揭秘QuasarRAT：一款开源工具，如何一步步成为黑客利器？

概述

QuasarRAT(CinaRAT、Yggdrasil)是一种功能齐全的开源远控工具，具有收集系统信息、下载并执行应用程序、记录击键、抓取屏幕截图等功能。在过去的一年中，新华三聆风实验室监测到该工具被一些黑客组织频频利用，用来实现恶意后门等目的。

新华三聆风实验室已实现对QuasarRAT及其同源、关联家族的主动狩猎和威胁情报生产，全线安全产品均已搭载最新情报特征库，具备全面威胁覆盖能力，让企业主动安全防御更有效。

 

家族画像

QuasarRAT前世今生

QuasarRAT是一种由C#编程语言编写的专门针对Windows平台的远控木马，最初作为一款普通的远程管理开源工具“xRAT”，由作者MaxXor在2014年上传至Github。作者在2015年将其更名为Quasar，之后一直处于维护和更新状态。目前，QuasarRAT已更新至v1.4.1版本，显示有2.3k次forks，其仓储已被设置为只读模式。

由于这款工具可以根据特定要求进行修改，一经发布就引起了网络黑客的关注，并利用它来获取受感染计算机的远程控制权，达到监控用户、窃取数据以及执行其他恶意软件的目的。总结QuasarRAT的主要特点有：

• 远控功能强大

• 利用门槛低

QuasarRAT作为一款开源工具，并可以根据需要进行定制和修改。同时，Quasar使用经典CS架构，一个用户可以远程访问多个客户端，并且界面友好，操作流程简单，对于入门级黑客而言，学习曲线并不复杂。

• 兼容Windows系统版本

QuasarRAT是一款基于.Net框架的工具，能够兼容Windows操作系统的多个版本，包括Windows 7、8、10等，覆盖了当前主流的用户群体。

另外，同类型的开源远程管理工具有很多，如界面更加友好的Spark，功能更加强大的Stitch，发布时间更早的Gh0st，为什么QuasarRAT备受黑客青睐？其实答案很简单——

在界面友好的远控里，QuasarRAT功能是最强大的！

在功能强大的远控里，QuasarRAT发布时间是最早的！

在发布最早的远控里，QuasarRAT是处于维护中，持续更新的！

因此，QuasarRAT在同类远控工具中极具竞争力，一经发布就吸引了众多黑客的关注和利用。

被篡改利用一览

从QuasarRAT发布至今，几乎是被恶意团伙篡改利用的一生，尤其在DLL侧加载攻击上更为明显，下图列举了QuasarRAT各时间段较为典型的利用方式。

QuasarRAT首次被利用可追溯到2017年，此阶段攻击者通过简单的.Net打包和混淆技术实现防御规避。自2018年被首次通过“DLL侧加载”利用后，便引起其它攻击者纷纷效仿，2023年，攻击者更是创造了全新的“双重侧加载DLL”技术来规避检测，这种技术比传统的DLL侧加载多一个执行阶段，相当于以多一层的“套娃”方式来延长攻击链，使最终恶意载荷执行更隐蔽，安全程序也更难检测。

传播方式一览

QuasarRAT的“走红”得益于其传播、分发方式的多样化，尤其以带有诱饵文件的钓鱼方式最为频繁。下图整理了QuasarRAT在各时期的典型传播方式。

除了典型的网络钓鱼，通过未修复的漏洞，捆绑破解软件，以及僵尸网络传播感染也时有发生。这种对QuasarRAT“广撒网”式的传播利用，其攻击面能够在短时间内迅速蔓延，收割大批中招用户。

同源家族关系一览

下图列举了QuasarRAT与其他相关借鉴了源码的家族关系。作为一款发布较早的开源远控工具，QuasarRAT自身不仅被多次“改名换姓”用于不同的攻击活动中，也被其他远控家族纷纷借鉴利用，原因是QuasarRAT提供了.Net环境下可参照的代码基础。

静态分析

具体样本分析过程，详见阅读全文。

持久化

QuasarRAT根据客户端是否获得管理员权限，分别使用schtasks计划任务/添加注册表项到自动运行两种方式进行持久化。

发现

QuasarRAT收集受害主机相关信息，包括IP地址，主机名，系统CPU，是否存在防火墙，浏览器密码转储模块等信息。

权限提升

检查当前账号是否为管理员权限，如果不是则尝试以管理员权限重新启动程序。

配置信息解密

QuasarRAT的C2配置是经过AES加密后，再通过base64编码混淆存储；

ATT&CK

IOC

1e4c7c35a5a1fe7ec324afbab4ec16318839a87f3512b2151487dda3854d40e2
19a57e2e5ecddfa1ff08e614a9d9c543640d1351c126ab86d1b0d21639067d82
8d9f0e8c11ca559039ec1da2b563442eda513db6674071b6f141bef8b10f8367
14605e930c723cdfa8455300f96feeabf182adba6e46cc06767d948154910c96
b94be0c8c287fcbbff923f03a6baa38eeecbadcd0a428dcadbf68a24201914fa

bideo.duckdns.org:20

总结

QuasarRAT作为一种专为Windows系统设计的开源远控工具，由于功能强大，界面友好，一经发布就被网络犯罪分子用来进行包括间谍活动、数据窃取和执行其他恶意软件等恶意行为，同时也为其他远控木马如AsyncRAT、DcRAT等提供可参照的代码依据。从QuasarRAT被利用的发展历程来看，网络攻击者积极地篡改利用并武器化开源远控工具，可以预期的是，QuasarRAT的演变历程将会更加复杂和多样化。新华三聆风实验室长期致力于对此类开源远控及其同源、关联家族的追踪狩猎和威胁情报生产，全线网络安全产品均已搭载最新情报特征库，具备全面威胁覆盖能力，充分保障企业的整体安全。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取