NanoCore RAT流量分析报告
使用方法
1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896
2.设置监听端口,默认有1337、1605和53896
3.等待受控靶机执行生成的木马即可上线
检测方案
1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s
2.检测端数据包占比,数据包长度40-159的占比为97.51%
3.当远控工具产生交互行为时,长行流量大于下行流量。
上行流量数据包统计:
下行流量数据包统计:
4.所有数据包都带有PSH和SYN字段
PSH标志位数据包总数为4949,占100%
SYN标志位包总数为4949,占100%
5.当靶机沦陷时,会创建特征文件
特征文件路径为C:\Users\用户名\AppData\Roaming\A51FC6C9-0329-4671-9625-9A170C2428EB(不固定但格式固定)\Logs\用户名