幽灵再现 — Gh0st RAT恶意软件分析什么是Gh0st RAT — 历史与变种演变Gh0st RAT有时拼写为Gh0strat大约在2008年出现由一个中国黑客团体创建。由于其源代码后来被公开发布它成为许多攻击者武器库中的持久工具——被不断修改、适配和扩展。一种持续的战术是将其与内核级rootkit捆绑或配对以隐藏其存在并使检测复杂化。像HiddenGh0st这样的变种已经在相关攻击活动中被记录这些攻击将Gh0st RAT功能与PurpleFox rootkit结合用于隐藏文件、注册表和进程。最近在DeepSeek Deception攻击活动中发现了Sainbox RAT一个Gh0st衍生的后门与PurpleFox rootkit一起通过MSI安装程序、侧加载的DLL和shellcode载荷进行投递。样本分析从Malware Bazaar获取此恶意软件样本后我们观察到其表现出以下行为伪造的MSI安装程序伪装成Chrome或流行应用安装程序DLL侧加载— 攻击链包含一个真实的浏览器二进制文件以减少怀疑和一个良性EXE文件mctty.exe良性EXE成为DLL侧加载的宿主进程加载器写入Run注册表项并使用rootkit来掩盖RAT的存在使其不被安全工具发现劫持加载器—sqlite3.dll导出sqlite3_open以进行伪装但实际上读取一个1.txt文件分配可执行内存并将其内容注入到mctty.exe进程中运行1.txt中嵌入的双重载荷PurpleFox rootkit组件用于内核级隐藏隐藏文件、进程、注册表项Sainbox RAT一个Gh0st变种后门提供远程访问、数据窃取和命令执行能力伪造的Chrome安装程序解压MSI安装程序后可以看到以下文件ChromeSetup.exemctty.exesqlite3.dlltxtmsvcp140.dllvcruntime140.dllmsvcr100.dll这其中确实包含一个合法的ChromeSetup.exe副本以及多个合法的DLL文件。然而实际的恶意载荷是sqlite3.dll和txt文件。检查txt文件时发现它实际上包含两个PE文件一个32位另一个64位每个都被列为驱动程序文件。执行链在执行过程中我们看到安装程序将cab文件中的文件释放到路径C:\ProgramData\cPZECO然后启动EXE文件mctty.exe该文件从同一路径加载恶意的sqlite3.dll。随后该EXE将执行三个操作sqlite3.dll将从1.txt读取到内存中的shellcode注入到mctty.exe进程中。通过在CurrentVersion\Run中设置mctty.exe开机启动创建用户级持久化。创建并启动一个可疑的.BAT文件 —8553C0C8.bat位于AppData\Roaming\Beacon该脚本连接域名ee[.]bsjdwn[.]com。脚本8553C0C8.bat的功能是检查mctty.exe进程是否正在运行如果未找到该进程它将直接从脚本启动它并持续在任务列表中检查该进程。在安装过程中还会通过ChromeSetup.exe安装一个合法的Chrome实例以避免引起用户怀疑。侧加载的DLL载荷的投递由sqlite3.dll处理。该DLL通过搜索顺序劫持的方式从相同的本地安装路径加载此文件既负责恶意软件的持久化也充当下一阶段的加载器。持久化该DLL通过RegSetValueExW将其自身路径写入HKCU Run注册表项建立用户级持久化。然后它充当主要载荷的加载器。线程注入此过程打开1.txt打包的shellcode读取它并使用VirtualAlloc获取一个RWX可读写执行内存块。它将载荷复制到该缓冲区然后启动一个新线程从该位置开始执行。Sainbox和PurpleFox载荷实际执行的功能包括两个载荷的功能都被塞进了1.txt中并通过sqlite3.dll注入内存。1.txt内部包含三个部分包含PurpleFox rootkit的32位和64位驱动文件以及包含Sainbox Rat的shellcode。此shellcode是通过开源工具sRDIShellcode Reflective DLL Injection生成的该工具能将DLL文件转换为shellcode。Sainbox Rat从1.txt中提取shellcode我们得到一个名为Install.dll的32位DLL文件这就是Sainbox Rat载荷。Sainbox shellcode会释放一个名为GetMP.exe的二进制文件。