计算机木马（又名间谍程序）是一种后门程序，常被黑客用作控制远程计算机的工具，很多木马都是基于远控程序开发的，只是增强了隐蔽性和进程保护功能。

Quasar远程访问木马

Quasar是一种公开可用的开源远程访问木马（RAT），主要针对Windows操作系统。Quasar通过恶意附件在网络钓鱼电子邮件中分发。据悉，这个RAT是用C＃编程语言编写的。

Quasar最初是由GitHub用户 MaxXor 开发，用于合法用途。然而，该工具此后被黑客用于各种网络间谍活动。Quasar于2014年7月首次发布，名为“xRAT 2.0”，后来于2015年8月更名为“Quasar”。

该远程访问木马使用两种方法来实现自身的持久性——计划任务和注册表项。

恶意功能

Quasar的恶意功能十分强大，主要包括：

• 管理任务和文件；

• 下载、上传和检索文件；

• 终止连接和终止进程；

• 配置和构建客户端可执行文件；

• 压缩和加密通信；

• 执行计算机命令；

• 打开远程桌面连接；

• 捕获屏幕截图并录制网络摄像头内容；

• 撤消代理和编辑注册表

• 监视用户的行为；

• 键盘记录和窃取密码。

Quasar木马涉及一系列网络间谍活动

DustSky反政府运动

2017年1月，知名网络安全公司Palo Alto Networks观察到了巴勒斯坦加沙地区发生的一系列网络攻击活动——DustSky，针对中东政府机构。该活动首先在目标设备中安装Downeks下载器，进而通过该下载器部署Quasar木马。

Quasar木马蔓延至乌克兰

2018年1月，攻击者利用Quasar RAT和一个名为VERMIN的自定义恶意软件攻击乌克兰国防部。恶意软件最初通过诱饵文件分发，攻击旨在窃取系统内的机密信息、用户名、击键和剪贴板数据。

Quasar和NetWiredRC木马的捆绑使用

2018年2月，研究人员观察到一起恶意软件活动，该活动通过恶意RTF文件分发Quasar RAT和NetWiredRC RAT，作为最终有效恶意载荷。

该恶意RTF文档中附有包含宏的Microsoft Excel工作表。RTF文档会强制用户启用宏，并在该宏上执行PowerShell命令以下载恶意VBS文件。随后VBS文件终止所有正在运行的Microsoft Word和Excel进程，最后下载有效负载。

APT10使用PlugX和Quasar RAT

2019年5月，enSilo的专家观察到网络间谍组织APT10使用PlugX和Quasar RAT这两款新的恶意软件装载机对东南亚的政府和私人组织发动攻击。这些木马工具会部署恶意文件，如Jjs.exe、jli.dll、Msvcrt100.dll和svchost.bin，以分发其他有效负载。

本文转载自：mottoin 

原文链接：http://www.mottoin.com/detail/4174.html

原文作者：gump