研究人员发现一种名为NonEuclid的新型远程访问木马

网络安全研究人员发现一种名为NonEuclid的新型远程访问木马，该木马允许攻击者远程控制受感染的 Windows 系统。

Cyfirma在上周发布的技术分析报告中表示： “用 C# 开发的 NonEuclid 远程访问木马 (RAT) 是一种高度复杂的恶意软件，它通过先进的规避技术提供未经授权的远程访问。”

“它采用了各种机制，包括绕过防病毒、提升权限、反检测和针对关键文件的勒索软件加密。”

自 2024 年 11 月下旬以来，NonEuclid 一直在地下论坛上宣传，在 Discord 和 YouTube 等流行平台上发现了有关该恶意软件的教程和讨论。这表明有网络犯罪组织将该恶意软件广泛分发。

从本质上讲，RAT 从客户端应用程序的初始化阶段开始，然后执行一系列检查以逃避检测，最后设置 TCP 套接字以与指定的 IP 和端口进行通信。

它还配置了 Microsoft Defender 防病毒排除项，以防止工件被安全工具标记，并监视通常用于分析和进程管理的“taskmgr.exe”、“processhacker.exe”和“procexp.exe”等进程。

Cyfirma 表示：“它使用 Windows API 调用（CreateToolhelp32Snapshot、Process32First、Process32Next）来枚举进程并检查其可执行文件名称是否与指定目标匹配。如果匹配，则根据 AntiProcessMode 设置，它会终止进程或触发客户端应用程序退出。”

该恶意软件采用的一些反分析技术包括检查它是否在虚拟机或沙盒环境中运行，如果发现是，则立即终止该程序。此外，它还结合了绕过 Windows 反恶意软件扫描接口 ( AMSI ) 的功能。

虽然持久性是通过计划任务和 Windows 注册表更改实现的，但 NonEuclid 还尝试通过绕过用户帐户控制 (UAC) 保护并执行命令来提升权限。

一个相对不常见的功能是它能够加密与某些扩展名类型（例如 .CSV、.TXT 和 .PHP）匹配的文件，并使用扩展名“.NonEuclid”重命名它们，从而有效地变成勒索软件。

Cyfirma 表示：“NonEuclid RAT 体现了现代恶意软件日益复杂的特点，它结合了先进的隐身机制、反检测功能和勒索软件功能。”

“它在地下论坛、Discord 服务器和教程平台上的广泛推广表明了它对网络犯罪分子的吸引力，并凸显了打击此类威胁的挑战。特权提升、AMSI 绕过和进程阻止等功能的集成展示了该恶意软件在逃避安全措施方面的适应性。”

技术报告：

https://www.cyfirma.com/research/noneuclid-rat/

新闻链接：

https://www.asahi.com/ajw/articles/15577415

讲述普通人能听懂的安全故事