新的 Sakura RAT 出现在 GitHub 上，成功逃避 AV 和 EDR 保护

一种名为 Sakura 的新型远程访问木马 (RAT) 已在 GitHub 上发布。由于其复杂的反检测能力和全面的系统控制功能，Sakura 引起了网络安全社区的极大关注。

该恶意软件位于一个据称由名为“Haerkasmisk”的用户创建的存储库中，它为攻击者提供了广泛的工具包，可以通过多种混淆技术逃避现代防病毒和端点检测和响应 (EDR)解决方案，这些混淆技术类似于以前记录的恶意软件家族中所见的技术。

高级功能和规避技术

Sakura RAT 实现了几种先进的功能，这使得它特别危险。 

根据 Cyberfeeddigest 在 X 上分享的帖子，该 RAT 包含一个隐藏的浏览器功能，允许攻击者通过受害者的机器进行网络活动而不被发现，并且隐藏虚拟网络计算 (HVNC) 功能可创建隐形桌面会话以进行隐秘的远程控制。

据报道，该恶意软件利用与以前的 RAT 家族中观察到的类似的技术，包括进程注入、反射DLL 注入和单字节 XOR 编码来混淆网络通信和嵌入字符串，从而使安全解决方案的检测变得更加困难。

从技术上来说，Sakura 似乎结合了各种现有恶意软件框架的元素。 

与 Dell SecureWorks 研究人员先前发现的 Sakula 恶意软件家族一样，它可能使用 HTTP GET 和 POST 请求进行命令和控制 (C2) 通信。

据报道，该工具通过 Windows 注册表运行项保持持久性，并且可以将自身配置为服务，类似于其他高级 RAT。 

其多会话功能允许攻击者通过集中控制面板同时控制多个受感染的系统。

安全研究人员指出，该恶意软件可能利用漏洞 CVE-2014-0322 或类似漏洞作为初始感染媒介，但具体的传递机制仍在调查中。

此版本加入了日益壮大的公开可用的防病毒规避工具生态系统。根据研究 GitHub 的“防病毒规避”主题的研究人员的说法，Veil、Chimera 和 Process Herpaderping 等许多框架都是公开可访问的，这助长了规避恶意软件的泛滥。

专家表示，这些工具的可用性大大降低了潜在攻击者的进入门槛。以前需要大量专业知识才能完成的工作，现在只需使用可下载的框架即可完成。

保护建议

安全专家建议各组织实施以下保护措施：

• 部署具有行为分析功能的高级 EDR 解决方案。
• 实施应用程序白名单以防止未经授权的代码执行。
• 定期更新安全软件以包含最新的检测签名。
• 除非特别需要，否则请禁用Microsoft Office 应用程序中的宏。
• 对员工进行有关网络钓鱼攻击的教育，因为电子邮件仍然是主要的传递方式。

研究人员继续分析 Sakura RAT 的代码和功能。建议组织监控可疑的网络通信、意外的注册表修改和未经授权的进程创建，这些都是潜在的入侵指标。

随着威胁行为者越来越多地利用公开可用的攻击性安全工具，像 Sakura 这样的 RAT 日益复杂化，凸显了实施多层安全防御的重要性。