Saltar al contenido

Quasar RAT, herramienta de gestión remota para Windows

gestion-remota-windows-con-quasar-rat-5

Quasar RAT es una herramienta ligera de administración remota para Windows, escrita en C#. Podemos utilizarla para soporte remoto común o realizar monitorización de actividades para nuestros empleados o nuestra familia.

Se trata de una herramienta liviana, opensource y gratuita que funciona bien y tiene diferentes módulos. No entro en el uso que cada uno haga de la herramienta, cada uno sabrá si puede o debe desplegar este tipo de solución sin incurrir en problemas legales o familiares.

Quasar RAT facilita la administración remota de Windows

De la misma forma que otros programas nos permiten controlar Windows mediante Escritorio Remoto o RDP, Quasar va mucho más allá, permitiéndonos una gestión remota que incluye los siguientes conceptos:

  • Gestor de tareas
  • Gestor de archivos
  • Gestor de arranque
  • Escritorio remoto
  • Shell remota
  • Ejecución remota
  • Información de sistema
  • Editor de registro remoto
  • Keylogger
  • Proxy inverso SOCKS5
  • Recuperación de contraseñas (para navegadores comunes y clientes FTP)
  • Control remoto del sistema para apagar, reiniciar o dejarlo en espera

Hay más características, como por ejemplo el soporte para TCP/IPv4 y v6, cifrado TLS para proteger las conexiones, serialización de red rápida (protocol buffer) para mayor rendimiento, etc.

Ambas partes de la conexión se autentican mediante el saludo TLS (handshake). El servidor permite únicamente certificados de clientes que hayan sido firmados por el propio servidor, mientras el cliente permite únicamente como servidor aquel que fue utilizado para firmar el certificado cliente.

Descarga

Puedes descargar la herramienta en versión estable 1.3.0.0 en Github. También hay una versión snapshot en desarrollo en appveyor.

Compatibilidad

  • Windows 10
  • Windows Server 2019
  • Windows Server 2016
  • Windows 8/8.1
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008
  • Windows Vista

A nivel de requisitos, solamente es necesario contar con .NET Framework 4.5.2 o posterior.

¿Remote Access Tool o un troyano? ¡Depende!

El autor anuncia la herramienta como una suite para diferentes propósitos, desde el uso diario para labores de administración remota hasta la monitorización del uso de los recursos por parte de los empleados.

Pero este tipo de casos, cuando tenemos una herramienta estable, potente y opensource cuya licencia MIT permite ser redistribuída y modificada (incluso vendida) sin límites, se convierte en un caramelo para los ciberdelincuentes.

Por eso no es de extrañar que se hayan observado diferentes forks de esta herramienta en ciberataques ocurridos en los últimos años. En 2017 fue usado por el Gaza Cybergang group para un ataque dirigido (campaña DuskSky), según informes de Tripwire y Palo Alto.

En años posteriores ha seguido habiendo alguna implicación en actividad maliciosa. Es por eso que, si realizar un escaneo del binario (incluso el oficial) te sorprenda como casi todos los antivirus lo marcan como amenaza, según sus capacidades.

Primeros pasos

Veamos como se utiliza la herramienta brevemente.

Por todo lo comentado se hace especialmente recomendable conseguir la herramienta en una fuente confiable y verificar su integridad (hash) inmediatamente después de descargarla.

QuasarRAT hash

El hash para la versión estable más reciente (1.3.0.0) es:

30a4ec904324aab10b9f77127944ec98e8e1f222c893c1862f3bed4970ead8fb

NOTA: probablemente sea buena idea excluir el directorio que contiene la herramienta y sus archivos de configuración antes de seguir!

Ahora ejecutaremos el binario Quasar y abriremos el menú Clients > Client Builder

Estableceremos las configuraciones deseadas: nombre, dirección IP del servidor y puerto de escucha, contraseña, especificaremos si el cliente es instalable o no y otros ajustes como el uPNP.

En mi caso, también he dejado marcada la opción Keyboard logging (keylogger). Esto nos permitirá recuperar las pulsaciones de teclado del equipo remoto en cualquier momento.

Ahora cogeremos este cliente recién creado y lo desplegaremos a nuestrsas máquinas remotas. Una vez allí, solo con ejecutar el archivo ejecutable el agente preparará la conexión.

Hecho esto, abriremos el menú de Settings y configuraremos los ajustes de escucha de nuestro servidor. El cliente intentará conectarse automáticamente una vez esté en linea, así que si todo va bien solo tendremos que esperar. Una vez el agente consiga conectar con nuestro servidor, recibiremos un aviso y podremos operar con él.

gestion-remota-windows-con-quasar-rat-5

En las siguientes pantallas podemos ver algunas de las tareas de administración o supervisión remotas que podemos llevar a cabo con Quasar:

  • escritorio-remoto-de-windows-incluido-con-quasar-rat
  • remote-shell-y-gestor-de-tareas-con-quasar-rat
  • keylogger-incluido-con-quasar-rat
  • mensajes-quasar-rat

¿Es un troyano o es una herramienta de administración? Como dije, depende del uso, los hackers también usan LOLbins como Powershell y nadie los llamada “malware” 🙂

Más información sobre como utilizar esta RAT (por ejemplo, para actualizar los ejecutables en clientes remotos) disponible en su Wiki.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 comentarios sobre “Quasar RAT, herramienta de gestión remota para Windows Deja un comentario

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: