概述
QuasarRAT(CinaRAT、Yggdrasil)是一种功能齐全的开源远控工具,具有收集系统信息、下载并执行应用程序、记录击键、抓取屏幕截图等功能。在过去的一年中,新华三聆风实验室监测到该工具被一些黑客组织频频利用,用来实现恶意后门等目的。
新华三聆风实验室已实现对QuasarRAT及其同源、关联家族的主动狩猎和威胁情报生产,全线安全产品均已搭载最新情报特征库,具备全面威胁覆盖能力,让企业主动安全防御更有效。
家族画像
QuasarRAT前世今生
QuasarRAT是一种由C#编程语言编写的专门针对Windows平台的远控木马,最初作为一款普通的远程管理开源工具“xRAT”,由作者MaxXor在2014年上传至Github。作者在2015年将其更名为Quasar,之后一直处于维护和更新状态。目前,QuasarRAT已更新至v1.4.1版本,显示有2.3k次forks,其仓储已被设置为只读模式。
由于这款工具可以根据特定要求进行修改,一经发布就引起了网络黑客的关注,并利用它来获取受感染计算机的远程控制权,达到监控用户、窃取数据以及执行其他恶意软件的目的。总结QuasarRAT的主要特点有:
QuasarRAT作为一款开源工具,并可以根据需要进行定制和修改。同时,Quasar使用经典CS架构,一个用户可以远程访问多个客户端,并且界面友好,操作流程简单,对于入门级黑客而言,学习曲线并不复杂。
QuasarRAT是一款基于.Net框架的工具,能够兼容Windows操作系统的多个版本,包括Windows 7、8、10等,覆盖了当前主流的用户群体。
另外,同类型的开源远程管理工具有很多,如界面更加友好的Spark,功能更加强大的Stitch,发布时间更早的Gh0st,为什么QuasarRAT备受黑客青睐?其实答案很简单——
在界面友好的远控里,QuasarRAT功能是最强大的!
在功能强大的远控里,QuasarRAT发布时间是最早的!
在发布最早的远控里,QuasarRAT是处于维护中,持续更新的!
因此,QuasarRAT在同类远控工具中极具竞争力,一经发布就吸引了众多黑客的关注和利用。
被篡改利用一览
从QuasarRAT发布至今,几乎是被恶意团伙篡改利用的一生,尤其在DLL侧加载攻击上更为明显,下图列举了QuasarRAT各时间段较为典型的利用方式。
QuasarRAT首次被利用可追溯到2017年,此阶段攻击者通过简单的.Net打包和混淆技术实现防御规避。自2018年被首次通过“DLL侧加载”利用后,便引起其它攻击者纷纷效仿,2023年,攻击者更是创造了全新的“双重侧加载DLL”技术来规避检测,这种技术比传统的DLL侧加载多一个执行阶段,相当于以多一层的“套娃”方式来延长攻击链,使最终恶意载荷执行更隐蔽,安全程序也更难检测。
传播方式一览
QuasarRAT的“走红”得益于其传播、分发方式的多样化,尤其以带有诱饵文件的钓鱼方式最为频繁。下图整理了QuasarRAT在各时期的典型传播方式。
除了典型的网络钓鱼,通过未修复的漏洞,捆绑破解软件,以及僵尸网络传播感染也时有发生。这种对QuasarRAT“广撒网”式的传播利用,其攻击面能够在短时间内迅速蔓延,收割大批中招用户。
同源家族关系一览
下图列举了QuasarRAT与其他相关借鉴了源码的家族关系。作为一款发布较早的开源远控工具,QuasarRAT自身不仅被多次“改名换姓”用于不同的攻击活动中,也被其他远控家族纷纷借鉴利用,原因是QuasarRAT提供了.Net环境下可参照的代码基础。
静态分析
具体样本分析过程,详见阅读全文。
持久化
QuasarRAT根据客户端是否获得管理员权限,分别使用schtasks计划任务/添加注册表项到自动运行两种方式进行持久化。
发现
QuasarRAT收集受害主机相关信息,包括IP地址,主机名,系统CPU,是否存在防火墙,浏览器密码转储模块等信息。
权限提升
检查当前账号是否为管理员权限,如果不是则尝试以管理员权限重新启动程序。
配置信息解密
QuasarRAT的C2配置是经过AES加密后,再通过base64编码混淆存储;
ATT&CK
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 黑客技术
因篇幅有限,仅展示部分资料
4️⃣网络安全面试题
5️⃣汇总
所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~