Quasar(類星體)是一個使用C#開發的遠程管理工具(Remote Administration Tool),當然也有人稱呼它為後門程序。
說到遠程管理軟體,我相信所有同學都用過Windows的遠程桌面、VNC、Teamviewer,以及Linux系統下的SSH等。這些軟體可以讓管理員遠程管理託管在IDC機房中的伺服器設備,而不必親自坐在那個常年18度恆溫、噪聲和輻射嚴重超標、完全不適合人類生存的機房當中。
因此,當十多年前我首次開始使用灰鴿子的時候,心中就有一個巨大的疑問,那就是它也完全可以當作一個遠程管理工具來正向使用,而不必被稱為後門程序。
時至今日,後門和RAT軟體的區別已經開始變得模糊。同樣的軟體工具,如果你用它來做日常管理也可以,當然惡意的用戶也會用它來做那些壞事。
Quasar 是個開源免費的針對Windows系統的RAT軟體。其作者對它的定位是一個系統管理工具,或者是老闆對員工的監督軟體。從特性方面來看,它具有輕量、快速、穩定、流量加密等有諸多優點,但從具體的功能來講,傳統後門程序的功能它是一個也不缺少,甚至還更多。
從2018年開始,有安全研究機構發現,多個黑客組織都在使用定製的Quasar變體來進行APT攻擊。由於Quasar是個開源項目,所以任何人都可以在Github上獲得它的源碼,並進行定製和修改。當然,如果你在自己的電腦上直接運行其Github上的版本,那麼windows系統自帶的defender軟體會有效的識別和查殺這個「惡意」程序。
研究人員發現,在被捕獲的Quasar變體樣本當中,攻擊者使用了多級加載、多重混淆、定製加密算法、進程注入、模塊化、盜用合法證書等多種逃避安全檢測的手段。但安全研究機構也表示,目前基於AI驅動的檢測機制對該後門程序具有超過三年的預測優勢,因此只要最終戶及時安裝和更新了自己的防病毒軟體,就可以有效防禦來自它的威脅。
Quasar項目的開發始終都非常活躍,分叉數量也非常之高。作為安全研究人員,我們在分析惡意程序的時候,經常會苦於沒有研究實例,但Quasar給我們提供了一個很好的現成樣本。
最後,說一個我的個人觀點。Quasar在某些國家被認為是合法軟體,而在另外一些國家則剛好相反。從技術的角度來說,軟體其實並沒有善惡之分,但使用的人和目的卻大相逕庭。就像武器可以用來犯罪,但也可以用來保家衛國一樣。惡意的恐怕從來都不是軟體本身,而是使用它的人!