StilachiRAT分析:从系统侦察到加密货币盗窃
2024年11月,微软事件响应研究人员发现了一种新型远程访问木马(RAT),我们将其命名为StilachiRAT,它展示了规避检测、在目标环境中持久存在并窃取敏感数据的复杂技术。对包含RAT功能的StilachiRAT的 WWStartupCtrl64.dll 模块的分析揭示了使用各种方法从目标系统窃取信息的情况,如存储在浏览器中的凭据、数字钱包信息、存储在剪贴板中的数据以及系统信息。
微软尚未将StilachiRAT归因于特定的威胁行为者或地理位置。根据微软当前的可见性,该恶意软件目前尚未显示广泛分布。然而,由于其隐匿能力和恶意软件生态系统中的快速变化,我们正在分享这些发现,作为我们持续监控、分析和报告不断发展的威胁景观的努力的一部分。
微软安全解决方案可以检测使用StilachiRAT的攻击相关活动。为了帮助防御者保护其网络,我们还分享了缓解指南,以帮助减少此威胁的影响、检测详情和搜寻查询。微软继续监控有关这些攻击中使用的传递载体的信息。像StilachiRAT这样的恶意软件可以通过多种载体安装;因此,实施安全强化措施以防止初始入侵至关重要。
本博客详细介绍了StilachiRAT的所有关键功能,包括:
-
系统侦察:收集全面的系统信息,包括操作系统(OS)详情、硬件标识符、摄像头存在、活动远程桌面协议(RDP)会话和运行的图形用户界面(GUI)应用程序,允许对目标系统进行详细分析。 -
数字钱包定位:扫描Google Chrome浏览器20种不同加密货币钱包扩展的配置数据。 -
凭据盗窃:从Google Chrome提取并解密保存的凭据,获取存储在浏览器中的用户名和密码。 -
命令与控制(C2)连接:使用TCP端口53、443或16000与远程C2服务器建立通信,实现远程命令执行和潜在的SOCKS类代理。 -
命令执行:支持来自C2服务器的各种命令,包括系统重启、日志清除、注册表操作、应用程序执行和系统挂起。 -
持久化机制:通过Windows服务控制管理器(SCM)实现持久性,并使用看门狗线程确保如果被移除则自我重装。 -
RDP监控:监控RDP会话,捕获活动窗口信息并模拟用户,允许在网络内潜在的横向移动。 -
剪贴板和数据收集:持续监控剪贴板内容,积极搜索敏感数据如密码和加密货币密钥,同时跟踪活动窗口和应用程序。 -
反取证和规避:通过清除事件日志、检测分析工具和实施规避沙箱的行为来采用反取证策略,以避免被检测。
关键功能的技术分析
系统侦察
StilachiRAT收集大量系统信息,包括操作系统详情、设备标识符、BIOS序列号和摄像头存在情况。信息通过组件对象模型(COM)基于Web的企业管理(WBEM)接口使用WMI查询语言(WQL)收集。以下是它执行的一些查询:
序列号
摄像头
操作系统/系统信息(服务器、型号、制造商)
此外,恶意软件在受感染设备上创建一个唯一标识,该标识派生自系统序列号和攻击者的公共RSA密钥。该信息存储在CLSID键下的注册表中。
数字钱包定位
StilachiRAT针对Google Chrome浏览器的特定加密货币钱包扩展列表。它访问以下注册表键中的设置并验证是否安装了任何扩展:
\SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings
恶意软件针对以下加密货币钱包扩展:
| 加密货币钱包扩展名称 | Chrome扩展标识符 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
凭据盗窃
StilachiRAT从用户目录中的本地状态文件中提取Google Chrome的 _encryption_key_。然而,由于密钥在Chrome首次安装时被加密,它使用依赖当前用户上下文的Windows API来解密主密钥。这允许访问密码保险库中存储的凭据。存储的凭据从以下位置提取:
-
%LOCALAPPDATA%\Google\Chrome\User Data\Local State– 存储Chrome的配置数据,包括加密密钥。 -
