2025 年 5 月初,网络安全研究人员开始追踪一种新型远程访问木马 (RAT),该木马通过 GitHub Pages 上托管的网络钓鱼网站针对中文用户。
初始 ZIP 档案被伪装成流行应用程序的合法安装程序,其中包含旨在绕过沙盒和虚拟机防御的恶意可执行文件。
一旦执行,第一阶段 shellcode 就会执行时间稳定性分析,QueryPerformanceCounter并检查硬件配置(磁盘空间和 CPU 核心)以识别分析环境,并在出现怀疑时终止。
这种细致的规避策略确保了 kkRAT 在自动引爆期间很少触发警报。
在接下来的阶段中,kkRAT 部署了先进的反分析技术,通过单字节 XOR 混淆动态解析 Windows API 函数,并使用简单的 XOR 转换解密后续的 shellcode。
在第二阶段,恶意软件卸载并禁用网络适配器以切断 AV/EDR 通信,枚举与中国安全供应商相关的进程,并使用易受攻击的驱动程序(RTCore64.sys)从内核模式防御中删除已注册的回调。
Zscaler 分析师指出,kkRAT 甚至会修改 360 Total Security 的注册表值以禁用网络检查,并在 SYSTEM 权限下安排任务,以便在用户登录时反复终止保护进程。
到了第三阶段,kkRAT 从硬编码的 URL 中检索名为 的高度混淆的 shellcode 2025.bin,解码中的 Base64 编码指令output.log,并根据受害者进程的文件名选择下载 URL。
提取的档案包含合法的可执行文件,其中侧载了恶意 DLL,这些 DLL 使用偏移量处的六字节 XOR 密钥解密最终的有效载荷 – kkRAT 本身0xD3000。
Zscaler 的研究人员发现这种无缝使用侧载的方式可以部署多种 RAT 变种,包括 ValleyRAT 和 FatalRAT,但新发现的 kkRAT 融合了Ghost RAT和 Big Bad Wolf 的功能。
在运行过程中,kkRAT 与其命令和控制服务器建立 TCP 连接,通过 zlib 压缩数据,并应用额外的基于 XOR 的加密层。
用于解密捕获流量的 Python 示例代码片段演示了此两阶段过程:
import zlib
def decrypt_packet(data, key):
compressed = bytes(b ^ key for b in data)
return zlib.decompress(compressed)感染机制
在执行侧载 DLL 时,kkRAT 会读取其加密配置(C2 IP、端口、版本和组标识符),并构建一个REGISTRATIONINFO包含详细设备指纹的结构,例如操作系统版本、CPU 频率、内存大小、已安装的防病毒签名以及消息传递应用程序的存在。
这种详尽的配置文件使攻击者能够优先攻击高价值目标。kkRAT 的独特之处在于,它会检查剪贴板中的加密货币钱包地址(比特币、以太坊、泰达币),并通过命令将其替换为攻击者控制的地址0x4D,这是一种旨在悄无声息地劫持交易的策略。
一旦通过启动文件夹快捷方式或注册表运行键建立持久性,kkRAT 就会保持驻留状态,等待进一步的指令来加载插件(从远程桌面管理到进程终止)并通过基于 Go 的 SOCKS5 代理中继网络流量。
kkRAT 通过分层加密、复杂的反分析检查和金融盗窃功能,代表了商品 RAT 工具包的重大发展,凸显了供应链式恶意软件传递的持续威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
