NanoCore RAT流量分析报告

使用方法

1.运行根目录下的NanoCore.exe，在Builder里设置Host为攻击机ip与利用端口，默认端口为53896

2.设置监听端口，默认有1337、1605和53896

3.等待受控靶机执行生成的木马即可上线

检测方案

1.可检测从53896端口传递的心跳包，时间间隔为1s、2s或者3s
2.检测端数据包占比，数据包长度40-159的占比为97.51%

3.当远控工具产生交互行为时，长行流量大于下行流量。
上行流量数据包统计：

下行流量数据包统计：

4.所有数据包都带有PSH和SYN字段
PSH标志位数据包总数为4949，占100%

SYN标志位包总数为4949，占100%

5.当靶机沦陷时，会创建特征文件
特征文件路径为C:\Users\用户名\AppData\Roaming\A51FC6C9-0329-4671-9625-9A170C2428EB（不固定但格式固定）\Logs\用户名