声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/
微软的事件响应团队在2024年11月发现了一款全新远程访问木马——StilachiRAT。该恶意软件运用了多种高级技术,既能在受感染系统中悄无声息地执行侦察,又能窃取敏感数据,尤其是用户的浏览器凭证和加密货币钱包信息。尽管目前其传播范围尚未广泛,但其隐蔽性和多重逃避检测的机制已引起广泛关注。
主要功能与技术亮点
-
系统侦察
-
利用WMI查询等手段,广泛采集操作系统信息、硬件标识、摄像头状态、RDP会话及当前运行的GUI应用,为攻击者构建详细的系统画像。
-
数字钱包目标攻击
-
针对Google Chrome中至少20种加密货币钱包扩展(如MetaMask、Trust Wallet、TronLink等)进行扫描,提取钱包配置信息。
-
凭证窃取
-
从Chrome浏览器中提取并解密存储的凭证,包括用户名和密码。通过读取用户目录中的本地状态和登录数据,实现对密码库的窃取。
-
命令与控制(C2)通信
-
通过TCP 53、443或16000端口与远程C2服务器建立连接,采用延迟连接(两小时后)等策略规避检测,并将目标系统的活动窗口信息回传。
-
命令执行与持久性机制
-
支持远程下发包括系统重启、日志清除、注册表修改、应用程序启动等多种指令。
-
通过Windows服务和守护进程监控自身文件状态,即使部分组件被清除,也能迅速恢复并保持持续运行。
-
RDP监控与横向移动
-
监控RDP会话,捕获前台窗口信息,甚至复制其他用户的安全令牌,从而为后续的横向攻击提供便利。
-
剪贴板监控与数据收集
-
持续监控剪贴板内容,主动提取敏感信息(如密码、加密货币密钥等),并对桌面、最近访问文件等进行扫描,以获得更多有价值的数据。
-
反取证与逃避检测技术
-
清除系统事件日志、检测并规避常见分析工具和沙箱环境。
-
采用API调用混淆及自定义编码算法,显著增加了恶意代码分析的难度。
缓解措施
为应对StilachiRAT及类似威胁,微软建议采取以下安全防护措施:
-
软件来源:务必从官方或可信渠道下载软件,避免安装伪装成合法更新的恶意程序。
-
浏览器安全:优先使用支持SmartScreen防护的浏览器(如Microsoft Edge),并开启Office 365的Safe Links和Safe Attachments功能。
-
网络与终端保护:启用网络保护、终端检测与响应(EDR)以及潜在不受欢迎应用(PUA)防护,及时发现并阻断异常活动。
-
系统加固:确保开启系统的篡改保护、云端保护及自动化调查与修复功能,降低系统被恶意软件入侵的风险。
原文始发于微信公众号(安全视安):新型远程访问木马 (RAT)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论