NanoCore RAT流量分析报告

最新推荐文章于 2025-03-08 20:09:22 发布
原创 最新推荐文章于 2025-03-08 20:09:22 发布 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了NanoCore远控工具的使用与检测方案。使用时需运行NanoCore.exe,设置攻击机ip、利用端口和监听端口,等待受控靶机执行木马上线。检测可从心跳包、数据包占比、上下行流量、标志位字段以及特征文件等方面入手。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用方法

1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896
在这里插入图片描述
2.设置监听端口,默认有1337、1605和53896
在这里插入图片描述
3.等待受控靶机执行生成的木马即可上线
在这里插入图片描述

检测方案

1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s
2.检测端数据包占比,数据包长度40-159的占比为97.51%
在这里插入图片描述
3.当远控工具产生交互行为时,长行流量大于下行流量。
上行流量数据包统计:
在这里插入图片描述
下行流量数据包统计:
在这里插入图片描述
4.所有数据包都带有PSH和SYN字段
PSH标志位数据包总数为4949,占100%
在这里插入图片描述
SYN标志位包总数为4949,占100%
在这里插入图片描述
5.当靶机沦陷时,会创建特征文件
特征文件路径为C:\Users\用户名\AppData\Roaming\A51FC6C9-0329-4671-9625-9A170C2428EB(不固定但格式固定)\Logs\用户名
在这里插入图片描述

