最近几周,安全研究人员发现了一场复杂的活动,该活动利用一种名为 MostereRAT 的新型远程访问木马 (RAT),该木马通过部署 AnyDesk 和 TightVNC 等合法远程访问工具来针对 Windows 系统。
该恶意软件的出现代表了早期银行木马的重大演变,将社会工程与先进的规避技术相结合,建立了隐蔽的全系统控制。
最初的向量依赖于伪装成商业通信的高度本地化的网络钓鱼电子邮件,这些电子邮件将受害者引导至托管包含隐藏存档的 Word 文档的恶意网站。
打开文档后,嵌入式有效负载会悄悄安装大多数 RAT 组件,而不会提醒标准安全工具。
MostereRAT 的开发人员采用了多阶段交付方法来掩盖其真实性质。
该可执行文件基于 wxWidgets 示例,使用由字符“A”键控的简单减法密码解密捆绑在其资源部分中的附加模块。
提取到 后,这些组件将通过自定义 RPC 客户端进行编排,该客户端绕过公共 SCM API 以创建以 SYSTEM 权限运行的服务。C:\ProgramData\Windows
Fortinet 分析师发现 C2 通信使用双向 TLS (mTLS),确保网络流量保持双向加密和身份验证,从而阻止拦截或冒充企图。
在执行过程中,MostereRAT 安装了两个服务——WpnCoreSvc(自动启动)和 WinSvc_32263003(按需启动)——以保证重新启动和按需作的持久性。
Fortinet 研究人员指出,该恶意软件会禁用关键的 Windows 安全进程和服务,包括 、 和 ,同时修改注册表策略以阻止更新和隐藏通知。SecurityHealthService.exewuauservUsoSvc
通过终止或劫持这些安全机制,威胁可以保持立足点,而不会触发来自防病毒或 EDR 解决方案的警报。
感染和解密机制
当受害者执行第一阶段可执行文件时,感染机制就开始了,该可执行文件会解压缩并解密主模块。document.exe
解密例程将值 0x41 (‘A’) 的按字节减法应用于资源 blob 中的每个加密字节:-
for (size_t i = 0; i < length; ++i) {
decrypted[i] = encrypted[i] - 0x41;
}这种微不足道但有效的密码隐藏了 RAT 的逻辑,使其无法进行粗略分析。解密后,模块 和 将直接加载到内存中。maindll.dbelsedll.db
该模块解释从 到 执行任务(例如持久性、权限提升和任务调度程序作)的参数。maindll.dbchannel-8df91be7c24"a"channel-8df91be7c24"e"
相反,建立多个线程来处理击键日志记录、屏幕截图捕获和通过 TightVNC 和 AnyDesk 部署 RMM 工具。elsedll.db
通过端口 9001 和 9002 与其 C2 服务器建立安全连接后,RAT 会定期检索使用嵌入式 RSA 私钥加密的配置文件。
通过 SHA-256 哈希比较成功解密和版本验证后,恶意软件会无缝更新自身,确保持续的功能和弹性。
这种持续升级的能力体现了威胁的高度复杂性,并强调了全面监控和用户教育对于防御此类多方面攻击的重要性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
