quasar 功能强大！Quasar木马成黑客“香饽饽”

计算机木马(也称为间谍软件)是一种后门程序，经常被黑客用作控制远程计算机的工具。很多木马都是基于远程控制程序开发的，只是增强了隐蔽性和进程保护功能。

一个

类星体远程访问木马

Quasar是一个公开可用的开源远程访问木马(RAT)，主要针对Windows操作系统。Quasar通过恶意附件在网络钓鱼电子邮件中分发。据悉，这个RAT是用C #编程语言编写的。

Quasar最初是由GitHub用户MaxXor为合法目的开发的。然而，这个工具后来被黑客用于各种网络间谍活动。类星体于2014年7月首次发布，名为“xRAT 2.0”，后来于2015年8月更名为“类星体”。

远程访问木马使用两种方法来实现自己的持久性——调度任务和注册表项。

2

恶意函数

类星体的恶意功能非常强大，主要包括:

管理任务和文件；下载、上传和检索文件；终止连接和终止进程；配置和构建客户端可执行文件；压缩和加密通信；执行计算机命令；打开远程桌面连接；捕获屏幕截图并录制网络摄像头内容；撤消代理和编辑注册表监视用户的行为；键盘记录和窃取密码。

三

扫平木马参与了一系列网络间谍活动

反政府运动

2017年1月，知名网络安全公司帕洛阿尔托网络公司(Palo Alto Networks)在巴勒斯坦加沙观察到一系列针对中东政府机构的网络攻击——DustSky。在这个活动中，首先在目标设备中安装Downeks下载器，然后通过下载器部署Quasar木马。

类星体木马蔓延到乌克兰

2018年1月，攻击者使用Quasar RAT和一种名为PERMIST的定制恶意软件攻击乌克兰国防部。恶意软件最初是通过诱饵文件分发的，攻击的目的是窃取系统中的机密信息、用户名、击键和剪贴板数据。

捆绑使用Quasar和NetWiredRC木马

2018年2月，研究人员观察到一个恶意软件活动，该活动通过恶意RTF文件分发Quasar RAT和NetWiredRC RAT作为最终有效的恶意有效载荷。

恶意的RTF文档附有一个包含宏的微软Excel工作表。RTF文档强制用户启用宏并在宏上执行PowerShell命令来下载恶意的VBS文件。然后VBS文件终止所有运行的微软Word和Excel进程，最后下载有效载荷。

APT10使用PlugX和类星体RAT

2019年5月，来自enSilo的专家观察到，网络间谍组织APT10使用两种新的恶意软件加载程序PlugX和Quasar RAT对东南亚的政府和私人组织发起攻击。这些特洛伊木马工具会部署Jjs.exe、jli.dll、Msvcrt100.dll和svchost.bin等恶意文件来分发其他有效负载。