功能强大!Quasar木马成黑客“香饽饽”

2019-09-06 22:11:2021733人阅读


计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具,很多木马都是基于远控程序开发的,只是增强了隐蔽性和进程保护功能。

AoPMdIPSZORVpWisQQ6B74Ko1knSI5YBhc3VOKHR.png


Quasar远程访问木马


Quasar是一种公开可用的开源远程访问木马(RAT),主要针对Windows操作系统。Quasar通过恶意附件在网络钓鱼电子邮件中分发。据悉,这个RAT是用C#编程语言编写的。

Quasar最初是由GitHub用户 MaxXor 开发,用于合法用途。然而,该工具此后被黑客用于各种网络间谍活动。Quasar于2014年7月首次发布,名为“xRAT 2.0”,后来于2015年8月更名为“Quasar”。

UUC8LfKgHrUFEXfRLxt207dOq6pfNIXUlBTwNkyP.png

该远程访问木马使用两种方法来实现自身的持久性——计划任务和注册表项。


恶意功能


Quasar的恶意功能十分强大,主要包括:

  • 管理任务和文件;

  • 下载、上传和检索文件;

  • 终止连接和终止进程;

  • 配置和构建客户端可执行文件;

  • 压缩和加密通信;

  • 执行计算机命令;

  • 打开远程桌面连接;

  • 捕获屏幕截图并录制网络摄像头内容;

  • 撤消代理和编辑注册表

  • 监视用户的行为;

  • 键盘记录和窃取密码。


Quasar木马涉及一系列网络间谍活动


DustSky反政府运动


2017年1月,知名网络安全公司Palo Alto Networks观察到了巴勒斯坦加沙地区发生的一系列网络攻击活动——DustSky,针对中东政府机构。该活动首先在目标设备中安装Downeks下载器,进而通过该下载器部署Quasar木马。


Quasar木马蔓延至乌克兰


2018年1月,攻击者利用Quasar RAT和一个名为VERMIN的自定义恶意软件攻击乌克兰国防部。恶意软件最初通过诱饵文件分发,攻击旨在窃取系统内的机密信息、用户名、击键和剪贴板数据。


Quasar和NetWiredRC木马的捆绑使用


2018年2月,研究人员观察到一起恶意软件活动,该活动通过恶意RTF文件分发Quasar RAT和NetWiredRC RAT,作为最终有效恶意载荷。

该恶意RTF文档中附有包含宏的Microsoft Excel工作表。RTF文档会强制用户启用宏,并在该宏上执行PowerShell命令以下载恶意VBS文件。随后VBS文件终止所有正在运行的Microsoft Word和Excel进程,最后下载有效负载。


APT10使用PlugX和Quasar RAT


2019年5月,enSilo的专家观察到网络间谍组织APT10使用PlugX和Quasar RAT这两款新的恶意软件装载机对东南亚的政府和私人组织发动攻击。这些木马工具会部署恶意文件,如Jjs.exe、jli.dll、Msvcrt100.dll和svchost.bin,以分发其他有效负载。


本文转载自:mottoin 

原文链接:http://www.mottoin.com/detail/4174.html

原文作者:gump


0
现金券
0
兑换券
立即领取
领取成功