揭秘QuasarRAT：一款开源工具，如何一步步成为黑客利器？

网络安全淼叔

于 2024-08-04 15:15:00 发布

阅读量557

点赞数 16

文章标签： flask python 后端安全网络协议

本文链接：https://blog.csdn.net/2401_84488537/article/details/140903099

版权

概述

QuasarRAT(CinaRAT、Yggdrasil)是一种功能齐全的开源远控工具，具有收集系统信息、下载并执行应用程序、记录击键、抓取屏幕截图等功能。在过去的一年中，新华三聆风实验室监测到该工具被一些黑客组织频频利用，用来实现恶意后门等目的。

新华三聆风实验室已实现对QuasarRAT及其同源、关联家族的主动狩猎和威胁情报生产，全线安全产品均已搭载最新情报特征库，具备全面威胁覆盖能力，让企业主动安全防御更有效。

家族画像

1713922640_662862505fd89a17d398e.png!small?1713922641173

QuasarRAT前世今生

QuasarRAT是一种由C#编程语言编写的专门针对Windows平台的远控木马，最初作为一款普通的远程管理开源工具“xRAT”，由作者MaxXor在2014年上传至Github。作者在2015年将其更名为Quasar，之后一直处于维护和更新状态。目前，QuasarRAT已更新至v1.4.1版本，显示有2.3k次forks，其仓储已被设置为只读模式。

1713922688_66286280d526637c8e18d.png!small?1713922689683

由于这款工具可以根据特定要求进行修改，一经发布就引起了网络黑客的关注，并利用它来获取受感染计算机的远程控制权，达到监控用户、窃取数据以及执行其他恶意软件的目的。总结QuasarRAT的主要特点有：

远控功能强大

1713922796_662862ec171cefb39b1e9.png!small?1713922796768

利用门槛低

QuasarRAT作为一款开源工具，并可以根据需要进行定制和修改。同时，Quasar使用经典CS架构，一个用户可以远程访问多个客户端，并且界面友好，操作流程简单，对于入门级黑客而言，学习曲线并不复杂。

1713922809_662862f91c7cc9e01d1b1.png!small?1713922810910

兼容Windows系统版本

QuasarRAT是一款基于.Net框架的工具，能够兼容Windows操作系统的多个版本，包括Windows 7、8、10等，覆盖了当前主流的用户群体。

1713922821_66286305bba8f30e1d250.png!small?1713922822970

另外，同类型的开源远程管理工具有很多，如界面更加友好的Spark，功能更加强大的Stitch，发布时间更早的Gh0st，为什么QuasarRAT备受黑客青睐？其实答案很简单——

在界面友好的远控里，QuasarRAT功能是最强大的！

在功能强大的远控里，QuasarRAT发布时间是最早的！

在发布最早的远控里，QuasarRAT是处于维护中，持续更新的！

因此，QuasarRAT在同类远控工具中极具竞争力，一经发布就吸引了众多黑客的关注和利用。

被篡改利用一览

从QuasarRAT发布至今，几乎是被恶意团伙篡改利用的一生，尤其在DLL侧加载攻击上更为明显，下图列举了QuasarRAT各时间段较为典型的利用方式。

1713922864_66286330831de550a263a.png!small?1713922865296

QuasarRAT首次被利用可追溯到2017年，此阶段攻击者通过简单的.Net打包和混淆技术实现防御规避。自2018年被首次通过“DLL侧加载”利用后，便引起其它攻击者纷纷效仿，2023年，攻击者更是创造了全新的“双重侧加载DLL”技术来规避检测，这种技术比传统的DLL侧加载多一个执行阶段，相当于以多一层的“套娃”方式来延长攻击链，使最终恶意载荷执行更隐蔽，安全程序也更难检测。

传播方式一览

QuasarRAT的“走红”得益于其传播、分发方式的多样化，尤其以带有诱饵文件的钓鱼方式最为频繁。下图整理了QuasarRAT在各时期的典型传播方式。

1713922900_66286354dc850bd8d3f3a.png!small?1713922901552

除了典型的网络钓鱼，通过未修复的漏洞，捆绑破解软件，以及僵尸网络传播感染也时有发生。这种对QuasarRAT“广撒网”式的传播利用，其攻击面能够在短时间内迅速蔓延，收割大批中招用户。

同源家族关系一览

下图列举了QuasarRAT与其他相关借鉴了源码的家族关系。作为一款发布较早的开源远控工具，QuasarRAT自身不仅被多次“改名换姓”用于不同的攻击活动中，也被其他远控家族纷纷借鉴利用，原因是QuasarRAT提供了.Net环境下可参照的代码基础。

1713922938_6628637a811a04e57be59.png!small?1713922939255

静态分析

具体样本分析过程，详见阅读全文。

持久化

QuasarRAT根据客户端是否获得管理员权限，分别使用schtasks计划任务/添加注册表项到自动运行两种方式进行持久化。

1713922987_662863ab332e7f71de7e6.png!small?1713922988314

发现

QuasarRAT收集受害主机相关信息，包括IP地址，主机名，系统CPU，是否存在防火墙，浏览器密码转储模块等信息。

1713923016_662863c877b1af57f8ec6.png!small?1713923018009

权限提升

检查当前账号是否为管理员权限，如果不是则尝试以管理员权限重新启动程序。

1713923043_662863e3e3b0cc2b7fc64.png!small?1713923044536

配置信息解密

QuasarRAT的C2配置是经过AES加密后，再通过base64编码混淆存储；

1713923078_66286406145c0b4f52be0.png!small?1713923081139

ATT&CK

1713923127_66286437de910101bdecf.png!small?1713923128957

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限，仅展示部分资料

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，扫码获取~

网络安全淼叔

关注

16
点赞
踩
16

收藏

觉得还不错? 一键收藏
0
评论
揭秘QuasarRAT：一款开源工具，如何一步步成为黑客利器？

QuasarRAT(CinaRAT、Yggdrasil)是一种功能齐全的开源远控工具，具有收集系统信息、下载并执行应用程序、记录击键、抓取屏幕截图等功能。在过去的一年中，新华三聆风实验室监测到该工具被一些黑客组织频频利用，用来实现恶意后门等目的。新华三聆风实验室已实现对QuasarRAT及其同源、关联家族的主动狩猎和威胁情报生产，全线安全产品均已搭载最新情报特征库，具备全面威胁覆盖能力，让企业主动安全防御更有效。
复制链接

扫一扫