Gh0st RAT恶意软件分析:深入剖析“DeepSeek Deception“攻击行动中的Sainbox RAT与PurpleFox rootkit
幽灵再现 — Gh0st RAT恶意软件分析什么是Gh0st RAT — 历史与变种演变Gh0st RAT有时拼写为Gh0strat大约在2008年出现由一个中国黑客团体创建。由于其源代码后来被公开发布它成为许多攻击者武器库中的持久工具——被不断修改、适配和扩展。一种持续的战术是将其与内核级rootkit捆绑或配对以隐藏其存在并使检测复杂化。像HiddenGh0st这样的变种已经在相关攻击活动中被记录这些攻击将Gh0st RAT功能与PurpleFox rootkit结合用于隐藏文件、注册表和进程。最近在DeepSeek Deception攻击活动中发现了Sainbox RAT一个Gh0st衍生的后门与PurpleFox rootkit一起通过MSI安装程序、侧加载的DLL和shellcode载荷进行投递。样本分析从Malware Bazaar获取此恶意软件样本后我们观察到其表现出以下行为伪造的MSI安装程序伪装成Chrome或流行应用安装程序DLL侧加载— 攻击链包含一个真实的浏览器二进制文件以减少怀疑和一个良性EXE文件mctty.exe良性EXE成为DLL侧加载的宿主进程加载器写入Run注册表项并使用rootkit来掩盖RAT的存在使其不被安全工具发现劫持加载器—sqlite3.dll导出sqlite3_open以进行伪装但实际上读取一个1.txt文件分配可执行内存并将其内容注入到mctty.exe进程中运行1.txt中嵌入的双重载荷PurpleFox rootkit组件用于内核级隐藏隐藏文件、进程、注册表项Sainbox RAT一个Gh0st变种后门提供远程访问、数据窃取和命令执行能力伪造的Chrome安装程序解压MSI安装程序后可以看到以下文件ChromeSetup.exemctty.exesqlite3.dlltxtmsvcp140.dllvcruntime140.dllmsvcr100.dll这其中确实包含一个合法的ChromeSetup.exe副本以及多个合法的DLL文件。然而实际的恶意载荷是sqlite3.dll和txt文件。检查txt文件时发现它实际上包含两个PE文件一个32位另一个64位每个都被列为驱动程序文件。执行链在执行过程中我们看到安装程序将cab文件中的文件释放到路径C:\ProgramData\cPZECO然后启动EXE文件mctty.exe该文件从同一路径加载恶意的sqlite3.dll。随后该EXE将执行三个操作sqlite3.dll将从1.txt读取到内存中的shellcode注入到mctty.exe进程中。通过在CurrentVersion\Run中设置mctty.exe开机启动创建用户级持久化。创建并启动一个可疑的.BAT文件 —8553C0C8.bat位于AppData\Roaming\Beacon该脚本连接域名ee[.]bsjdwn[.]com。脚本8553C0C8.bat的功能是检查mctty.exe进程是否正在运行如果未找到该进程它将直接从脚本启动它并持续在任务列表中检查该进程。在安装过程中还会通过ChromeSetup.exe安装一个合法的Chrome实例以避免引起用户怀疑。侧加载的DLL载荷的投递由sqlite3.dll处理。该DLL通过搜索顺序劫持的方式从相同的本地安装路径加载此文件既负责恶意软件的持久化也充当下一阶段的加载器。持久化该DLL通过RegSetValueExW将其自身路径写入HKCU Run注册表项建立用户级持久化。然后它充当主要载荷的加载器。线程注入此过程打开1.txt打包的shellcode读取它并使用VirtualAlloc获取一个RWX可读写执行内存块。它将载荷复制到该缓冲区然后启动一个新线程从该位置开始执行。Sainbox和PurpleFox载荷实际执行的功能包括两个载荷的功能都被塞进了1.txt中并通过sqlite3.dll注入内存。1.txt内部包含三个部分包含PurpleFox rootkit的32位和64位驱动文件以及包含Sainbox Rat的shellcode。此shellcode是通过开源工具sRDIShellcode Reflective DLL Injection生成的该工具能将DLL文件转换为shellcode。Sainbox Rat从1.txt中提取shellcode我们得到一个名为Install.dll的32位DLL文件这就是Sainbox Rat载荷。Sainbox shellcode会释放一个名为GetMP.exe的二进制文件。这只是一个重命名的Mimikatz启动后会运行标准的mimikatz命令GetMP privilege::debug sekurlsa::logonpasswords exit它会检查以下安全工具360tray.exe, 360sd.exe, kxetray.exe, KSafeTray.exe, QQPCRTP.exe, HipsTray.exe, BaiduSd.exe, baiduSafeTray.exe, KvMonXP.exe, RavMonD.exe, QUHLPSVC.EXE, QuickHeal, mssecess.exe, cfp.exe, SPIDer.exe, DR.WEB, acs.exe, Outpost, V3Svc.exe, AYAgent.aye, avgwdsvc.exe, f-secure.exe, F-Secure, avp.exe, Mcshield.exe, egui.exe, NOD32, knsdtray.exe, TMBMSRV.exe, avcenter.exe, ashDisp.exe, rtvscan.exe, remupd.exe, vsserv.exe, BitDefender, PSafeSysTray.exe, ad-watch.exe, K7TSecurity.exe, UnThreat.exe, UnThreat, MsMpEng.exe观察到多个功能专门针对各种用户配置文件路径进行删除。这可能旨在特意减缓对受感染主机的取证分析速度。列出的每个应用程序如下QQ.exe, Telegram.exe, Firefox.exe, Chrome.exe, Msedge.exe, SogouExplorer.exe, 360Chrome.exe, 360se6.exe远程桌面被启用将策略位HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections翻转设置为0。该样本通过GetModuleFileNameA获取自身可执行文件路径然后构建一个隐藏的PowerShell命令该命令调用Add-MpPreference以将该路径加入白名单powershell -WindowStyle Hidden Add-MpPreference -ExclusionPath \%s\PurpleFoxPurpleFox首先将自己设置为内核中一个名为QAssist的隐藏系统设备。然后该程序向QAssist发送命令以开启其隐藏功能并精确指示要隐藏哪些文件、进程和注册表项。作为一个内核级rootkitPurpleFox的主要作用是规避检测。它使用以下命令集来操纵操作系统并主动向安全工具隐藏其存在和恶意行为Hid_State— 激活驱动程序Hid_StealthMode— 自身隐藏模式Hid_HideFsDirs— 隐藏目录Hid_HideFsFiles— 隐藏文件Hid_HideRegKeys— 隐藏注册表项Hid_HideRegValues— 隐藏注册表值Hid_IgnoredImages— 指定例外进程Hid_ProtectedImages— 指定受保护进程Hid_HideImages— 隐藏进程结论DeepSeek Deception攻击行动展示了像Gh0st RAT这类传统恶意软件的持续演变和有效性它已被改编为强大的Sainbox RAT。样本分析清楚地揭示了一个复杂的多阶段感染链利用一个令人信服的伪造MSI安装程序通过一个良性的宿主进程mctty.exe执行DLL侧加载攻击。此感染链的核心是从打包文件1.txt中注入的双重载荷它同时部署了Sainbox RAT用于远程控制、凭证窃取通过Mimikatz、规避安全工具和破坏性行为以及PurpleFox rootkit用于内核级持久化和最终掩盖整个入侵行为。IOCsSHA256ChromeSetup-6581.msi - 42faf503afd58bc7aa37f5d4340be11895cae9d29da75bfaa97180671172304csqlite3.dll - 0aedfcd4fd87d514d611ffb5605f0a956710685f37dead4c410cd9f890568b061.txt - f55d496329e1e9f1ebe9713b47f160f4e23cdab828b338111156cbf850a9c85emctty.exe - c123f39c6ef4b00863848d0146062a65d201931f78f1eb348f6a57e22e70048132.sys - 15af9964bcf4938d3b4ab9bb15dc0f297d7ca596a86f8f1d9572f957f5441ddd64.sys - 1006caa9f350f4e166704b0f35d10814982f6e238c06001b2508001f0104182b域名ee[.]bsjdwn[.]comIP地址45.207.12.71FINISHEDCSD0tFqvECLokhw9aBeRqmBSweG13cscZ9DbzQFnkaflACiJYHgfyTMQ/gLXDa/GQpIIVPyJNpmgF1nw1pEpLtN1e4GtbxXP2MhoQf0DimtRT3Ld1FXFxB2VmWLxr更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享