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data– 存储输入的用户凭据。
"Login Data **"**使用SQLite数据库存储信息,恶意软件使用以下查询检索凭据:
命令与控制(C2)
C2服务器有两个配置地址 - 一个以混淆形式存储,另一个是转换为二进制格式的IP地址(而不是常规字符串):
-
app.95560[.]cc -
194.195.89[.]47
通信通道使用随机选择的TCP端口53、443或16000建立。此外,恶意软件检查是否存在 _tcpview.exe_,如果存在则不会继续。它还将初始连接延迟两小时,推测是为了逃避检测。一旦连接,活动窗口列表将发送到服务器。关于C2通信功能的其他技术发现列在以下部分。
持久化机制
StilachiRAT可以作为Windows服务或独立组件启动。在这两种情况下,都有一种机制确保恶意软件不被移除。
一个看门狗线程通过定期轮询恶意软件使用的EXE和动态链接库(DLL)文件的存在来监控它们。如果发现缺失,可以从初始化期间获得的内部副本重新创建文件。最后,可以通过修改相关注册表设置并通过SCM重新启动它来重新创建Windows服务组件。
RDP监控
StilachiRAT通过捕获前台窗口信息和复制安全令牌来模拟用户,从而监控RDP会话。这在托管管理会话的RDP服务器上特别危险,因为它可能使网络内的横向移动成为可能。
恶意软件获取当前会话并主动启动前台窗口以及枚举所有其他RDP会话。对于每个识别的会话,它将访问Windows资源管理器外壳并复制其权限或安全令牌。然后恶意软件获得使用这些新获得的权限启动应用程序的能力。
数据收集
StilachiRAT收集各种用户数据,包括软件安装记录和活动应用程序。它监控活动GUI窗口、它们的标题栏文本和文件位置,并将此信息发送到C2服务器,潜在地允许攻击者跟踪用户行为。
剪贴板监控
StilachiRAT有一个负责监控剪贴板数据的功能。具体来说,恶意软件可以定期读取剪贴板,根据搜索表达式提取文本,然后窃取这些数据。剪贴板监控是连续的,有针对性地搜索敏感信息,如密码、加密货币密钥和潜在的个人标识符。
以下列表包括用于提取某些凭据的正则搜索表达式。这些与Tron加密货币区块链相关,该区块链在亚洲尤其是中国很受欢迎。
| 凭据 | 提取凭据的正则表达式 |
|
|
|
|
|
|
|
|
|
|
|
|
然后使用相同的搜索表达式遍历以下位置的文件:
-
%USERPROFILE%Desktop -
%USERPROFILE%Recent
反取证措施
StilachiRAT通过清除事件日志和检查某些系统条件来显示反取证行为,以逃避检测。这包括循环检查分析工具和沙箱计时器,这些计时器会阻止它在通常用于恶意软件分析的虚拟环境中完全激活。
此外,Windows API调用以多种方式混淆,并使用自定义算法对许多文本字符串和值进行编码。这显著减慢了分析时间,因为推断更高级别的逻辑和代码设计变得更加复杂。
恶意软件采用API级混淆技术来阻碍手动分析,特别是通过隐藏其对Windows API的使用(例如RegOpenKey())。它不直接引用API名称,而是将它们编码为在运行时动态解析的校验和。虽然这是恶意软件中的常见技术,但作者引入了额外的混淆层。
预计算的API校验和存储在多个查找表中,每个都用XOR值掩盖。在启动期间,恶意软件根据哈希的API名称选择适当的表,应用正确的XOR掩码来解码值,并动态解析相应的Windows API函数。然后缓存解析的函数指针,但应用了额外的XOR掩码,防止直接的内存扫描识别API引用。
从C2服务器启动的命令
StilachiRAT可以启动从C2服务器接收的各种命令。这些命令包括系统重启、日志清除、凭据盗窃、执行应用程序和操作系统窗口。此外,它可以挂起系统、修改Windows注册表值和枚举打开的窗口,表明它有一套多功能的命令集,用于间谍活动和系统操作。C2服务器的命令结构为其将启动的命令分配特定的数字。以下部分介绍了这些命令的详细信息。
07 – 对话框
使用Windows API函数 ShowHTMLDialogEx() 显示一个对话框,其中包含从提供的URL渲染的HTML内容。
