揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?

2024-05-02 862 0

概述

QuasarRAT(CinaRAT、Yggdrasil)是一种功能齐全的开源远控工具,具有收集系统信息、下载并执行应用程序、记录击键、抓取屏幕截图等功能。在过去的一年中,新华三聆风实验室监测到该工具被一些黑客组织频频利用,用来实现恶意后门等目的。

新华三聆风实验室已实现对QuasarRAT及其同源、关联家族的主动狩猎和威胁情报生产,全线安全产品均已搭载最新情报特征库,具备全面威胁覆盖能力,让企业主动安全防御更有效。

家族画像

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图

QuasarRAT前世今生

QuasarRAT是一种由C#编程语言编写的专门针对Windows平台的远控木马,最初作为一款普通的远程管理开源工具“xRAT”,由作者MaxXor在2014年上传至Github。作者在2015年将其更名为Quasar,之后一直处于维护和更新状态。目前,QuasarRAT已更新至v1.4.1版本,显示有2.3k次forks,其仓储已被设置为只读模式。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图1

由于这款工具可以根据特定要求进行修改,一经发布就引起了网络黑客的关注,并利用它来获取受感染计算机的远程控制权,达到监控用户、窃取数据以及执行其他恶意软件的目的。总结QuasarRAT的主要特点有:

  • 远控功能强大

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图2

  • 利用门槛低

QuasarRAT作为一款开源工具,并可以根据需要进行定制和修改。同时,Quasar使用经典CS架构,一个用户可以远程访问多个客户端,并且界面友好,操作流程简单,对于入门级黑客而言,学习曲线并不复杂。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图3

  • 兼容Windows系统版本

QuasarRAT是一款基于.Net框架的工具,能够兼容Windows操作系统的多个版本,包括Windows 7、8、10等,覆盖了当前主流的用户群体。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图4

另外,同类型的开源远程管理工具有很多,如界面更加友好的Spark,功能更加强大的Stitch,发布时间更早的Gh0st,为什么QuasarRAT备受黑客青睐?其实答案很简单——

在界面友好的远控里,QuasarRAT功能是最强大的!

在功能强大的远控里,QuasarRAT发布时间是最早的!

在发布最早的远控里,QuasarRAT是处于维护中,持续更新的!

 

因此,QuasarRAT在同类远控工具中极具竞争力,一经发布就吸引了众多黑客的关注和利用。

被篡改利用一览

从QuasarRAT发布至今,几乎是被恶意团伙篡改利用的一生,尤其在DLL侧加载攻击上更为明显,下图列举了QuasarRAT各时间段较为典型的利用方式。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图5

QuasarRAT首次被利用可追溯到2017年,此阶段攻击者通过简单的.Net打包和混淆技术实现防御规避。自2018年被首次通过“DLL侧加载”利用后,便引起其它攻击者纷纷效仿,2023年,攻击者更是创造了全新的“双重侧加载DLL”技术来规避检测,这种技术比传统的DLL侧加载多一个执行阶段,相当于以多一层的“套娃”方式来延长攻击链,使最终恶意载荷执行更隐蔽,安全程序也更难检测。

传播方式一览

QuasarRAT的“走红”得益于其传播、分发方式的多样化,尤其以带有诱饵文件的钓鱼方式最为频繁。下图整理了QuasarRAT在各时期的典型传播方式。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图6

除了典型的网络钓鱼,通过未修复的漏洞,捆绑破解软件,以及僵尸网络传播感染也时有发生。这种对QuasarRAT“广撒网”式的传播利用,其攻击面能够在短时间内迅速蔓延,收割大批中招用户。

同源家族关系一览

下图列举了QuasarRAT与其他相关借鉴了源码的家族关系。作为一款发布较早的开源远控工具,QuasarRAT自身不仅被多次“改名换姓”用于不同的攻击活动中,也被其他远控家族纷纷借鉴利用,原因是QuasarRAT提供了.Net环境下可参照的代码基础。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图7

静态分析

具体样本分析过程,详见阅读全文。

持久化

QuasarRAT根据客户端是否获得管理员权限,分别使用schtasks计划任务/添加注册表项到自动运行两种方式进行持久化。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图8

发现

QuasarRAT收集受害主机相关信息,包括IP地址,主机名,系统CPU,是否存在防火墙,浏览器密码转储模块等信息。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图9

权限提升

检查当前账号是否为管理员权限,如果不是则尝试以管理员权限重新启动程序。

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图10

配置信息解密

QuasarRAT的C2配置是经过AES加密后,再通过base64编码混淆存储;

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图11

ATT&CK

揭秘QuasarRAT:一款开源工具,如何一步步成为黑客利器?插图12

IOC

1e4c7c35a5a1fe7ec324afbab4ec16318839a87f3512b2151487dda3854d40e2
19a57e2e5ecddfa1ff08e614a9d9c543640d1351c126ab86d1b0d21639067d82
8d9f0e8c11ca559039ec1da2b563442eda513db6674071b6f141bef8b10f8367
14605e930c723cdfa8455300f96feeabf182adba6e46cc06767d948154910c96
b94be0c8c287fcbbff923f03a6baa38eeecbadcd0a428dcadbf68a24201914fa

bideo.duckdns.org:20

总结

QuasarRAT作为一种专为Windows系统设计的开源远控工具,由于功能强大,界面友好,一经发布就被网络犯罪分子用来进行包括间谍活动、数据窃取和执行其他恶意软件等恶意行为,同时也为其他远控木马如AsyncRAT、DcRAT等提供可参照的代码依据。从QuasarRAT被利用的发展历程来看,网络攻击者积极地篡改利用并武器化开源远控工具,可以预期的是,QuasarRAT的演变历程将会更加复杂和多样化。新华三聆风实验室长期致力于对此类开源远控及其同源、关联家族的追踪狩猎和威胁情报生产,全线网络安全产品均已搭载最新情报特征库,具备全面威胁覆盖能力,充分保障企业的整体安全。

点击阅读原文查看详细分析过程

阅读原文


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论