Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties, 25.125 views •
Submitter: Biersteker

De ontwikkelaar van de remote-access-tool DarkComet heeft de ontwikkeling gestaakt en downloads verwijderd. De tool werd vaak gebruikt als spyware; de Franse ontwikkelaar vreest daarvoor verantwoordelijk te worden gehouden.

Wie naar de downloadpagina van DarkComet gaat, krijgt in plaats van downloads een melding te zien waarop de ontwikkelaar uitlegt met de remote-access-tool gestopt te zijn. Volgens hem hebben gebruikers van de software zich niet aan de gebruiksvoorwaarden gehouden en is hij gestopt vanwege het vele misbruik dat van de software wordt gemaakt. Hij vreest daarvoor verantwoordelijk te worden gehouden. De software zou onder meer in Syrië zijn ingezet om dissidenten in de gaten te houden.

Op het eerste gezicht is DarkComet een legitieme tool waarmee computers op afstand kunnen worden beheerd, maar de software bevatte de nodige features die interessant zijn voor kwaadwillenden. Zo kunnen items uit het clipboard worden gestolen en kunnen beveiligingsupdates worden gedeïnstalleerd.

Ook is het mogelijk om een executable te genereren die de software ongemerkt installeert, waarna verbinding wordt gelegd met een server van de aanvaller. Daarbij kan ook het icoon van de software naar wens worden aangepast, zodat de software zich bijvoorbeeld kan voordoen als legitiem, en kan een optie worden ingeschakeld waarbij de software zich na de-installatie automatisch weer installeert.

De software bevat zelfs de mogelijkheid om ddos-aanvallen uit te voeren en wordt dan ook door veel virusscanners herkend als malware. De ontwikkelaar heeft echter altijd volgehouden geen kwade bedoelingen te hebben. Behalve de ontwikkeling van DarkComet staakt hij ook die van een aantal andere dubieuze tools, waaronder een tool die ongemerkt bestanden naar een computer kan downloaden.

DarkComet

Afbeelding: MalwareBytes

Reacties (55)

Reactiefilter:-155052+130+23+30
Moderatie-faq Wijzig weergave
Hier wat meer info over het misbruik in Syrie:
http://blog.trendmicro.co...tacks-in-syrian-conflict/

Hier ook een reactie van Jean-Pierre hierover:
http://www.darkcomet-rat.com/dcremover.dc

Ik snap eigenlijk wel dat hij de handdoek in de ring gooit, dat een paar script kiddies ermee gaan klooien, kan je verwachten. Maar dat een hele overheid jou werk gebruikt om zijn eigen burgers te monitoren, is toch een hele andere vorm van misbruik, en zou ik ook niets mee te maken willen hebben als developer.

[Reactie gewijzigd door Biersteker op 2 juli 2012 12:09]

Los van verantwoordelijkheid van de auteur/gebruikers;

"I think that technologies are morally neutral until we apply them. It's only when we use them for good or for evil that they become good or evil" - William Gibson

[Reactie gewijzigd door telleropnul op 3 juli 2012 01:02]

De maker van DarkComet stopte eigenlijk omdat een andere RAT-maker werd gearresteerd door de FBI (namelijk die van BlackShades, die puur werd gemaakt met de intentie tot Blackhat activiteiten). De maker van BlackShades werd echter ook gepakt niet alleen wegens computervredebreuk en de distrubutie van malware, maar ook vanwege credit card fraude. (zie document van de FBI http://www.justice.gov/us...p/hoguemichaelcomplaw.pdf)

Tevens heeft Jean-Pierre/DarkCoderSc, de maker van DarkComet aangekondigd niet te stoppen met zijn programmeer kunsten, maar verder te gaan door software te ontwikkelen die alleen legaal kan worden gebruikt. Zo is hij bezig met het maken van een variant op TeamViewer, geen freeware helaas.

Meestal verkloot een kleine groep het voor de meerderheid, in dit geval is het anders; de meeste gebruikers gingen tegen de TOS in van de maker, waardoor de kleine groep legaal-gebruikers nu geen updates meer kunnen ontvangen.

Let wel op dat dit alleen geldt voor de ontwikkeling van de software die Jean-Pierre stoptzette, de software zelf is nog overal te downloaden, natuurlijk gebackdoored.
Volgens de TOS van op de website van DarkComet was de software niet gemaakt met illegale doeleinden. Net alsof je een pistool koopt en moet beloven niemand neer te schieten, er zijn altijd mensen die dat dan weer wel doen.

