Remcos RAT流量分析报告

最新推荐文章于 2024-06-20 15:15:00 发布
最新推荐文章于 2024-06-20 15:15:00 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: 远控工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DFMASTER/article/details/90699412
版权

使用方法

1.运行根目录下的exe文件,在Agent Builder页面设置连接ip、端口、密码,生成exe木马,默认端口为2404
在这里插入图片描述
2.在Local Settings页面设置监听端口和密码
在这里插入图片描述
3.等待靶机运行木马即可上线
在这里插入图片描述

检测方案

1.可检测从2404端口传递的心跳包,时间间隔为1s,且心跳包的协议为TCP和104apci交替出现
在这里插入图片描述
2.检测端数据包占比,数据包长度为40-159的占比为98.93%
在这里插入图片描述
3.当远控工具产生交互行为时,上行流量大于下行流量
上行流量数据包统计:
在这里插入图片描述
下行流量数据包统计:
在这里插入图片描述
4.所有数据包都带有PSH和SYN字段
PSH标志位数据包总数为1583、占100%
在这里插入图片描述
SYN标志位数据包总数为1583,占100%
在这里插入图片描述
5.监控特殊协议104apci,占比为51.86%
在这里插入图片描述
6.监控固定字节为
当它发送文件和信息时,会发送[DataStart]字符串,且为16进制表示
在这里插入图片描述
然后加密程序加密,加密程序如下所示
在这里插入图片描述
加密后的数据
在这里插入图片描述
与流量里的数据相同
在这里插入图片描述

DFMASTER
关注
专栏目录
TheFatRat最新版本下载
12-07
TheFatRat是一款广泛用于安全研究的黑客工具,尤其在Kali Linux环境下被广大安全研究人员和渗透测试专家所采用。它的最新版本提供了更多的功能和优化,以满足不断变化的安全需求。这款工具的主要特点在于其免杀能力...
Oracle Database RAT介绍
08-30
介绍Oracle数据库的性能优化选件RAT
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 923
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
NanoCore RAT流量分析报告
DFMASTER的博客
05-30 1461
使用方法 1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896 2.设置监听端口,默认有1337、1605和53896 3.等待受控靶机执行生成的木马即可上线 检测方案 1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s 2.检测端数据包占比,数据包长度40-159的占比为97.51% 3.当远控工具...
DBatLoader 与 Remcos RAT 横扫东欧
最新发布
2401_84488537的博客
06-20 1024
研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT,并且主要针对东欧的机构与企业进行攻击。DBatLoader 通常会滥用公有云基础设施来部署恶意软件,而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。攻击者常常会通过钓鱼邮件分发远控木马,也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本 URL 进行传播。
oracle rat结果分析比较,Oracle RAT介绍及最佳实践
weixin_39537680的博客
04-03 359
Oracle Real Application Testing(简称RAT)是11g的一个重要的feature,其推出的初衷是为了满足数据中心变更后有很好的方法和工具去衡量这些变更对于生产环境的应用带来的影响,更好的评估诸如硬件升级,软件升级,架构变化等等对于客户应用程序的影响。Real Application Testing其实有两个解决方法,分别是Database Replay和SPA(SQL...
oracle rat database replay
congse3359的博客
09-29 199
rat的两个主要组件database replay和sql performance analyzer(SPA),其中database reply可capture生产库的工作负载,并replay到测试库上,以主动发现升级问题. ...
104通讯协议01 规约报文结构
Good_Luck_Kevin2018的博客
07-23 7108
目录 简介: 104规约结构 104规约信息包 三种基本报文: ASDU结构 数据表示方法 遥信 SOE信息 遥测ASDU 遥脉ASDU 简介: 广泛应用于电力、城市轨道交通等行业的国际标准。 104规约结构 104规约信息包 APDU:应用规约数据单元 APCI:应用规约控制信息 ASDU:应用服务数据单元 APDU = APCI + ASDU 三种基本...
Star Rat 3.1完整源码.rar_Star Rat 3.1 源码_Star Rat3.1_neckqvc_rat源码_免
07-14
Star Rat 3.1源码 免杀可以自己编译
Xtreme RAT Unicode xe7_rat_singlet3w_
09-29
3. **恶意软件层次结构**:高级的恶意软件网络可能包含多个RAT,每个都有特定的角色,例如,一个主控RAT可以控制和管理多个下级RAT,形成复杂的命令与控制结构,增加分析和反制的难度。 4. **恶意软件的逃避技术**...
[C++] FBI-RAT_rat_feelv55_hungbhr_
10-03
7. **安全分析和防御**:从安全角度,了解RAT的工作方式可以帮助开发防御策略,如使用入侵检测系统(IDS)、防火墙规则和反恶意软件来阻止或清除RAT。 总之,对于这个[C++] FBI-RAT,无论是从开发还是防御的角度,...
IEC104规约及报文解释比较全面的
07-06
比较全面的104文档、本人一直使用这个文档还是解释的比较好的自己做了修改的优化
FBI-RAT.zip_FBI_FBI-RAT_fbi rat_rat_remote
09-14
总结,这个压缩包文件提供了一个研究和分析FBI RAT的窗口,对于安全研究人员和反病毒专家来说,它是理解恶意软件工作方式的重要资源。通过深入研究源代码,可以发现其漏洞,提高防御策略,防止类似威胁的攻击。同时...
ORACLE SPA and RAT
fan的博客
08-26 670
本文章摘自王健老师在Oracle公益课上的分享,文章中图片全部引用原作者,如果有版权的争议,可以取消本篇文章的分享
电力系统104规约帧报文解析
热门推荐
weixin_44462773的博客
03-18 2万+
电力系统IEC104规约帧报文解析: 1、104规约使用场景 2、104协议结构
智能变电站协议系列-4、IEC 101、IEC 104协议(IEC 60870)
逍遥游的博客
12-26 3929
IEC 101和IEC 104对于智能变电站来说已经属于旧的协议了,其属于IEC 60870,但目前在电力自动化中仍然流行,对于IEC 61850和IEC 60870混用的场景也存在,目前官方赞助商似乎在推一些转换网关来将对应的协议做转换以此解决这种协议兼容问题,国内似乎也有在做这块的网关的企业。IEC 101为串行模式,而IEC 104走TCP/IP。对比一下IEC 60870相较于IEC 61850确实感觉会功能相对少一些,扩展性稍微差一些,但理解上相对简单一些。
SON算法优化跨RAT切换参数
"本文讨论了一种基于自组织网络(Self-Organizing Network, SON)的算法,用于优化不同无线接入技术(Radio Access Technology, RAT)之间的切换参数,特别是在LTE和3G系统之间的Inter-RAT切换。" 在无线通信领域,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值