这只是一个重命名的Mimikatz启动后会运行标准的mimikatz命令GetMP privilege::debug sekurlsa::logonpasswords exit它会检查以下安全工具360tray.exe, 360sd.exe, kxetray.exe, KSafeTray.exe, QQPCRTP.exe, HipsTray.exe, BaiduSd.exe, baiduSafeTray.exe, KvMonXP.exe, RavMonD.exe, QUHLPSVC.EXE, QuickHeal, mssecess.exe, cfp.exe, SPIDer.exe, DR.WEB, acs.exe, Outpost, V3Svc.exe, AYAgent.aye, avgwdsvc.exe, f-secure.exe, F-Secure, avp.exe, Mcshield.exe, egui.exe, NOD32, knsdtray.exe, TMBMSRV.exe, avcenter.exe, ashDisp.exe, rtvscan.exe, remupd.exe, vsserv.exe, BitDefender, PSafeSysTray.exe, ad-watch.exe, K7TSecurity.exe, UnThreat.exe, UnThreat, MsMpEng.exe观察到多个功能专门针对各种用户配置文件路径进行删除。这可能旨在特意减缓对受感染主机的取证分析速度。列出的每个应用程序如下QQ.exe, Telegram.exe, Firefox.exe, Chrome.exe, Msedge.exe, SogouExplorer.exe, 360Chrome.exe, 360se6.exe远程桌面被启用将策略位HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections翻转设置为0。该样本通过GetModuleFileNameA获取自身可执行文件路径然后构建一个隐藏的PowerShell命令该命令调用Add-MpPreference以将该路径加入白名单powershell -WindowStyle Hidden Add-MpPreference -ExclusionPath \%s\PurpleFoxPurpleFox首先将自己设置为内核中一个名为QAssist的隐藏系统设备。然后该程序向QAssist发送命令以开启其隐藏功能并精确指示要隐藏哪些文件、进程和注册表项。作为一个内核级rootkitPurpleFox的主要作用是规避检测。它使用以下命令集来操纵操作系统并主动向安全工具隐藏其存在和恶意行为Hid_State— 激活驱动程序Hid_StealthMode— 自身隐藏模式Hid_HideFsDirs— 隐藏目录Hid_HideFsFiles— 隐藏文件Hid_HideRegKeys— 隐藏注册表项Hid_HideRegValues— 隐藏注册表值Hid_IgnoredImages— 指定例外进程Hid_ProtectedImages— 指定受保护进程Hid_HideImages— 隐藏进程结论DeepSeek Deception攻击行动展示了像Gh0st RAT这类传统恶意软件的持续演变和有效性它已被改编为强大的Sainbox RAT。样本分析清楚地揭示了一个复杂的多阶段感染链利用一个令人信服的伪造MSI安装程序通过一个良性的宿主进程mctty.exe执行DLL侧加载攻击。此感染链的核心是从打包文件1.txt中注入的双重载荷它同时部署了Sainbox RAT用于远程控制、凭证窃取通过Mimikatz、规避安全工具和破坏性行为以及PurpleFox rootkit用于内核级持久化和最终掩盖整个入侵行为。IOCsSHA256ChromeSetup-6581.msi - 42faf503afd58bc7aa37f5d4340be11895cae9d29da75bfaa97180671172304csqlite3.dll - 0aedfcd4fd87d514d611ffb5605f0a956710685f37dead4c410cd9f890568b061.txt - f55d496329e1e9f1ebe9713b47f160f4e23cdab828b338111156cbf850a9c85emctty.exe - c123f39c6ef4b00863848d0146062a65d201931f78f1eb348f6a57e22e70048132.sys - 15af9964bcf4938d3b4ab9bb15dc0f297d7ca596a86f8f1d9572f957f5441ddd64.sys - 1006caa9f350f4e166704b0f35d10814982f6e238c06001b2508001f0104182b域名ee[.]bsjdwn[.]comIP地址45.207.12.71FINISHEDCSD0tFqvECLokhw9aBeRqmBSweG13cscZ9DbzQFnkaflACiJYHgfyTMQ/gLXDa/GQpIIVPyJNpmgF1nw1pEpLtN1e4GtbxXP2MhoQf0DimtRT3Ld1FXFxB2VmWLxr更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享