Op de TOS van BlackShades stonden dezelfde voorwaarden als DarkComet, maar de eigenaar van BlackShades erkende te weten van het misbruik en dit zelfs te ondersteunen, wat dus tegenspreekt met zijn eigen TOS. In een gesprek met een undercover FBI agent had de maker van BlackShades toegegeven zijn eigen software te hebben gebruikt voor Blackhat activiteiten. Hij verklaarde zo'n 50-100 ge´nfecteerde computers te hebben en liet ze vervolgens zien aan de undercover FBI agent, hij deelde zelfs 2 ge´nfecteerde computers om de functies ter voorbeeld uit te leggen.

Zolang de maker van DarkComet zegt dat hij de TOS naleeft en dus niet de Blackhat praktijken ondersteunt, en dit zonder bewijs dat hij wel Blackhat activiteiten ondersteunt, dan hoeft hij geen arrestatie te vrezen.
TOS betekent geen ene flikker. Het is ook in de verste verte geen bescherming tegen arrestatie. Zeggen dat een zwaard eigenlijk een fruitmesje is wordt het niet opeens legaal van om ermee in de stad rond te lopen.

De features van het product geven 100% zonder enige vorm van twijfel aan dat dit een blackhat tool is waar een whitehat met geen 10-voet-paal aankomt. Het *feit* dat hij blackhat features erin stopt en ondersteunt zegt veel meer dan dat hij *zegt* dat niet te doen.
Kan men ook zeggen van Nmap, Wireshark etc. maar het zijn zeer goede netwerk pentesting tools zowel voor Whitehat als Blackhat doeleinden.
Volgens de TOS van op de website van DarkComet was de software niet gemaakt met illegale doeleinden.
En volgens Game Copy World zijn de cracks en nocd patches die je daar kunt downloaden ook alleen maar voor educatie en niet om games te warezen, dus dat zal dan ook wel he?

[Reactie gewijzigd door .oisyn op 2 juli 2012 17:22]

Inderdaad, anders zou de website toch gesloten worden i.v.m. het verstrekken van game-data wat tot auteursrechten leidt? Want ze hosten wel alles in hun servers met een paar mirrors.
Als je een tool maakt met zulke functies kun je verwachten dat er misbruik van zal worden gemaakt.
kan me weinig legitieme redenen bedenken waarom je dit allemaal nodig zou hebben.
Hij stopt dus waarschijnlijk gewoon omdat het hem te heet onder de voeten wordt en niet omdat hij het zo jammer vindt dat mensen er misbruik van maken.
Als ik een dikke pick-up koop kan ik er veel mee vervoeren, ik kan het ook gebruiken om een snelkraak te zetten.

Het is inderdaad makkelijk om een programma te misbruiken, sommige mensen gebruiken het gewoon voor beheer doeleinden. Stel er is een update geweest waardoor alle cliŰnts problemen krijgen. Best handig om dan overal de update te de-installeren.

Lijkt mij niet dat hij deze software geschreven heeft om misbruik van te maken, juist voor test en beheer doeleinden. Netjes dat hij alles terug trekt vind ik aangezien er misbruik van gemaakt wordt.
Het lastige van het trekken van parallellen is dat ze vaak mank gaan...

Software die wordt gebruikt voor legitieme doeleinden zou zich niet 'under cover' hoeven te installeren.

De featureset van deze applicatie is zo specifiek gericht op de hackers scene dat het - om bij jouw vergelijking te blijven - niet langer een dikke pick-up is, maar meer een vlammenwerper of volautomatisch vuurwapen. Daar zijn ook allemaal goede dingen mee te doen (onkruid verwijderen bijvoorbeeld ;) ), maar misbruik ligt eigenlijk meer voor de hand...

Ben benieuwd hoe snel de 'community' het developen van DarkComet overneemt...
Hij installeert zich toch ook niet undercover? Hij kan andere software undercover installeren, dat lijkt me bij beheer op afstand net handig zodat de gebruiker in kwestie niet meer moet bevestigen of eender wat. En het icoontje veranderen kan je ook bij elk programma. Dat het zich opnieuw installeert na de´nstallatie kan ook goed zijn bij beheer op afstand zodat een onwetende gebruiker het niet (al dan niet per ongeluk) kan verwijderen. Bij de DDOS functie heb ik wel zo mijn vragen. Het genereren van een executable die met een server verbinding maakt ook. De kans dat het inderdaad voor minder legitieme doelen gebruikt zou worden was inderdaad wel groot.

Edit: ik had dus over de "de" gelezen in de zin "Ook is het mogelijk om een executable te genereren die de software ongemerkt installeert". Excuses.
Verder blijf ik wel bij mijn punt dat het een handige tool kan zijn, ondanks enkele dubieuze functies.

