新型StilachiRAT利用复杂技术规避检测

admin 2025年6月7日09:11:32评论5 views字数 1201阅读4分0秒阅读模式
新型StilachiRAT利用复杂技术规避检测

2024年11月,微软研究人员发现了一种名为StilachiRAT的复杂远程访问木马(RAT),该木马设计用于隐蔽性、持久性和数据窃取。对其WWStartupCtrl64.dll模块的分析显示,该恶意软件支持复杂的功能,可以从浏览器中窃取凭证、数字钱包数据、剪贴板内容和系统信息。研究人员指出,StilachiRAT采用了先进的规避方法。

微软尚未将该恶意软件归因于特定的威胁行为者或地理位置,但这家IT巨头认为,目前该恶意软件尚未广泛传播。

“StilachiRAT收集广泛的系统信息,包括操作系统详细信息、设备标识符、BIOS序列号和摄像头存在情况。”微软发布的分析报告中写道。“信息通过基于组件对象模型(COM)的Web企业管理系统(WBEM)接口使用WMI查询语言(WQL)收集。”

该RAT通过Windows服务控制管理器(SCM)保持持久性,并采用监视线程在被移除时自动恢复自身。

一旦部署,StilachiRAT会扫描数十个加密货币钱包扩展的配置数据以窃取数字资产。该恶意软件针对以下扩展:Bitget Wallet、Trust Wallet、TronLink、MetaMask、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、ConfluxPortal、Plug。

StilachiRAT可以提取Chrome的加密密钥并使用Windows API解密以访问存储的凭证。它从SQLite数据库中检索登录数据并将其发送给攻击者。该恶意软件通过混淆的域名和二进制格式的IP与C2服务器通信,使用随机TCP端口(53、443或16000)。恶意代码试图通过延迟连接两小时并在存在tcpview.exe时终止来规避检测。连接后,它会向攻击者发送活动窗口列表。

该RAT监视RDP会话中的活动窗口和用户模拟,从而实现横向移动。

StilachiRAT通过清除日志、检查分析工具和混淆Windows API调用来规避检测。它将API名称编码为校验和,在运行时动态解析它们,同时使用XOR掩码查找表来阻碍分析。

该RAT执行各种C2命令,包括系统重启、日志清除、凭证窃取、应用程序执行和注册表修改。它可以显示对话框、建立或接受网络连接、终止自身、挂起系统并枚举打开的窗口。此外,该恶意软件还有一个专门用于窃取Google Chrome密码的命令,突显了其网络间谍和系统操纵能力。

报告中包含缓解措施以及入侵指标(IoCs)。

原文始发于微信公众号(黑猫安全):新型StilachiRAT利用复杂技术规避检测

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日09:11:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型StilachiRAT利用复杂技术规避检测http://cn-sec.com/archives/3858975.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息