Rakabulle : Un nouveau binder de fichiers développé par DarkCoderSc

5
190

Rakabulle en un mot est un binder de fichier avec une fonctionnalité supplémentaire qui permet de transformer le programme en quelque chose de beaucoup plus complexe. Il a été développé par le codeur bien connu DarkCoderSc, actuellement à la tête de PhrozenSoft et créateur de DarkComet RAT Legacy.

Le principe d’un File Binder

Rappelons qu’un binder est un petit outil qui permet d’assembler plusieurs fichiers au sein d’une seule application. Lorsque cette application est exécutée sur un système Microsoft Windows, celle-ci va extraire les fichiers cibles choisis lors de la création dans un répertoire temporaire et les exécuter. Winrar pour ne citer que celui-là, propose ce genre de fonctionnalité couramment nommé SFX pour Self Extraction Package. La seule différence avec ce produit est que le processus est totalement transparent (rien de visible à l’écran).

Pourquoi classer un binder dans la catégorie de logiciel de sécurité ?

Grand nombres de pirates informatiques ou de script kiddies utilisent ce genre d’outils pour dissimuler des malwares dans des applications légitimes. C’est l’occasion parfaite d’étudier ce genre de comportement.

D’un point de vue pratique (et légal), il est tout à fait possible de l’utiliser pour lancer plusieurs installations en même temps.

Comment fonctionne Rakabulle

Le Builder va se charger de configurer et générer un Stub pour y injecter les fichiers cibles. Le Stub est une petite application que l’on peut aussi appeler le lanceur, spécialement dédié à l’extraction et à l’exécution des fichiers cibles (précédemment configurés via le Builder). De plus, le Stub permet aussi d’injecter les plugins dans le processus hôte Explorer ou Internet Explorer pour y exécuter du code.

Les plugins sont de petites applications annexes qui vont justement permettre d’exécuter du code dans le processus hôte cible.
En gros, en utilisant le Builder vous sélectionnez les fichiers que vous voulez rassembler en une application ainsi que les différents plugins que vous voulez utiliser. Notez que la fonction Binder/Dropper (les fonctions d’extraction ne sont exécutées qu’une seule fois, et non pas au redémarrage de Windows (si vous avez choisi l’option). Cependant les plugins de Rakabulle utilisant la fonction Remote Code Execution – REM seront exécutés à chaque fois à partir du processus hôte cible Internet Explorer ou Explorer.

Une fonctionnalité pour inscrire le logiciel au démarrage de Windows est aussi disponible si besoin.

Fonctionnalités

  • Auto extraction et exécution.
  • REM (Remote Code Execution), exécute du code (Plugins) dans un processus hôte (Explorer ou Internet Explorer)
  • Supporte les systèmes 32 et 64bit.
  • L’application est compilée en mode 32bit (bientôt nous proposerons aussi une compilation 64bit)
  • Supporte le compresseur d’application UPX (sans compression le stub pèse environ 38 KiB, avec compression environ 16KiB) Notez que la compression UPX ne change en rien le mode et la qualité de fonctionnement du logiciel Rakabulle
  • Supporte le démarrage avec Windows.
  • Ne nécessite pas les droits administrateurs.
  • La liste d’insertion des plugins et fichiers supporte le Drag n Drop (Glisser et déposer)
  • Supporte l’utilisation de plugins avec un plugin de base open source.
  • Le stub et le builder sont compilés en utilisant les normes d’encodage unicode. 

Plusieurs choses restent à faire et vont être proposées d’ici peu. En attendant, si le projet vous intéresse, vous pouvez aller sur le site officiel ou encore le télécharger directement depuis Mega.

5 Commentaires

  1. Salut tous et toutes,je vous conseillerais de faire un scan online de
    Rakabulle officielle téléchargeable sur le site officiel nommé plus
    haut via MEGA.
    Pas de faux positifs,mais de réelles menaces,16% via Virscan.org et
    30/50 via Virustotal.
    Trojan,Backdoor,malware,,,, sont la recette gagnante de Rakabulle Binder,Merci à l’éditeur Codeur-Scripteur…

Les commentaires sont fermés.