从防御者视角拆解Quasar-Rat手把手教你用EDR规则检测这款常见远控木马在当今企业安全防护体系中开源远控工具被恶意利用已成为不容忽视的威胁。作为一款功能全面的远程管理工具Quasar-Rat因其模块化设计和易用性频繁出现在攻击链的持久化阶段。本文将聚焦防御视角通过分析其技术特征为安全团队提供可落地的检测方案。1. Quasar-Rat的技术特征解析1.1 网络通信特征该工具采用独特的协议栈组合传输层基于TCP协议同时支持IPv4/IPv6双栈序列化方式Protocol Buffers二进制序列化特征值为0A开头的数据帧压缩算法QuickLZ实现数据压缩可通过Qlz魔数识别加密方式TLS 1.2加密通信但早期版本存在弱密码套件问题典型流量特征示例# Suricata规则片段 alert tcp any any - any any (msg:Suspicious Quasar-Rat Protocol Buffer Header; content:|0A|; depth:1; sid:1000001; rev:1;)1.2 主机行为特征通过动态分析发现其典型行为模式行为类型具体表现检测关键点持久化创建Run注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Run进程注入注入explorer.exe非微软签名模块加载数据收集访问浏览器密码文件%AppData%\..\Local\Google\Chrome\User Data注意实际检测需结合多个低熵指标构建行为链单一指标易产生误报2. 基于EDR的检测规则开发2.1 YARA规则编写针对客户端程序的特征检测rule Quasar_RAT { meta: description Detects Quasar RAT client author DFIR Team strings: $str1 Quasar wide ascii $str2 Client-built.exe $op1 { 55 8B EC 83 EC 20 53 56 57 8B F9 8B 4D 08 } condition: 2 of ($str*) or $op1 }2.2 Sigma规则示例适用于SIEM系统的检测逻辑title: Quasar RAT Registry Persistence id: a1b2c3d4-5678-90ef-ghij-klmnopqrstuv status: experimental description: Detects Quasar RAT creating Run registry key references: - https://attack.mitre.org/techniques/T1547/001/ author: SOC Analyst logsource: product: windows category: registry_set detection: selection: TargetObject|contains: - \Software\Microsoft\Windows\CurrentVersion\Run\ - \Software\Microsoft\Windows\CurrentVersion\RunOnce\ Details|contains: Client-built condition: selection falsepositives: - Legitimate software updates level: high3. 网络流量检测方案3.1 Suricata规则优化针对协议特征的深度检测alert tcp any any - any any (msg:Potential Quasar-RAT QuickLZ Compression; content:Qlz; depth:3; pcre:/^.{4}\x00.{4}\x00.{4}\x00/s; flow:established; sid:1000002; rev:2;)3.2 网络行为指标建议监控以下异常模式周期性心跳包默认300秒间隔非标准端口上的TLS协商高压缩比数据流QuickLZ压缩率70%4. 防御体系增强建议4.1 企业防护策略应用控制阻止未签名的.NET程序执行内存防护启用AMSI扫描PowerShell和.NET活动网络过滤拦截与No-IP动态域名的通信4.2 检测规则调优技巧使用熵值分析识别加密流量中的协议特征组合多个低置信度指标构建高准确率检测# 伪代码示例 def is_quasar(process): return (process.has_registry(Run) and process.loads_dll(QuickLZ.dll) and process.connects_to(port4782))在实战中我们发现攻击者常修改默认配置规避检测。某次事件响应中攻击者将心跳间隔改为随机值200-400秒但通过协议特征仍成功识别。建议维护特征库时保留至少三个正交检测维度。
从防御者视角拆解Quasar-Rat:手把手教你用EDR规则检测这款常见远控木马
从防御者视角拆解Quasar-Rat手把手教你用EDR规则检测这款常见远控木马在当今企业安全防护体系中开源远控工具被恶意利用已成为不容忽视的威胁。作为一款功能全面的远程管理工具Quasar-Rat因其模块化设计和易用性频繁出现在攻击链的持久化阶段。本文将聚焦防御视角通过分析其技术特征为安全团队提供可落地的检测方案。1. Quasar-Rat的技术特征解析1.1 网络通信特征该工具采用独特的协议栈组合传输层基于TCP协议同时支持IPv4/IPv6双栈序列化方式Protocol Buffers二进制序列化特征值为0A开头的数据帧压缩算法QuickLZ实现数据压缩可通过Qlz魔数识别加密方式TLS 1.2加密通信但早期版本存在弱密码套件问题典型流量特征示例# Suricata规则片段 alert tcp any any - any any (msg:Suspicious Quasar-Rat Protocol Buffer Header; content:|0A|; depth:1; sid:1000001; rev:1;)1.2 主机行为特征通过动态分析发现其典型行为模式行为类型具体表现检测关键点持久化创建Run注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Run进程注入注入explorer.exe非微软签名模块加载数据收集访问浏览器密码文件%AppData%\..\Local\Google\Chrome\User Data注意实际检测需结合多个低熵指标构建行为链单一指标易产生误报2. 基于EDR的检测规则开发2.1 YARA规则编写针对客户端程序的特征检测rule Quasar_RAT { meta: description Detects Quasar RAT client author DFIR Team strings: $str1 Quasar wide ascii $str2 Client-built.exe $op1 { 55 8B EC 83 EC 20 53 56 57 8B F9 8B 4D 08 } condition: 2 of ($str*) or $op1 }2.2 Sigma规则示例适用于SIEM系统的检测逻辑title: Quasar RAT Registry Persistence id: a1b2c3d4-5678-90ef-ghij-klmnopqrstuv status: experimental description: Detects Quasar RAT creating Run registry key references: - https://attack.mitre.org/techniques/T1547/001/ author: SOC Analyst logsource: product: windows category: registry_set detection: selection: TargetObject|contains: - \Software\Microsoft\Windows\CurrentVersion\Run\ - \Software\Microsoft\Windows\CurrentVersion\RunOnce\ Details|contains: Client-built condition: selection falsepositives: - Legitimate software updates level: high3. 网络流量检测方案3.1 Suricata规则优化针对协议特征的深度检测alert tcp any any - any any (msg:Potential Quasar-RAT QuickLZ Compression; content:Qlz; depth:3; pcre:/^.{4}\x00.{4}\x00.{4}\x00/s; flow:established; sid:1000002; rev:2;)3.2 网络行为指标建议监控以下异常模式周期性心跳包默认300秒间隔非标准端口上的TLS协商高压缩比数据流QuickLZ压缩率70%4. 防御体系增强建议4.1 企业防护策略应用控制阻止未签名的.NET程序执行内存防护启用AMSI扫描PowerShell和.NET活动网络过滤拦截与No-IP动态域名的通信4.2 检测规则调优技巧使用熵值分析识别加密流量中的协议特征组合多个低置信度指标构建高准确率检测# 伪代码示例 def is_quasar(process): return (process.has_registry(Run) and process.loads_dll(QuickLZ.dll) and process.connects_to(port4782))在实战中我们发现攻击者常修改默认配置规避检测。某次事件响应中攻击者将心跳间隔改为随机值200-400秒但通过协议特征仍成功识别。建议维护特征库时保留至少三个正交检测维度。
