gestion-remota-windows-con-quasar-rat-5

Quasar RAT es una herramienta ligera de administración remota para Windows, escrita en C#. Podemos utilizarla para soporte remoto común o realizar monitorización de actividades para nuestros empleados o nuestra familia.

Se trata de una herramienta liviana, opensource y gratuita que funciona bien y tiene diferentes módulos. No entro en el uso que cada uno haga de la herramienta, cada uno sabrá si puede o debe desplegar este tipo de solución sin incurrir en problemas legales o familiares.

Quasar RAT facilita la administración remota de Windows

De la misma forma que otros programas nos permiten controlar windows mediante un escritorio remoto RDP. Quasar va mucho más allá, permitiéndonos una gestión remota que incluye los siguientes conceptos:

  • Gestor de tareas
  • Gestor de archivos
  • Gestor de arranque
  • Escritorio remoto
  • Shell remota
  • Ejecución remota
  • Información de sistema
  • Editor de registro remoto
  • Keylogger
  • Proxy inverso SOCKS5
  • Recuperación de contraseñas (para navegadores comunes y clientes FTP)
  • Control remoto del sistema para apagar, reiniciar o dejarlo en espera

Hay más características, como por ejemplo el soporte para TCP/IPv4 y v6, cifrado TLS para proteger las conexiones, serialización de red rápida (protocol buffer) para mayor rendimiento, etc.

Ambas partes de la conexión se autentican mediante el saludo TLS (handshake). El servidor permite únicamente certificados de clientes que hayan sido firmados por el propio servidor, mientras el cliente permite únicamente como servidor aquel que fue utilizado para firmar el certificado cliente.

Descarga

Puedes descargar la herramienta en versión estable 1.3.0.0 en Github. También hay una versión snapshot en desarrollo en appveyor.

Compatibilidad

  • Windows 10
  • Windows Server 2019
  • Windows Server 2016
  • Windows 8/8.1
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008
  • Windows Vista

A nivel de requisitos, solamente es necesario contar con .NET Framework 4.5.2 o posterior.

¿Remote Access Tool o un troyano? ¡Depende!

El autor anuncia la herramienta como una suite para diferentes propósitos, desde el uso diario para labores de administración remota hasta la monitorización del uso de los recursos por parte de los empleados.

Pero este tipo de casos, cuando tenemos una herramienta estable, potente y opensource cuya licencia MIT permite ser redistribuída y modificada (incluso vendida) sin límites, se convierte en un caramelo para los ciberdelincuentes.

Por eso no es de extrañar que se hayan observado diferentes forks de esta herramienta en ciberataques ocurridos en los últimos años. En 2017 fue usado por el Gaza Cybergang group para un ataque dirigido (campaña DuskSky), según informes de Tripwire y Palo Alto.

En años posteriores ha seguido habiendo alguna implicación en actividad maliciosa. Es por eso que, si realizar un escaneo del binario (incluso el oficial) te sorprenda como casi todos los antivirus lo marcan como amenaza, según sus capacidades.

Primeros pasos

Veamos como se utiliza la herramienta brevemente.

Por todo lo comentado se hace especialmente recomendable conseguir la herramienta en una fuente confiable y verificar su integridad (hash) inmediatamente después de descargarla.

QuasarRAT hash

El hash para la versión estable más reciente (1.3.0.0) es:

30a4ec904324aab10b9f77127944ec98e8e1f222c893c1862f3bed4970ead8fb

NOTA: probablemente sea buena idea excluir el directorio que contiene la herramienta y sus archivos de configuración antes de seguir!

Ahora ejecutaremos el binario Quasar y abriremos el menú Clients > Client Builder

Estableceremos las configuraciones deseadas: nombre, dirección IP del servidor y puerto de escucha, contraseña, especificaremos si el cliente es instalable o no y otros ajustes como el uPNP.

En mi caso, también he dejado marcada la opción Keyboard logging (keylogger). Esto nos permitirá recuperar las pulsaciones de teclado del equipo remoto en cualquier momento.

Ahora cogeremos este cliente recién creado y lo desplegaremos a nuestrsas máquinas remotas. Una vez allí, solo con ejecutar el archivo ejecutable el agente preparará la conexión.

Hecho esto, abriremos el menú de Settings y configuraremos los ajustes de escucha de nuestro servidor. El cliente intentará conectarse automáticamente una vez esté en linea, así que si todo va bien solo tendremos que esperar. Una vez el agente consiga conectar con nuestro servidor, recibiremos un aviso y podremos operar con él.

gestion-remota-windows-con-quasar-rat-5

En las siguientes pantallas podemos ver algunas de las tareas de administración o supervisión remotas que podemos llevar a cabo con Quasar:

 

¿Es un troyano o es una herramienta de administración? Como dije, depende del uso, los hackers también usan LOLbins como powershell y nadie los llamada “malware” 🙂

Más información sobre como utilizar esta RAT (por ejemplo, para actualizar los ejecutables en clientes remotos) disponible en su Wiki.

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *