前言概述

近日有人在社交平台上分享了一款开源的跨平台Linux远控攻击样本，样本被命名为ChaosRAT，威胁情报平台上有相关的样本，如下所示：

[出自:jiwo.org]

通过搜索发现该RAT样本，此前被用于相关的攻击活动，如下所示：

该攻击活动图片来源于网络，笔者从平台上下载该样本，发现沙箱没有跑出行为，于是对样本进行了相关分析。

样本分析

1.通过分析，发现该样本使用了开源的远控工具，如下所示：

2.样本使用的开源模块，如下所示：

3.开源的远控工具地址https://github.com/tiagorlampert/CHAOS，如下所示：

4.逆向分析样本的入口代码，会解析一个配置文件，如下所示：

5.开源代码，如下所示：

6.查看开源代码中读取和解析配置信息的代码，如下所示：

7.发现是使用Base64解析的配置信息，提取样本中使用的加密信息，如下所示：

8.通过Base64解析之后，得到配置信息，包含远程服务器的端口、IP地址、Token信息，如下所示：

9.获取远程C2地址为176.65.141.63，端口为5223，通过威胁情报平台查询C2地址，如下所示：

该开源远控其他东西，有兴趣的自己去研究吧，很多黑客组织在攻击的时候也都会使用一些开源的远控工具，包含一些APT组织也常常喜欢使用一些开源的RAT工具。