[Reactie gewijzigd door MClaeys op 2 juli 2012 19:05]

Hij installeert zich toch ook niet undercover?
Jawel:

"Ook is het mogelijk om een executable te genereren die de software ongemerkt installeert"

[Reactie gewijzigd door BadRespawn op 2 juli 2012 18:51]

Als ik een dikke pick-up koop kan ik er veel mee vervoeren, ik kan het ook gebruiken om een snelkraak te zetten.
Sorry hoor, maar als je software maakt die onderstaande ondersteunt, dan ga je toch echt twijfelen aan de beweegredenen van de maker:
Ook is het mogelijk om een executable te genereren die de software ongemerkt installeert, waarna verbinding wordt gelegd met een server van de aanvaller. Daarbij kan ook het icoon van de software naar wens worden aangepast, zodat de software zich bijvoorbeeld kan voordoen als legitiem, en kan een optie worden ingeschakeld waarbij de software zich na de-installatie automatisch weer installeert.

De software bevat zelfs de mogelijkheid om ddos-aanvallen uit te voeren

[Reactie gewijzigd door .oisyn op 2 juli 2012 11:14]

Als ik een dikke pick-up koop kan ik er veel mee vervoeren, ik kan het ook gebruiken om een snelkraak te zetten.

Het is inderdaad makkelijk om een programma te misbruiken, sommige mensen gebruiken het gewoon voor beheer doeleinden. Stel er is een update geweest waardoor alle cliŰnts problemen krijgen. Best handig om dan overal de update te de-installeren.

Lijkt mij niet dat hij deze software geschreven heeft om misbruik van te maken, juist voor test en beheer doeleinden. Netjes dat hij alles terug trekt vind ik aangezien er misbruik van gemaakt wordt.
Ja, maar als jij pick-ups verkoopt standaard met stormram voorop, spijkermat bestendige banden, gepantserde ramen en deuren, radarreflectie en een smokescreen generator aan de uitlaat moet je niet raar op kijken als mensen er bovengemiddeld veel snelkraken mee maken...

m.a.w dat er een legale reden is, maakt 't niet minder abusable.

[Reactie gewijzigd door Rey Nemaattori op 2 juli 2012 11:17]

De Audi rs6 is de meest favoriete auto voor criminelen.. Ik moet de eerste gepantserde pickup nog een winkel in zien rijden.
Is dat niet de Golf R32 meer dan? Of zijn die Audi's gewoon makkelijker te vinden/jatten?
offtopic:
Misschien populairder bij de kleine criminelen. :+
stel dat je ontwikkelaar bent, of je beheert veel servers voor planten, en je ontewikkelt daar een tool voor die je veel werk uit handen neemt, zoals hierboven omschreven, en je maakt dat zo dat je geen last hebt van NAT, iritante firewalls, dingen kunnen worden gedownload na bijvoorbeeld een herstart, en om er voor te zorgen dat een overijverige sysadmin je remoteaccestool van de serv gooit, zorg je ervoor dat ie dan opnieuw wordt geinstalleeert. en heb je de ervaring dta sommige updates meer goed dan kwaad doen, dan wil je die wel eens kunnen verwijderen, van afstand. lijkt me dus niet raar. maar inderdaad, het bevat dan wel veel zaken die minder goed bedoelende mensen ook interresant vinden.

als je dan beweert dat het hem te heet wordt onder de voeten vind ik erg ver gaan, een soort van witte black hat ? die gratis zijn legitieme tool ontwikkelt zodat anderen er mee kunnen hacken? beetje ver gezocht als je het mij vraagt.
"en om er voor te zorgen dat een overijverige sysadmin je remoteaccestool van de serv gooit, zorg je ervoor dat ie dan opnieuw wordt geinstalleeert. "

Dit en hiding van de tool zijn honderd procent fout. Ook al is het nog zo onhandig als de klant je setup verneukt.
Jammer dat dit soort tools altijd misbruikt worden, want het klink als een leuke tool voor sysadmins.
Helaas haalt het offline halen van de tool waarschijnlijk weinig uit, aangezien de spyware-makers het al in bezit hebben en dus gewoon lekker door kunnen gaan.

