吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8414|回复: 10
收起左侧

[PC样本分析] 小白病毒分析学习之QuasarRAT分析

[复制链接]
mortalboold 发表于 2020-3-31 00:02
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 mortalboold 于 2020-3-31 00:06 编辑

报告名称:QuasarRAT详细分析报告
作者:mo4ta1                                                            
报告更新日期:2020-03-30                                                                                       
样本类型:QuasarRAT家族远控                                                   
样本文件大小:348kb     
样本文件MD5 校验值: d059a264af31c72def4f1ae47898e422                                             
壳信息:.net 混淆                                                      
可能受到威胁的系统:windows                                
简介:
该样本是开源木马Quasars RAT,是一款具有下载执行,信息窃取,键盘记录等全功能的远控木马。
网络症状
ip-api.com collinserver.ddns.net
文件系统变化
创建C:\Windows\System32\dllcheck\dllcheck.exe
持久化
通过创建任务在有用户登陆的情况下执行dllcheck.exe
详细分析/功能介绍
样本运行后首先通过解密函数解密大量配置,包括释放文件名,cc域名等信息
   17.png
之后创建互斥,保证样本只有实例运行
2.png
判断当前进程路径是否为C:\Windows\System32\dllcheck\dllcheck.exe
3.png
若不是该路径,则将样本拷贝到C:\Windows\System32\dllcheck\dllcheck.exe,执行dllcheck.exe,结束当前进程
6.png 7.png
访问http://ip-api.com/json获取当前受害者ip,以及ip所在地区等信息
4.png
判断当前进程权限是否为admin,若是则设置计划任务,将dllcheck.exe设置到计划任务实现持久化。若不是,则将dllcheck.exe设置到注册表Software\\Microsoft\\Windows\\CurrentVersion\\Run实现自启动 9.png
设置成功的计划任务信息如下
8.png
做完这些前期准备后,样本将创建一个keylogger线程进行键盘记录,并以html的形式记录键盘数据
12.png
最后样本将于c2进行通信,先获取受害者计算机机器名,用户名,杀毒软件产品等信息加密处理
20.png
将密后的数据发送到c接受c2返回命令
17.png
并根据不同命令执行相应的功能
Snipaste_2020-03-30_23-49-25.png
该样本具有以下功能

  • 任务管理器
  • 文件管理器
  • 启动进程
  • 远程桌面
  • 远程shell
  • 下载执行
  • 上传执行
  • 系统信息
  • 计算机命令(重新启动,关机,待机)
  • 键盘记录器
  • 反向代{过}{滤}理(SOCKS5
  • 窃取密码
  • 注册表编辑

免费评分

参与人数 3吾爱币 +9 热心值 +3 收起 理由
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
冰雪冬樱250 + 1 + 1 用心讨论,共获提升!
joneqm + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

chenjingyes 发表于 2020-3-31 01:40
谢谢楼主分享
你与明日 发表于 2020-3-31 06:27
雨落惊鸿, 发表于 2020-3-31 07:53
x123355492 发表于 2020-3-31 08:08
感谢分享感谢
冰雪冬樱250 发表于 2020-3-31 08:55
感谢楼主分享
raykeyor 发表于 2020-3-31 09:15
感谢分享
uhxdDGjohs 发表于 2020-3-31 10:08
希望分享手动查杀教程
cptw 发表于 2020-3-31 12:41

感谢楼主分享
处女-大龙猫 发表于 2020-3-31 18:14
我也想当大佬, 真难,
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 06:16

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表