Quaser RAT加解密技术剖析
字数 2326 2025-08-23 18:31:34

Quasar RAT加解密技术深度解析

一、概述

Quasar RAT是一款远程访问木马,其加解密技术涉及配置信息解密和通讯流量解密两大部分。本文将详细剖析其加解密机制,包括AES解密流程、TLS1.2通讯解密方法等关键技术点。

二、配置信息解密技术

2.1 解密流程概述

Quasar RAT的配置信息解密位于初始化过程,使用AES算法解密经过Base64编码的字符串。待解密字符硬编码于样本中,解密流程如下:

  1. 密钥派生流程
  2. Base64解码
  3. HMAC-SHA256校验
  4. AES解密

2.2 密钥派生流程

密钥派生使用PBKDF2函数和固定盐值生成两个密钥:

  1. 32字节AES密钥
  2. 64字节HMAC-SHA256密钥(用于消息完整性验证)

2.3 详细解密步骤

  1. 对硬编码的base64字符串进行解码,获得字节流A
  2. 字节流A前32字节用于HMAC-SHA256校验
  3. 字节流A中33-48字节(16字节)作为AES初始化向量(IV)
  4. 字节流A中48字节以后的内容为实际密文

2.4 解密示例

以解密外连地址IP:port为例:

  • 初始密文:K9+5GQdWhtwvWqnr4WXcNt1Fuig7c0813j6YdzFtSI48rf1lpnSb45VpxLZGC7R/XiWEzPea0ItdoE7sIDU1VOtCuuMNS0/KbJaEaWVbz38=
  • Base64解码后hex流:2BDFB919075686DC2F5AA9EBE165DC36DD45BA283B734F35DE3E9877316D488E3CADFD65A6749BE39569C4B6460BB47F5E2584CCF79AD08B5DA04EEC20353554EB42BAE30D4B4FCA6C968469655BCF7F
  • AES key:0C394B409E44CC1C10BFA99B3FADFB3AF3474B7CA97303AA2774A044AFF23D6C
  • HMAC-SHA256校验部分:前32字节
  • IV:33-48字节(16字节)
  • 实际密文:剩余部分

2.5 解密内容类型

Quasar RAT解密以下类型配置信息:

  • 客户端标识(如"Office01")
  • RAT版本信息(如"1.4.1")
  • 外连IP:port
  • 文件路径名(如"SubDir")
  • 文件名(如"Client.exe")
  • 客户端唯一标识(UUID格式)
  • 启动项名称(如"Quasar Client Startup")
  • 日志文件路径名(如"Logs")
  • 公钥证书文件(用于TLS1.2通讯)

三、通讯数据解密技术

3.1 服务端RSA私钥提取

服务端初始化时生成"quasar.p12"文件(PKCS#12格式),包含私钥和证书组合。提取方法:

openssl pkcs12 -in quasar.p12 -out certificate.pem -nodes

3.2 TLS通讯加密分析

默认加密套件:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

特点:

  • ECDHE_RSA用于密钥协商
  • AES-256-GCM提供对称加密
  • SHA-384用于数据完整性验证

问题:此套件下即使获取RSA私钥也无法直接解密通讯数据,因为:

  1. 使用临时ECDHE密钥对
  2. RSA证书仅用于加密临时密钥对
  3. 实际数据流使用协商出的临时密钥加密

3.3 修改加密套件方法

为使RSA私钥可直接解密流量,需修改为以下套件之一:

  1. TLS_RSA_WITH_AES_128_CBC_SHA
  2. TLS_RSA_WITH_AES_256_CBC_SHA
  3. TLS_RSA_WITH_AES_128_GCM_SHA256
  4. TLS_RSA_WITH_AES_256_GCM_SHA384
  5. TLS_RSA_WITH_3DES_EDE_CBC_SHA
  6. TLS_RSA_WITH_RC4_128_SHA

3.3.1 通过组策略编辑器修改

  1. 运行gpedit.msc
  2. 导航至:计算机配置 -> 管理模板 -> 网络 -> SSL配置设置
  3. 双击"SSL密码套件顺序"
  4. 启用并输入优先套件列表(如TLS_RSA_WITH_AES_128_CBC_SHA
  5. 重启系统

注:部分Windows版本(如家庭版)可能无组策略编辑器,需通过注册表修改

3.3.2 通过注册表修改

  1. 运行regedit
  2. 导航至:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
  3. 创建/编辑Functions(REG_MULTI_SZ类型)
  4. 将目标套件(如TLS_RSA_WITH_AES_128_CBC_SHA)置于列表首位
  5. 重启系统

3.4 TLS通讯流量解密方法

使用Wireshark解密步骤:

  1. 将私钥保存为单独文件
  2. Wireshark首选项中配置解密
  3. 选择TLS_RSA_WITH_AES_256_CBC_SHA等支持解密的套件

3.5 反序列化处理

Quasar RAT通讯数据使用protobuf序列化,解密方法:

  1. 使用CyberChef工具
  2. 选择from hexprotobuf decode模块
  3. 解析网络链接等反序列化数据

四、总结

Quasar RAT的加解密技术要点:

