QuasarRAT流量分析报告
使用方法
1.在根目录运行build-debug.bat和build-release.bat
2.运行在Bin/Release目录下的Quasar.exe
3.Builder建立木马,Connection Hosts设置IP,端口自定义
4.Setting listening之前自定义的端口
5.等待目标靶机运行木马即可上线
检测方案
1.检测心跳包,时间间隔为25秒
2.当远控工具产生交互行为时,上行流量大于下行流量
上行数据包统计
下行数据包统计
3.PSH标志包占比增加
PSH标志包总数为1891,占比96.03%
SYN标志包总数为1891,占比96.03%
4.在建立连接时,有个HTTP包明文传输信息