akarrys/quasar-rat-malware-analysis

# Quasar RAT 恶意软件分析 ## 概述 本项目记录了在隔离的 Windows 虚拟机中执行的疑似 Quasar 远程访问木马 (RAT) 的动态分析。 调查重点包括持久化机制、进程活动、网络通信、妥协指标 (IOC) 以及 MITRE ATT&CK 映射。 ## 展示的技能 - 恶意软件分析 - 威胁狩猎 - 数字取证 - IOC 提取 - Windows 持久化分析 - 网络流量分析 - MITRE ATT&CK 映射 ## 使用的工具 - Process Explorer - Process Monitor - TCPView - Wireshark - Autoruns - PowerShell - Windows Task Scheduler ## 关键发现 ### 持久化 该恶意软件通过计划任务建立持久化： **任务名称：** `hgfhjjhgj` **执行的文件：** `C:\Users\john\AppData\Roaming\gfhgfgjgf.exe` ### 网络活动 观察到与以下地址的出站通信： - 45.88.186.209 - 207.246.91.177 ### 妥协指标 | 类型 | 值 | |--------|--------| | IP Address | 45.88.186.209 | | IP Address | 207.246.91.177 | | Scheduled Task | hgfhjjhgj | | Executable | gfhgfgjgf.exe | ## MITRE ATT&CK | 技术 | 描述 | |------------|-------------| | T1053.005 | Scheduled Task | | T1547 | Boot or Logon Persistence | | T1036 | Masquerading | | T1071 | Application Layer Protocol | ## 报告 代码库中包含完整的技术报告。 ## 免责声明 ## 所有恶意软件的执行和分析均在隔离的实验室环境中进行，仅用于教育和防御性安全研究目的。 # 分析证据 ## 基准环境 ### 引爆前的干净 Windows 虚拟机  ### 基准安全配置  ## 恶意软件执行 ### 提取用于分析的样本  ### 执行前验证  ### 观察到的进程创建  ## 动态分析 ### 准备好捕获的 Process Monitor  ### 可疑的父/子进程关系  ## 持久化机制 ### 执行前的计划任务  ### 创建的恶意计划任务  ### 计划任务 XML 配置  ## 妥协指标 ### 可疑的持久化工件 

标签：AI合规, DAST, DNS 解析, IP 地址批量处理, 域环境安全, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本