KkRAT 恶意软件

信息安全研究人员发现了一个针对中文用户的恶意软件活动，该活动使用了一种此前未记录的远程访问木马（kkRAT）。该活动似乎自 2025 年 5 月初开始运行，并结合了常见的 RAT 技术、模块化加载器和欺骗手段，以逃避检测并实现持久化。

威胁来源和代码线链接

分析显示，kkRAT 大量借鉴了现有家族的攻击方式：其网络协议和部分代码结构与 Gh0st RAT（幽灵 RAT）和 Big Bad Wolf（大灰狼）类似，后者曾被中国网络犯罪集团使用。作者在压缩的基础上添加了额外的加密，构建了一个类似幽灵 RAT 的通信通道，并额外添加了加密步骤。

交付方式——在 GITHUB 页面上托管的虚假安装程序

攻击者在 GitHub Pages 上托管钓鱼页面，冒充热门应用程序（例如钉钉），并通过虚假安装程序传播三个木马病毒。通过滥用 GitHub 的声誉，攻击者提高了受害者信任并运行安装程序的可能性。专家指出，用于托管这些页面的 GitHub 帐户已失效。

安装程序行为

伪造的安装程序在执行时会执行多项检查，以检测沙盒环境和虚拟机，并尝试绕过安全控制。它会提示输入管理员权限；如果获得权限，它会枚举并暂时禁用活动的网络适配器——此功能用于干扰防病毒网络检查，并在执行更改时中断正常的防病毒操作。

反杀毒技术

该恶意软件使用自带漏洞驱动程序 (BYOVD) 技术来破坏端点保护，并重用 RealBlindingEDR 开源项目的代码。它专门搜索并攻击以下消费者和企业保护套件：

360互联网安全套件

360全方位安全

HeroBravo 系统诊断套件

金山毒霸

QQ电脑管家

在终止相关的防病毒进程后，安装程序会创建一个以 SYSTEM 权限运行的计划任务，该任务会在每次用户登录时执行批处理脚本，确保每次登录时自动终止目标 AV 进程。该恶意软件还会以禁用网络检查的方式修改 Windows 注册表项，然后在修改完成后重新启用网络适配器。

有效载荷链

安装程序的主要作用是运行shellcode，它会从硬编码的URL获取并执行一个名为“2025.bin”的混淆二级shellcode文件。该shellcode充当下载器，检索名为“output.log”的构件，然后该构件会联系两个URL下载两个ZIP压缩包：

• trx38.zip — 包含合法的可执行文件以及通过 DLL 侧加载启动的恶意 DLL。
• p.zip — 包含一个名为 longlq.cl 的文件，其中包含加密的最终有效载荷。

该恶意软件会创建指向 trx38.zip 中合法可执行文件的快捷方式，并将该快捷方式放置在用户的“启动”文件夹中以保持持久性，然后运行该合法可执行文件，从而侧载恶意 DLL。该 DLL 会解密并执行 longlq.cl 中包含的最终有效载荷。该攻击活动的最终有效载荷因攻击活动实例而异；其中一个已确认的有效载荷是 kkRAT。

kkRAT 功能（命令、插件和行为）

kkRAT 通过套接字连接到 C2 服务器，对受感染的主机进行分析，并下载可实现广泛远程控制和数据收集的插件和命令。其功能包括：

• 屏幕捕获和用户输入模拟（键盘和鼠标）
• 读取和修改剪贴板内容（用于加密货币地址替换）
• 启用远程桌面功能并启动/远程关闭应用程序，包括浏览器
• 通过交互式 shell 执行远程命令
• 屏幕 Windows 管理和进程列表/终止
• 枚举活动网络连接
• 列出已安装的应用程序并卸载选定的软件
• 读取自动运行注册表值并枚举自动运行条目
• 充当 SOCKS5 代理来路由流量并可能绕过防火墙或 VPN

kkRAT 还包含剪辑功能，可以替换复制的加密货币钱包地址，以及从一系列浏览器和消息应用程序中清除数据的例程（观察示例：360 极速浏览器、Google Chrome、Internet Explorer、Mozilla Firefox、QQ 浏览器、搜狗浏览器和 Telegram）。

摘要 — 此次攻击活动为何意义重大

此次攻击活动以其以下特点而引人注目：通过看似合法的 GitHub Pages 进行社会工程学分发；先进的反分析和反杀毒技术（沙盒/虚拟机检测、使用 RealBlindingEDR 代码的 BYOVD）；使用 DLL 侧载和加密载荷容器的多阶段加载器；以及功能齐全的 RAT（kkRAT），支持信息窃取（剪贴板劫持、屏幕截图、数据泄露）和操作工具（远程管理工具、代理）。模块化架构意味着最终载荷可以互换，从而提高了操作人员的灵活性，并使检测和归因变得更加复杂。