08 – 日志清除
给定一个事件日志类型,使用相关的Windows API打开然后清除日志条目。
09 – 系统重启
调整自己的执行权限以启用系统关闭,并使用未记录的Windows API执行该操作。
13 – 网络套接字
似乎具有从C2服务器接收网络地址并建立新的出站连接的能力。
14 – TCP入站
在提供的TCP端口上接受入站网络连接。
15 – 终止
如果有一个打开的网络连接,则关闭它并禁用控制此进程的Windows服务。这似乎是自移除(卸载)命令。
16 – 启动应用程序
恶意软件创建一个控制台窗口,并使用 WinExec() API启动C2操作者提供的程序。
19 – 枚举Windows
遍历当前桌面的所有窗口,寻找请求的标题栏文本。这可能允许操作者访问特定的GUI应用程序及其内容,包括屏幕和剪贴板。
26 – 挂起
使用 SetSuspendState() API将系统置于挂起(睡眠)状态或休眠状态。
30 – Chrome凭据
启动前面提到的功能,以窃取Google Chrome密码。
缓解措施
像StilachiRAT这样的恶意软件可以通过各种载体安装。以下缓解措施可以帮助防止此类恶意软件渗透系统并减少攻击面:
-
在某些情况下,RAT可以伪装成合法软件或软件更新。始终从软件开发者的官方网站或信誉良好的来源下载软件。 -
鼓励用户使用Microsoft Edge和其他支持SmartScreen的网络浏览器,它可以识别和阻止恶意网站,包括钓鱼网站、诈骗网站和托管恶意软件的网站。 -
为Office 365开启Safe Links和Safe Attachments。在使用Microsoft Defender for Office 365的组织中,Safe Links扫描保护您的组织免受在钓鱼和其他攻击中使用的恶意链接的影响。具体而言,Safe Links提供邮件流期间的入站电子邮件消息的URL扫描和重写,以及电子邮件消息、Microsoft Teams和支持的Office 365应用程序中URL和链接的点击时验证。Safe Attachments为已经通过Exchange Online Protection (EOP)中的反恶意软件保护扫描的电子邮件附件提供额外的保护层。 -
在Microsoft Defender for Endpoint中启用网络保护,以防止应用程序或用户访问恶意域和互联网上的其他恶意内容。您可以在测试环境中审核网络保护,以查看在启用网络保护之前会阻止哪些应用程序。
一般强化指南:
-
确保在Microsoft Defender for Endpoint中启用防篡改保护。 -
在阻止模式下运行终端检测和响应,以便即使非Microsoft防病毒软件未检测到威胁或Microsoft Defender Antivirus以被动模式运行,Microsoft Defender for Endpoint也能阻止恶意构件。 -
以全自动模式配置调查和修复,让Microsoft Defender for Endpoint对警报采取立即行动以解决违规,显著减少警报量。 -
在Microsoft Defender Antivirus中开启潜在不需要的应用程序(PUA)保护,采用阻止模式。PUA是一类可能导致您的机器运行缓慢、显示意外广告或安装其他可能意外或未批准的软件的软件。 -
在Microsoft Defender Antivirus中开启云提供的保护或您的防病毒产品的等效功能,以涵盖快速发展的攻击者工具和技术。 -
开启Microsoft Defender Antivirus的实时保护。
IoC
| 标志 | 类型 | 描述 |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
文章原文:https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/
原文始发于微信公众号(独眼情报):StilachiRAT 分析:从系统侦察到加密货币盗窃
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论