Ik begrijp de gedachte wel van de maker overigens, maar het zou toch vreemd zijn als iemand wordt aangepakt voor het misbruik van anderen. Maar ja, aan de andere kant is dat tegenwoordig ook niet bijzonder meer.
Als je deze tool installeert op systemen ben je fout bezig als sysadmin. Jij mag werknemers helemaal niet bespioneren. Keyloggers die braaf alles loggen zijn sowieso uit den boze. Als je alleen al de screenshot bekijkt... webcam capture? passwords bekijken? Is met geen mogelijkheid vol te houden dat deze tool legitiem is.
Van wie mag dat niet? Er is een klein aantal landen waar de Nederlandse wet niet geldig is.
Dat mag eigenlijk nergens.
Klopt, de overheid wil graag haar monopolie positie behouden.
Jammer dat dit soort tools altijd misbruikt worden, want het klink als een leuke tool voor sysadmins.
Op zich wel, maar van een aantal features vraag ook ik me af waarom die erin zitten. Items uit het clipboard "stelen" kan ik wel begrijpen, en beveiligingsupdates deinstalleren kunnen wel handig zijn voor sysadmins. Maar de andere features?
Ook is het mogelijk om een executable te genereren die de software ongemerkt installeert, waarna verbinding wordt gelegd met een server van de aanvaller.
Een sysadmin kan dit ook wel installeren op gebruikelijkere manieren.
Daarbij kan ook het icoon van de software naar wens worden aangepast, zodat de software zich bijvoorbeeld kan voordoen als legitiem
Dit zou niet nodig zijn als het programma legitiem is geinstalleerd door een sysadmin. Het automatisch installeren kan dan wel handig zijn als gebruikers de mogelijkheid hebben om programma's te deinstalleren (wat al niet mogelijk zou moeten zijn, maar ok).
De software bevat zelfs de mogelijkheid om ddos-aanvallen uit te voeren
En waarom zou een sysadmin dit nodig hebben??

Nee, deze software zou ik zelf ook niet op mijn PC willen hebben.
Ik denk dat er weinig sysadmins zijn die dit soort dubieuze software voor iets serieus zouden willen gebruiken.

Vind het maar een lauwe smoes, met functies als het meekijken met een cam, wachtwoorden opvragen e.d. kan ik me geen enkele legitieme reden bedenken om dit soort software te maken.
Het is wel een beetje raar om het te laten lijken dat je clipboard contents kan 'stelen' als er gewoon RAT eigenschappen als deze ook in VNC, RDP, TeamViewer enz. zitten, net als de 'optie om security updates te deinstalleren', je kan ALLE software deinstalleren, dat je dan ook security updates kan deinstalleren is toch niet zo gek?

Natuurlijk is het niet vreemd dat je het als hacktool kan gebruiken en het is ook niet erg waarschijnlijk dat de software met de beste bedoelingen gemaakt en gebruikt is, maar alleen maar door te stellen dat een paar RAT eigen schappen misbruikt kunnen worden is een beetje slap.

Het is net alsof je stelt dat AD beheerders of misschien slechts de GPO beheerders (als dat een aparte groep zou zijn) de mogelijkheid heeft je instelleren op afstand aan te passen en dat het daarom dus een hacktool is.

Alleen om dat AD niet echt pratktisch is als hacking systeem betekent het nog niet dat het niet kan. Wat nou als je iemand's PC op een domein gaat aanmelden en alle lokale accounts dicht zet, en alleen een via internet beschikbaar domein als bruikbaar systeem gaat aanbieden? Dan kan je toch ook en masse PC's op afstand laten doen wat je wil, inclusief sofware installeren, deinstalleren, icoontjes aanpassen...

[Reactie gewijzigd door johnkeates op 2 juli 2012 10:50]

Het is wel een beetje raar om het te laten lijken dat je clipboard contents kan 'stelen' als er gewoon RAT eigenschappen als deze ook in VNC, RDP, TeamViewer enz. zitten, net als de 'optie om security updates te deinstalleren', je kan ALLE software deinstalleren, dat je dan ook security updates kan deinstalleren is toch niet zo gek?

Natuurlijk is het niet vreemd dat je het als hacktool kan gebruiken en het is ook niet erg waarschijnlijk dat de software met de beste bedoelingen gemaakt en gebruikt is, maar alleen maar door te stellen dat een paar RAT eigen schappen misbruikt kunnen worden is een beetje slap.
Kun je VNC, RDP, TeamViewer enz. ook installeren en iemands machine overnemen zonder dat iemand dat doorheeft dan?
Dßt je security updates dan de-installen is miss niet zo gek, maar het feit dat dat kan gebeuren zonder dat de user er van bewust is dßt maakt de combinatie toch trickier...
Het is net alsof je stelt dat AD beheerders of misschien slechts de GPO beheerders (als dat een aparte groep zou zijn) de mogelijkheid heeft je instelleren op afstand aan te passen en dat het daarom dus een hacktool is.