恶意软件制造者使用“异国情调”编程语言
fyz2021的博客
07-27 325
研究人员发现,恶意软件作者越来越多地使用很少被发现的编程语言,如 Go、Rust、Nim 和 DLang,以创建新工具并阻碍分析。 根据黑莓研究和情报团队周一发布的一份报告,这四种语言的使用正在增加被识别的恶意软件家族的数量。该团队选择了这四种语言进行检查,部分原因是它们适合其检测方法,还因为这些语言有强大的社区支持,可以被认为是更发达的。 “这些不常见的编程语言不再像以前想象的那样很少使用,”根据这篇文章。“威胁行为者已开始采用它们来重写已知的恶意软件系列或为新的恶意软件集创建工具。” 具体来说
远控NanoCore RAT样本分析
PwnGuo的博客
06-28 3553
NanoCore RAT是在.Net框架中开发的有名的远控软件,网络环境中大量利用各种手段传播此软件,有时巧妙的构造有效的绕过杀软在进一步通过服务端进行功能模块的更新,深受黑客喜爱,从蜜罐捕获相应的样本做进一步分析。 客户端上线通知,显示主机相关信息: 客户端上线通知 插件功能丰富,键盘监控,实时视频操作,语音,命令行控制等完全控制远程主机。 模块插件 客户端一键生成非常非常方便,...
Remcos RAT流量分析报告
DFMASTER的博客
05-30 1784
使用方法 1.运行根目录下的exe文件,在Agent Builder页面设置连接ip、端口、密码,生成exe木马,默认端口为2404 2.在Local Settings页面设置监听端口和密码 3.等待靶机运行木马即可上线 检测方案 1.可检测从2404端口传递的心跳包,时间间隔为1s,且心跳包的协议为TCP和104apci交替出现 2.检测端数据包占比,数据包长度为40-159的占比...
网络安全人士必知的黑客工具NanoCore
m0_61869253的博客
03-08 944
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 7147
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
Nanocore恶意脚本分析
Y5neKO's blog
09-13 1084
经过前面分析可以看到,该样本一共套了四层第一层vbs第二层vbs第三层powershell第四层Nanocore RAT每一层之间互相配合最终以无文件落地的形式执行了C2文件,中间还是有挺多值得借鉴的地方。
【研究型论文】MBTree: Detecting Encryption RATs Communication Using Malicious Behavior Tree(CCF-A)
一个努力生活的人的博客
11-14 1171
MBTree: Detecting Encryption RATs Communication Using Malicious Behavior Tree
挂载iso_ISO镜像文件中发现恶意软件
weixin_28825959的博客
12-31 296
Threat Research Labs研究人员发现一起自2019年4月开始的垃圾邮件攻击活动。该攻击活动中将含有下一阶段payload的ISO镜像文件作为附件在垃圾邮件活动中进行传播。垃圾邮件攻击活动该垃圾邮件活动开始于2019年4月,邮件正文是关于发票的消息,用ISO硬盘镜像文件作为附件。邮件中文中的消息表明该攻击活动并不针对某个个人或企业。图1是含有ISO文件作为附件的垃圾邮件示例...
远控杂说---总有一款适合你
小英雄颂人头
03-28 2385
前言 我在佛前苦求了几千年神器,愿意用几世换我们一世情缘,希望可以感动上天。 你我相识,我们一同探索开源神器,如果喜欢小编,就赶紧关注我们, 让我们一起成长吧 部分图片 下面的图片展示了一部分远控的图片,里面包含了很多很多好玩有不错的事情。 远控大集合列表 优秀神器大杂烩 https://github.com/quasar/QuasarRAT https://github.co...
[漏洞样本分析]CVE-2018-0802
r250414958的博客
11-01 840
环境: Win7(专业版) office 2007 (完全版:更新到sp3补丁\修复eqnedt补丁) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/rxwx/CVE-2018-0802 漏洞背景: 在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的...
APT34的rx.exe工具 流量分析报告
DFMASTER的博客
05-30 491
工具概述 此工具是APT34工具包里的一个模块,原型是IntelliAdmin Remote Execute v1.0。用于远程执行。 使用方法 rx.exe -h [host] -u [user] -p [pass] [option] [filename] [arguments] 使用效果: 使用192.168.120.232远程主机上的cmd.exe 效果截图: 流量分析 1.协议协商...
gh0st远控流量分析报告
DFMASTER的博客
05-29 2239
使用方法 1.运行编译后bin目录下的gh0st.exe文件,Settinas为设置监听选项,Build为创建木马。 2.设置监听端口和攻击机ip,并记录上线字段。 3.复制之前的上线字段,点击生成服务器即可生成木马。 4.等待受害者靶机运行木马即可。 检测方案 1.检测心跳包,时间间隔为3分钟。 2.上行流量大于下行流量 上行数据包统计 下行数据包统计 3.检测Magic字段...
Bifrost RAT 流量分析报告
DFMASTER的博客
05-30 1205
使用方法 1.在Builder页面设置IP、端口、密码,然后Build生成木马 2.设置密码和监听端口,当受控靶机运行木马时即可上线 检测方案 1.检测心跳包,时间间隔为15s,为TCP的三个包。时间间隔根据不同版本而不同。版本为Birost1.2.1d的时间间隔为12秒 2.检测短数据包,数据长度为40-159的数据包占比为79.98% 3.当远控工具产生交互行为时,上行流量大于下...
QuasarRAT流量分析报告
DFMASTER的博客
05-29 1573
使用方法 1.在根目录运行build-debug.bat和build-release.bat 2.运行在Bin/Release目录下的Quasar.exe 3.Builder建立木马,Connection Hosts设置IP,端口自定义 4.Setting listening之前自定义的端口 5.等待目标靶机运行木马即可上线 检测方案 1.检测心跳包,时间间隔为25秒 2.当远控工具...
上兴远控流量分析报告
DFMASTER的博客
05-29 972
使用方法 1.在生成页面设置ip、端口,然后生成木马 2.设置监听端口 3.等待受控靶机运行木马即可上线 检测方案 1.检测心跳包,时间间隔为120秒(可变) 2.上行流量大于下行流量 上行数据包统计 下行数据包统计 3.统计PSH标志包和SYN标志包占比 数据包总数831,PSH标志包总数831,占比100% 数据包总数831,SYN标志包总数831,占比100% 4.建立连...
PCShare流量检测报告
DFMASTER的博客
05-29 921
使用方法 1.在创建客户页面设置IP、端口,生成木马 2.在刷新IP页面设置监听IP和监听端口 3.等待受控靶机运行木马即可上线 检测方案 1.检测心跳包,此工具的心跳包包括TCP协议和HTTP协议,时间间隔为50秒 2.当远控工具产生交互行为时,上行流量会大于下行流量 上行数据包统计: 下行数据包统计: 3.PSH标志包和SYN标志包占比增加 PSH标志包总数为916,占100%...
MinIO mc 客户端20250722
最新发布
07-22
MinIO mc 客户端20250722
Ghost RAT DarkComet PoisonIvy NetWire BlackShades njRAT XtremeRAT NanoCore RAT Quasar RAT AsyncRAT这些免杀马的代码举例说明介绍
05-18
这些都是远程访问工具(Remote Access Tool,RAT),也称为远控或后门,它们的设计初衷是用于合法的远程管理和支持,但是黑客和攻击者也可以使用它们来远程控制受害者的计算机。 这些 RAT 工具的共同特点是它们都可以在被感染的计算机上运行,并在不被察觉的情况下监控和控制被感染的计算机。这些 RAT 工具广泛应用于网络犯罪和间谍活动中。 这些 RAT 工具的免杀能力通常是通过以下方式实现的: 1. 使用加壳技术:这些 RAT 工具经常使用加壳技术来隐藏其真实性质,使其在被杀毒软件扫描时难以识别。 2. 使用虚拟化技术:这些 RAT 工具可以使用虚拟化技术来创建虚拟环境,使其在被杀毒软件扫描时无法被检测。 3. 使用反调试技术:这些 RAT 工具通常会使用反调试技术来防止被调试器拦截,使其在被分析时更加困难。 总之,这些 RAT 工具的使用给网络安全带来了巨大的威胁,我们需要始终保持警惕,加强网络安全防护。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值