揭秘QuasarRAT：一款开源工具，如何一步步成为黑客利器？

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

基础安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

揭秘QuasarRAT：一款开源工具，如何一步步成为黑客利器？

新华三攻防实验室 2024-04-24 10:21:32 319831

概述

QuasarRAT(CinaRAT、Yggdrasil)是一种功能齐全的开源远控工具，具有收集系统信息、下载并执行应用程序、记录击键、抓取屏幕截图等功能。在过去的一年中，新华三聆风实验室监测到该工具被一些黑客组织频频利用，用来实现恶意后门等目的。

新华三聆风实验室已实现对QuasarRAT及其同源、关联家族的主动狩猎和威胁情报生产，全线安全产品均已搭载最新情报特征库，具备全面威胁覆盖能力，让企业主动安全防御更有效。

家族画像

1713922640_662862505fd89a17d398e.png!small?1713922641173

QuasarRAT前世今生

QuasarRAT是一种由C#编程语言编写的专门针对Windows平台的远控木马，最初作为一款普通的远程管理开源工具“xRAT”，由作者MaxXor在2014年上传至Github。作者在2015年将其更名为Quasar，之后一直处于维护和更新状态。目前，QuasarRAT已更新至v1.4.1版本，显示有2.3k次forks，其仓储已被设置为只读模式。

1713922688_66286280d526637c8e18d.png!small?1713922689683

由于这款工具可以根据特定要求进行修改，一经发布就引起了网络黑客的关注，并利用它来获取受感染计算机的远程控制权，达到监控用户、窃取数据以及执行其他恶意软件的目的。总结QuasarRAT的主要特点有：

远控功能强大

1713922796_662862ec171cefb39b1e9.png!small?1713922796768

利用门槛低

QuasarRAT作为一款开源工具，并可以根据需要进行定制和修改。同时，Quasar使用经典CS架构，一个用户可以远程访问多个客户端，并且界面友好，操作流程简单，对于入门级黑客而言，学习曲线并不复杂。

1713922809_662862f91c7cc9e01d1b1.png!small?1713922810910

兼容Windows系统版本

QuasarRAT是一款基于.Net框架的工具，能够兼容Windows操作系统的多个版本，包括Windows 7、8、10等，覆盖了当前主流的用户群体。

1713922821_66286305bba8f30e1d250.png!small?1713922822970

另外，同类型的开源远程管理工具有很多，如界面更加友好的Spark，功能更加强大的Stitch，发布时间更早的Gh0st，为什么QuasarRAT备受黑客青睐？其实答案很简单——

在界面友好的远控里，QuasarRAT功能是最强大的！

在功能强大的远控里，QuasarRAT发布时间是最早的！

在发布最早的远控里，QuasarRAT是处于维护中，持续更新的！

因此，QuasarRAT在同类远控工具中极具竞争力，一经发布就吸引了众多黑客的关注和利用。

被篡改利用一览

从QuasarRAT发布至今，几乎是被恶意团伙篡改利用的一生，尤其在DLL侧加载攻击上更为明显，下图列举了QuasarRAT各时间段较为典型的利用方式。

1713922864_66286330831de550a263a.png!small?1713922865296

QuasarRAT首次被利用可追溯到2017年，此阶段攻击者通过简单的.Net打包和混淆技术实现防御规避。自2018年被首次通过“DLL侧加载”利用后，便引起其它攻击者纷纷效仿，2023年，攻击者更是创造了全新的“双重侧加载DLL”技术来规避检测，这种技术比传统的DLL侧加载多一个执行阶段，相当于以多一层的“套娃”方式来延长攻击链，使最终恶意载荷执行更隐蔽，安全程序也更难检测。

传播方式一览

QuasarRAT的“走红”得益于其传播、分发方式的多样化，尤其以带有诱饵文件的钓鱼方式最为频繁。下图整理了QuasarRAT在各时期的典型传播方式。

1713922900_66286354dc850bd8d3f3a.png!small?1713922901552

除了典型的网络钓鱼，通过未修复的漏洞，捆绑破解软件，以及僵尸网络传播感染也时有发生。这种对QuasarRAT“广撒网”式的传播利用，其攻击面能够在短时间内迅速蔓延，收割大批中招用户。

同源家族关系一览

下图列举了QuasarRAT与其他相关借鉴了源码的家族关系。作为一款发布较早的开源远控工具，QuasarRAT自身不仅被多次“改名换姓”用于不同的攻击活动中，也被其他远控家族纷纷借鉴利用，原因是QuasarRAT提供了.Net环境下可参照的代码基础。

1713922938_6628637a811a04e57be59.png!small?1713922939255

静态分析

具体样本分析过程，详见阅读全文。

持久化

QuasarRAT根据客户端是否获得管理员权限，分别使用schtasks计划任务/添加注册表项到自动运行两种方式进行持久化。

1713922987_662863ab332e7f71de7e6.png!small?1713922988314

发现

QuasarRAT收集受害主机相关信息，包括IP地址，主机名，系统CPU，是否存在防火墙，浏览器密码转储模块等信息。

1713923016_662863c877b1af57f8ec6.png!small?1713923018009

权限提升

检查当前账号是否为管理员权限，如果不是则尝试以管理员权限重新启动程序。

1713923043_662863e3e3b0cc2b7fc64.png!small?1713923044536

配置信息解密

QuasarRAT的C2配置是经过AES加密后，再通过base64编码混淆存储；

1713923078_66286406145c0b4f52be0.png!small?1713923081139

ATT&CK

1713923127_66286437de910101bdecf.png!small?1713923128957

IOC

1e4c7c35a5a1fe7ec324afbab4ec16318839a87f3512b2151487dda3854d40e2
19a57e2e5ecddfa1ff08e614a9d9c543640d1351c126ab86d1b0d21639067d82
8d9f0e8c11ca559039ec1da2b563442eda513db6674071b6f141bef8b10f8367
14605e930c723cdfa8455300f96feeabf182adba6e46cc06767d948154910c96
b94be0c8c287fcbbff923f03a6baa38eeecbadcd0a428dcadbf68a24201914fa

bideo.duckdns.org:20

总结

QuasarRAT作为一种专为Windows系统设计的开源远控工具，由于功能强大，界面友好，一经发布就被网络犯罪分子用来进行包括间谍活动、数据窃取和执行其他恶意软件等恶意行为，同时也为其他远控木马如AsyncRAT、DcRAT等提供可参照的代码依据。从QuasarRAT被利用的发展历程来看，网络攻击者积极地篡改利用并武器化开源远控工具，可以预期的是，QuasarRAT的演变历程将会更加复杂和多样化。新华三聆风实验室长期致力于对此类开源远控及其同源、关联家族的追踪狩猎和威胁情报生产，全线网络安全产品均已搭载最新情报特征库，具备全面威胁覆盖能力，充分保障企业的整体安全。

点击阅读原文查看详细分析过程

阅读原文