Remcos RAT流量分析报告
使用方法
1.运行根目录下的exe文件,在Agent Builder页面设置连接ip、端口、密码,生成exe木马,默认端口为2404
2.在Local Settings页面设置监听端口和密码
3.等待靶机运行木马即可上线
检测方案
1.可检测从2404端口传递的心跳包,时间间隔为1s,且心跳包的协议为TCP和104apci交替出现
2.检测端数据包占比,数据包长度为40-159的占比为98.93%
3.当远控工具产生交互行为时,上行流量大于下行流量
上行流量数据包统计:
下行流量数据包统计:
4.所有数据包都带有PSH和SYN字段
PSH标志位数据包总数为1583、占100%
SYN标志位数据包总数为1583,占100%
5.监控特殊协议104apci,占比为51.86%
6.监控固定字节为
当它发送文件和信息时,会发送[DataStart]字符串,且为16进制表示
然后加密程序加密,加密程序如下所示
加密后的数据
与流量里的数据相同