Quaser RAT入侵检测,通讯流量特征分析及自动化检测实现
字数 977 2025-08-23 18:31:34

Quasar RAT入侵检测与流量特征分析教学文档

1. 背景介绍

Quasar RAT是一种远程访问木马(RAT),在2020年6月5日发布的v1.4.0版本中进行了重大更新:

  • 增加了TLS1.2通讯加密模块
  • 消息序列化器更改为Protobuf

2. 流量特征分析

2.1 TLS1.2加密套件特征

Quasar RAT使用SslStream进行安全套接字通信,加密套件选择由.NET Framework或.NET Core运行时决定。在Windows 10各版本中,通常选择的加密套件为:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

2.2 证书特征

2.2.1 默认证书CN值

使用默认配置时,证书中的CN值为:

"Quasar Server CA"

2.2.2 证书固定hex流

默认证书中包含固定hex流:

0f 39 39 39 39 31 32 33 31 32 33 35 39 35 39 5a

此特征在AsyncRAT默认配置证书中同样存在,表明两者同源性。

2.3 心跳包特征

2.3.1 心跳间隔

TCP通讯配置信息:

KEEP_ALIVE_INTERVAL 0x000061A8
KEEP_ALIVE_TIME 0x000061A8

换算为十进制秒为25秒,默认心跳包间隔约为25秒。

2.3.2 心跳载荷

心跳包中包含1字节载荷:

00

2.4 流量模式特征

2.4.1 上行/下行流量比例

  • 服务端指令(蓝色)十分精简,数据量小
  • 客户端响应(红色)数据量大
  • 上行流量远大于下行流量

2.4.2 TCP标志位特征

由于使用Keep-Alive心跳机制:

  • 在Windows专业版中,Keep-Alive和Keep-Alive ACK数据包标志位均为ACK
  • 导致同步确认位(ACK)数据包数量远大于同步发送(SYN)数据包

3. 检测实现

3.1 Suricata检测规则

可检测的强特征包括:

  1. 恶意SSL证书(Quasar CnC)检测规则:
ET MALWARE Observed Malicious SSL Cert (Quasar CnC)
  1. AsyncRAT风格SSL证书检测规则:
ET MALWARE Generic AsyncRAT Style SSL Cert

3.2 多维度统计分析

需要检测模型实现的弱特征:

  • 流量比例特征
  • TCP标志位统计特征
  • 心跳包间隔特征

3.3 分析平台与示例数据

3.3.1 恶意数据包分析平台

平台地址:

http://47.108.150.136:8080/IDS

3.3.2 测试数据包

示例数据包下载:

https://www.123pan.com/s/3BsPjv-vLhnd.html

4. 检测结果分析

典型告警信息示例:

03/11/2024-20:52:07.113888 [**] [1:2027619:3] ET MALWARE Observed Malicious SSL Cert (Quasar CnC) [**] [Classification: Domain Observed Used for C2 Detected] [Priority: 1] {TCP} 43.246.209.128:19963 -> 43.246.209.129:56362

03/11/2024-20:52:07.113888 [**] [1:2035595:6] ET MALWARE Generic AsyncRAT Style SSL Cert [**] [Classification: Domain Observed Used for C2 Detected] [Priority: 1] {TCP} 43.246.209.128:19963 -> 43.246.209.129:56362

5. 总结

Quasar RAT的主要检测特征包括:

  1. 特定的TLS加密套件
  2. 证书中的固定CN值和hex流
  3. 25秒间隔的1字节心跳包
  4. 上行流量远大于下行流量的模式
  5. ACK数据包远多于SYN数据包的特征

结合强特征规则匹配和弱特征统计分析,可以有效检测Quasar RAT的加密通讯流量。

Quasar RAT入侵检测与流量特征分析教学文档 1. 背景介绍 Quasar RAT是一种远程访问木马(RAT),在2020年6月5日发布的v1.4.0版本中进行了重大更新: 增加了TLS1.2通讯加密模块 消息序列化器更改为Protobuf 2. 流量特征分析 2.1 TLS1.2加密套件特征 Quasar RAT使用SslStream进行安全套接字通信,加密套件选择由.NET Framework或.NET Core运行时决定。在Windows 10各版本中,通常选择的加密套件为: 2.2 证书特征 2.2.1 默认证书CN值 使用默认配置时,证书中的CN值为: 2.2.2 证书固定hex流 默认证书中包含固定hex流: 此特征在AsyncRAT默认配置证书中同样存在,表明两者同源性。 2.3 心跳包特征 2.3.1 心跳间隔 TCP通讯配置信息: 换算为十进制秒为25秒,默认心跳包间隔约为25秒。 2.3.2 心跳载荷 心跳包中包含1字节载荷: 2.4 流量模式特征 2.4.1 上行/下行流量比例 服务端指令(蓝色)十分精简,数据量小 客户端响应(红色)数据量大 上行流量远大于下行流量 2.4.2 TCP标志位特征 由于使用Keep-Alive心跳机制: 在Windows专业版中,Keep-Alive和Keep-Alive ACK数据包标志位均为ACK 导致同步确认位(ACK)数据包数量远大于同步发送(SYN)数据包 3. 检测实现 3.1 Suricata检测规则 可检测的强特征包括: 恶意SSL证书(Quasar CnC)检测规则: AsyncRAT风格SSL证书检测规则: 3.2 多维度统计分析 需要检测模型实现的弱特征: 流量比例特征 TCP标志位统计特征 心跳包间隔特征 3.3 分析平台与示例数据 3.3.1 恶意数据包分析平台 平台地址: 3.3.2 测试数据包 示例数据包下载: 4. 检测结果分析 典型告警信息示例: 5. 总结 Quasar RAT的主要检测特征包括: 特定的TLS加密套件 证书中的固定CN值和hex流 25秒间隔的1字节心跳包 上行流量远大于下行流量的模式 ACK数据包远多于SYN数据包的特征 结合强特征规则匹配和弱特征统计分析,可以有效检测Quasar RAT的加密通讯流量。