相关新闻

2026年终端AI编程工具实测对比:Claude Code、Codex CLI、Gemini CLI哪个更适合你

2026年终端AI编程工具实测对比:Claude Code、Codex CLI、Gemini CLI哪个更适合你

终端里用AI辅助写代码已经成了很多开发者的日常习惯。Claude Code、Codex CLI和Gemini CLI这三个工具目前占据主流位置。它们在实际编码任务中的表现各有不同,具体要看项目类型和个人需求。 Claude Code 官方站点: https://www.anthropic.com/ Gemini …

2026/7/7 11:28:49 阅读更多 →
SAM 3 GPU算力优化部署:FP16量化+ONNX加速,A10显存占用压至7.2GB

SAM 3 GPU算力优化部署:FP16量化+ONNX加速,A10显存占用压至7.2GB

SAM 3 GPU算力优化部署:FP16量化ONNX加速,A10显存占用压至7.2GB 1. 为什么需要优化SAM 3的GPU部署 SAM 3作为Facebook推出的新一代图像视频分割模型,在精度和功能上都有显著提升,但随之而来的是更大的计算资源需求。原始模型在A…

2026/7/4 12:57:53 阅读更多 →
股市赚钱学概论:赚钱理之二,赚年度的钱

股市赚钱学概论:赚钱理之二,赚年度的钱

一个公司正常经营的股票,一年内肯定有所波动,总会有个高点、低点。比如说银行,增长速度很小,参考几年情况,低点、高点大体上有范围的。在低点范围买,高点范围卖,就会有额外收益。这个就是年度的…