Alleen om dat AD niet echt pratktisch is als hacking systeem betekent het nog niet dat het niet kan. Wat nou als je iemand's PC op een domein gaat aanmelden en alle lokale accounts dicht zet, en alleen een via internet beschikbaar domein als bruikbaar systeem gaat aanbieden? Dan kan je toch ook en masse PC's op afstand laten doen wat je wil, inclusief sofware installeren, deinstalleren, icoontjes aanpassen...
Teveel 'als'?
'als' je het AD zo inricht, 'als' je alles open zet, 'als' je everyone full control geeft...dan kun je het als hacktool gebruiken
Maar dat doen ze niet, deze fransman echter wel, dat maakt zijn intenties m.i. toch wel minder zuiver...
wel als ze mee kunnen kijken met je webcam, ongezien kunnen herinstalleren en deinstallie kunnen tegengaan, en ik zie ook in de GPO geen keylogger.

een kip loopt op 2 poten, maar dat wil nog niet zeggen dat het een mens is, true, maar dat wil nog niet zeggen dat mensen daarom niet op 2 poten (benen) kunnen lopen.

omdat het ook wat dingen dan die al door gpo's worden gedaan maakt het nog geen tool die voornamelijk legitiem gebruik faciliteert.

if looks like a chicken and tastes like a chicken, its probably not a cow
Aparte features voor een programma waarvan je wilt dat het niet misbruikt wordt...
Aparte features voor een programma waarvan je wilt dat het niet misbruikt wordt...
ik kan prima legitieme doeleinden verzinnen, zoals het security testen van je eigen netwerken en omgevingen waar je verantwoordelijk voor bent.
Features als hidden installer, phone home, icon changer en herinstallatie na de-installatie zijn niet features die je nodig hebt bij security testen :X Ook de keylogger functie is discutabel als het om pen. testing van je eigen netwerk gaat
[...]


ik kan prima legitieme doeleinden verzinnen, zoals het security testen van je eigen netwerken en omgevingen waar je verantwoordelijk voor bent.
Ik kan ook genoeg legitieme doeleinden bedenken voro een vuurwapen, maar dat betekent niet dat het midnerwaarschijnlijk wordt dat criminelen er ˇˇk mee aan de haal gaan...
Logisch dat deze tool gebruikt werd om misbruik van te maken, en daardoor extra dapper van de developer dat hij deze offline gooit omdat mensen zich niet aan zijn intenties hielden. Heb net inderdaad ook even op de site gekeken (wel even verder naar beneden scrollen voor Engels). Zal wel geen makkelijk besluit zijn geweest als hij er zoveel uren in heeft zitten!
Logisch dat deze tool gebruikt werd om misbruik van te maken, en daardoor extra dapper van de developer dat hij deze offline gooit omdat mensen zich niet aan zijn intenties hielden. Heb net inderdaad ook even op de site gekeken (wel even verder naar beneden scrollen voor Engels). Zal wel geen makkelijk besluit zijn geweest als hij er zoveel uren in heeft zitten!
Alleen jammer dat het mosterd na de maaltijd is...die tool staat al op het net en zal daar tot het eind blijven...
...en waardoor men uiteindelijk steeds betere "bescherming" kan maken...helemaal als hij het dus niet meer verder ontwikkeld... als niemand zijn stokje overneemt is het over een tijdje dus een nutteloze tool geworden.
Zie je FN Herstal de boeken al dichtdoen omdat hun wapens gebruikt worden om mensenrechten te schenden? Of Porsche die stopt met auto's maken omdat er met hun wagens te snel gereden wordt op de openbare wegen? Dat zijn toch ook niet de intenties die FN/Porsche voor ogen hadden.

Daarbij heeft een leverancier/producent zich imho niet druk te maken over wat de eindgebruiker met zijn product doet.

[Reactie gewijzigd door Tokkes op 2 juli 2012 10:52]

Tja, vreemd hŔ. Je maakt zo'n super hackers/crackers tool en dan ga je je verbazen over het feit dat black hats er misbruik van gaan maken....

Voor legitieme remote assistance zijn er vele tools die voor de eindgebruiker ook stukken transparanter zijn dus als hij het echt voor dit doeleinde had geschreven, had hij op zijn minst diverse twijfelachtige feautres weg moeten laten. Maar dan nog was het bestaansrecht minimaal geweest.
De intenties van het stukje software lijkt me alleen al met de naam "DarkComet" duidelijk. Alle features idem, de schrijver van de software is waarschijnlijk bang geworden dat hij door strikte regimes te pakken genomen zal gaan worden.
ja lol wat een zever xd

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True