  1. 配置信息使用AES加密,配合HMAC-SHA256校验
  2. 密钥派生使用PBKDF2函数
  3. 默认TLS通讯使用ECDHE密钥交换,难以直接解密
  4. 通过修改加密套件可使RSA私钥直接解密流量
  5. 通讯数据使用protobuf序列化,需特殊工具反序列化

掌握这些加解密技术对于分析Quasar RAT的行为和检测其活动至关重要。

Quasar RAT加解密技术深度解析 一、概述 Quasar RAT是一款远程访问木马,其加解密技术涉及配置信息解密和通讯流量解密两大部分。本文将详细剖析其加解密机制,包括AES解密流程、TLS1.2通讯解密方法等关键技术点。 二、配置信息解密技术 2.1 解密流程概述 Quasar RAT的配置信息解密位于初始化过程,使用AES算法解密经过Base64编码的字符串。待解密字符硬编码于样本中,解密流程如下: 密钥派生流程 Base64解码 HMAC-SHA256校验 AES解密 2.2 密钥派生流程 密钥派生使用PBKDF2函数和固定盐值生成两个密钥: 32字节AES密钥 64字节HMAC-SHA256密钥(用于消息完整性验证) 2.3 详细解密步骤 对硬编码的base64字符串进行解码,获得字节流A 字节流A前32字节用于HMAC-SHA256校验 字节流A中33-48字节(16字节)作为AES初始化向量(IV) 字节流A中48字节以后的内容为实际密文 2.4 解密示例 以解密外连地址IP:port为例: 初始密文: K9+5GQdWhtwvWqnr4WXcNt1Fuig7c0813j6YdzFtSI48rf1lpnSb45VpxLZGC7R/XiWEzPea0ItdoE7sIDU1VOtCuuMNS0/KbJaEaWVbz38= Base64解码后hex流: 2BDFB919075686DC2F5AA9EBE165DC36DD45BA283B734F35DE3E9877316D488E3CADFD65A6749BE39569C4B6460BB47F5E2584CCF79AD08B5DA04EEC20353554EB42BAE30D4B4FCA6C968469655BCF7F AES key: 0C394B409E44CC1C10BFA99B3FADFB3AF3474B7CA97303AA2774A044AFF23D6C HMAC-SHA256校验部分:前32字节 IV:33-48字节(16字节) 实际密文:剩余部分 2.5 解密内容类型 Quasar RAT解密以下类型配置信息: 客户端标识(如"Office01") RAT版本信息(如"1.4.1") 外连IP:port 文件路径名(如"SubDir") 文件名(如"Client.exe") 客户端唯一标识(UUID格式) 启动项名称(如"Quasar Client Startup") 日志文件路径名(如"Logs") 公钥证书文件(用于TLS1.2通讯) 三、通讯数据解密技术 3.1 服务端RSA私钥提取 服务端初始化时生成"quasar.p12"文件(PKCS#12格式),包含私钥和证书组合。提取方法: 3.2 TLS通讯加密分析 默认加密套件: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 特点: ECDHE_ RSA用于密钥协商 AES-256-GCM提供对称加密 SHA-384用于数据完整性验证 问题:此套件下即使获取RSA私钥也无法直接解密通讯数据,因为: 使用临时ECDHE密钥对 RSA证书仅用于加密临时密钥对 实际数据流使用协商出的临时密钥加密 3.3 修改加密套件方法 为使RSA私钥可直接解密流量,需修改为以下套件之一: TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_RC4_128_SHA 3.3.1 通过组策略编辑器修改 运行 gpedit.msc 导航至:计算机配置 -> 管理模板 -> 网络 -> SSL配置设置 双击"SSL密码套件顺序" 启用并输入优先套件列表(如 TLS_RSA_WITH_AES_128_CBC_SHA ) 重启系统 注:部分Windows版本(如家庭版)可能无组策略编辑器,需通过注册表修改 3.3.2 通过注册表修改 运行 regedit 导航至: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 创建/编辑 Functions (REG_ MULTI_ SZ类型) 将目标套件(如 TLS_RSA_WITH_AES_128_CBC_SHA )置于列表首位 重启系统 3.4 TLS通讯流量解密方法 使用Wireshark解密步骤: 将私钥保存为单独文件 Wireshark首选项中配置解密 选择 TLS_RSA_WITH_AES_256_CBC_SHA 等支持解密的套件 3.5 反序列化处理 Quasar RAT通讯数据使用protobuf序列化,解密方法: 使用CyberChef工具 选择 from hex 和 protobuf decode 模块 解析网络链接等反序列化数据 四、总结 Quasar RAT的加解密技术要点: 配置信息使用AES加密,配合HMAC-SHA256校验 密钥派生使用PBKDF2函数 默认TLS通讯使用ECDHE密钥交换,难以直接解密 通过修改加密套件可使RSA私钥直接解密流量 通讯数据使用protobuf序列化,需特殊工具反序列化 掌握这些加解密技术对于分析Quasar RAT的行为和检测其活动至关重要。