Remcos RAT流量分析报告

最新推荐文章于 2023-11-20 15:52:29 发布
原创 最新推荐文章于 2023-11-20 15:52:29 发布 · 1.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了远控工具的使用与检测方案。使用时,运行根目录exe文件,在相关页面设置连接信息生成木马,设置监听端口和密码,等待靶机运行上线。检测方面,可从端口心跳包、数据包占比、流量情况、标志位、特殊协议及固定字节等多方面进行。

使用方法

1.运行根目录下的exe文件,在Agent Builder页面设置连接ip、端口、密码,生成exe木马,默认端口为2404
在这里插入图片描述
2.在Local Settings页面设置监听端口和密码
在这里插入图片描述
3.等待靶机运行木马即可上线
在这里插入图片描述

检测方案

1.可检测从2404端口传递的心跳包,时间间隔为1s,且心跳包的协议为TCP和104apci交替出现
在这里插入图片描述
2.检测端数据包占比,数据包长度为40-159的占比为98.93%
在这里插入图片描述
3.当远控工具产生交互行为时,上行流量大于下行流量
上行流量数据包统计:
在这里插入图片描述
下行流量数据包统计:
在这里插入图片描述
4.所有数据包都带有PSH和SYN字段
PSH标志位数据包总数为1583、占100%
在这里插入图片描述
SYN标志位数据包总数为1583,占100%
在这里插入图片描述
5.监控特殊协议104apci,占比为51.86%
在这里插入图片描述
6.监控固定字节为
当它发送文件和信息时,会发送[DataStart]字符串,且为16进制表示
在这里插入图片描述
然后加密程序加密,加密程序如下所示
在这里插入图片描述
加密后的数据
在这里插入图片描述
与流量里的数据相同
在这里插入图片描述

流行的 LNK + PowerShell 以及 HTA + PowerShell 混淆,分别来自 RemcosRAT 和 LokiBot
CuiXY's Blog
11-12 660
RemcosRAT 使用 lnk 文件作为初始访问,恶意 lnk 文件的 Target 参数插入了经过混淆的 PowerShell 代码,并且超出了显示长度限制
技术恶意软件分析报告:基于 Python 的 RAT 恶意软件
技术超强的网络安全平台
05-06 943
无论是个人还是工作,人们越来越依赖 Discord 等通讯平台,这为网络犯罪分子创造了新的攻击面。恶意软件开发者正在迅速适应这些平台,将其攻击活动嵌入到常用且受信任的环境中。本报告调查了一种基于 Python 的远程访问木马 (RAT),该木马通过将 Discord 转变为一个操作指挥中心,体现了这一趋势。它在规避或混淆技术方面并不特别先进,但其优势在于其简单易用以及对合法服务和库的有效利用。它利用了 Discord 流量通常未经过滤的宽松网络环境,并使用了广泛使用的 Python 库来融入良性系统活动。
NanoCore RAT流量分析报告
DFMASTER的博客
05-30 1735
使用方法 1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896 2.设置监听端口,默认有1337、1605和53896 3.等待受控靶机执行生成的木马即可上线 检测方案 1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s 2.检测端数据包占比,数据包长度40-159的占比为97.51% 3.当远控工具...
oracle rat结果分析比较,Oracle RAT介绍及最佳实践
weixin_39537680的博客
04-03 506
Oracle Real Application Testing(简称RAT)是11g的一个重要的feature,其推出的初衷是为了满足数据中心变更后有很好的方法和工具去衡量这些变更对于生产环境的应用带来的影响,更好的评估诸如硬件升级,软件升级,架构变化等等对于客户应用程序的影响。Real Application Testing其实有两个解决方法,分别是Database Replay和SPA(SQL...
DBatLoader 与 Remcos RAT 横扫东欧
ZL_1618的博客
08-11 285
研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT,并且主要针对东欧的机构与企业进行攻击。DBatLoader通常会滥用公有云基础设施来部署恶意软件,而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。攻击者常常会通过钓鱼邮件分发远控木马,也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本URL 进行传播。
精选资源
Star Rat 3.1完整源码.rar_Star Rat 3.1 源码_Star Rat3.1_neckqvc_rat源码_免
07-14
Star Rat 3.1源码 免杀可以自己编译
MFL-RAT:多类少样本学习方法在RAT流量检测中的应用
### MFL - RAT:多类少样本学习方法在RAT流量检测中的应用 #### 1. 引言 在网络安全领域,远程访问木马(RAT)流量检测是一项重要任务。然而,现有的加密恶意流量检测方法大多需要大量标记样本进行模型训练,面对...
MBTree:基于行为树的加密RAT检测
最新发布
09-29
MBTree在处理网络流量时,不仅关注网络行为的特定方面,还考虑了流量的上下文和序列特征,这在检测类似加密RAT这样的复杂攻击时是非常有用的。 MBTree的实现和评估涉及到了多个数据集,这些数据集包含了不同的网络...
精选资源
AsyncRAT-C-Sharp:Windows C#(RAT)的开源远程管理工具
05-25
客户端反分析(可配置) 服务器控制的更新 客户端反恶意软件启动 服务器配置编辑器 服务器多端口接收器(可配置) 服务器缩略图 服务器二进制生成器(可配置) 服务器混淆器(可配置) 以及更多! 技术细节 此...
Oracle Database RAT介绍
08-30
介绍Oracle数据库的性能优化选件RAT
终结者远控Rat2.1告别版源码
06-16
终结者远控Rat2.1告别版源码,界面不错!!!! 微群:http://q.weibo.com/447933
IEC104规约及报文解释比较全面的
07-06
比较全面的104文档、本人一直使用这个文档还是解释的比较好的自己做了修改的优化
104规约报文说明
09-26
目 录 1 前 言 1 一、IEC60870-5-104应用规约数据单元基本结构 2 1.1 应用规约数据单元APDU 2 1.2 应用规约控制信息APCI 2 1.3 应用服务数据单元ASDU 3 二、IEC60870-5-104规约的过程描述 5 三、IEC60870-5-104规约源码分析(报文分析) 5 3.1启动连接(U格式) 5 3.2启动连接确认(U格式) 6 3.3总召唤(I格式) 6 3.4总召唤确认(I格式) 6 3.5数据确认(S格式) 6 3.6总召唤结束(I格式) 7 3.7测试连接(U格式) 7 3.8测试连接确认(U格式) 7 3.9.遥信信息(I格式) 7 3.9遥测信息(I格式) 10 3.10 SOE信息(I格式) 11
令人毛骨悚然:用Python编写的RAT
02-19
令人毛骨悚然:用Python编写的RAT
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4148
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
oracle rat database replay
congse3359的博客
09-29 250
rat的两个主要组件database replay和sql performance analyzer(SPA),其中database reply可capture生产库的工作负载,并replay到测试库上,以主动发现升级问题. ...
oracle rat结果分析比较,Oracle RAT- Real Application Testing
weixin_42300398的博客
04-03 432
Oracle RAT- Real Application TestingRAT 是Oracle 11g的一个新特性.它的目的是评估数据的性能。当我们对数据库进行升级或改动一些配置,换数据库服务器时可以对改动之前和改动之后的性能进行对比.要使两者的性能具有可比性,并且切合实际。就需要先在生产环境中capture某一个时间段的所有操作。然后把它们在测试环境中进行replay.一.Capture步骤创建...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值