2026/5/17 5:45:59 阅读更多 →

最新新闻

ComfyUI整合包一键部署KREA2开源模型:本地AI绘画完整解决方案

ComfyUI整合包一键部署KREA2开源模型:本地AI绘画完整解决方案

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Qwen 随心用,限时 5 折。 👉 点击领海量免费额度 这次我们来看一个最新的 ComfyUI 整合包,重点集成了 KREA2 开源模型。这个整合包来自萝卜大佬的最新更新,包含…

2026/7/7 23:10:28 阅读更多 →
CDFSL 基准实战:4个跨域数据集(EuroSAT/ISIC等)5-way 1-shot 性能对比

CDFSL 基准实战:4个跨域数据集(EuroSAT/ISIC等)5-way 1-shot 性能对比

CDFSL 基准实战:4个跨域数据集5-way 1-shot性能对比当你在医疗影像分析项目中只有5张皮肤病图片可供训练,或是卫星图像分类任务中每类仅能获取1张样本时,传统深度学习方法往往会陷入困境。这正是跨域小样本学习(Cross-Domain Few-…

2026/7/7 23:10:28 阅读更多 →
基于TPS61170与PIC32MZ的高效DC-DC升压转换系统设计

基于TPS61170与PIC32MZ的高效DC-DC升压转换系统设计

1. 高电压DC-DC升压转换系统架构设计当我们需要将低电压电源转换为高电压输出时,TPS61170与PIC32MZ1024EFK144的组合提供了一个高效可靠的解决方案。这个系统架构的核心在于利用TPS61170的高效升压转换能力,配合PIC32MZ1024EFK144微控制器的精确控制功能…

2026/7/7 23:10:28 阅读更多 →
DokuWiki 开源维基引擎:5分钟掌握无数据库知识管理终极方案

DokuWiki 开源维基引擎:5分钟掌握无数据库知识管理终极方案

DokuWiki 开源维基引擎:5分钟掌握无数据库知识管理终极方案 【免费下载链接】dokuwiki The DokuWiki Open Source Wiki Engine 项目地址: https://gitcode.com/gh_mirrors/do/dokuwiki 你是否正在寻找一款轻量级、易部署且功能强大的知识管理工具&#xff1f…

2026/7/7 23:06:27 阅读更多 →
MifareOneTool:一站式智能卡管理解决方案,告别复杂命令行操作

MifareOneTool:一站式智能卡管理解决方案,告别复杂命令行操作

MifareOneTool:一站式智能卡管理解决方案,告别复杂命令行操作 【免费下载链接】MifareOneTool A GUI Mifare Classic tool on Windows(停工/最新版v1.7.0) 项目地址: https://gitcode.com/gh_mirrors/mi/MifareOneTool 当您…

2026/7/7 23:04:26 阅读更多 →
华硕笔记本终极性能优化指南:G-Helper轻量工具完全掌控

华硕笔记本终极性能优化指南:G-Helper轻量工具完全掌控

华硕笔记本终极性能优化指南:G-Helper轻量工具完全掌控 【免费下载链接】g-helper Lightweight Armoury Crate alternative for Asus laptops with nearly the same functionality. Works with ROG Zephyrus, Flow, TUF, Strix, Scar, ProArt, Vivobook, Zenbook, E…

2026/7/7 23:02:26 阅读更多 →

日新闻

鸿蒙新特性:图片画廊与轮播导航——构建沉浸式图片浏览体验

鸿蒙新特性:图片画廊与轮播导航——构建沉浸式图片浏览体验

图片浏览是移动应用中最高频的场景之一。从社交应用的照片流到电商平台的商品图集,从旅游应用的景点相册到摄影作品展示——用户对图片浏览的体验要求不断提高:流畅的切换动画、直观的缩略图导航、便捷的收藏操作、自动播放模式。HarmonyOS NEXT ArkUI 虽…

2026/7/7 0:05:16 阅读更多 →
24V DC-DC降压芯片PW2312B/PW2815,SOT23-6到SOP8-EP方案对比

24V DC-DC降压芯片PW2312B/PW2815,SOT23-6到SOP8-EP方案对比

24V稳压芯片完整选型指南 PW8600 PW75XX PW2815 PW2312B LDODC/DC全方案 一、24V稳压方案概述 24V直流电源在工业自动化、门禁系统、电梯控制、汽车电子、LED驱动、监控设备等场景中应用极广,是最常见的中压直流母线电压。要将24V母线稳定降压至下游MCU、传感器…

2026/7/7 0:05:16 阅读更多 →
RAG+知识图谱混合检索与Graph RAG核心对比

RAG+知识图谱混合检索与Graph RAG核心对比

做企业RAG落地的团队,往往容易卡在一容易踩坑的选型难题: 当需求单纯靠向量RAG搞不定、单纯靠知识图谱也搞不定,必须同时依赖「文本语义理解 实体关系推理」时,到底是做「向量图谱混合检索」就够了,还是必须上「Grap…

2026/7/7 0:07:19 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/7 14:24:45 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/7 12:34:47 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/7 15:59:06 阅读更多 →

月新闻