre fichier et cliquez sur « encrypter ».

Crypter un RAT pour réduire sa détection - P4Crypt

Tester le résultat du chiffrage

Nous passons de 17 détections à…

Crypter un RAT pour réduire sa détection - VirusTotal 3

Aucune !

Pièces jointes11

TOUT VOIR Ajouter une remarque
VOUS
Ajouter votre commentaire
Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)