MysterySnail RAT
根据信息安全研究人员的调查结果,MysterySnail RAT 是一种威胁,与中国 APT(高级持续威胁)组织 IronHusky 相关。该威胁被描述为一种远程外壳型木马,大小异常大,为 8.29MB。尺寸异常有多种原因。首先,MysterySnail RAT 是使用 OpenSSL 库静态编译的,并且具有该库中未使用的代码。其次,它包含两个大函数,除了浪费处理器时钟周期之外没有任何实际用途。
包含大量多余代码的可能原因是为了提高威胁的反检测和反仿真能力。这一结论也得到了包含各种冗余逻辑以及多个导出函数而只有一个执行实际任务的支持。
MysterySnail RAT 的详细信息
总的来说,MysterySnail RAT 并不是此类威胁中最复杂的威胁之一。但是,它通过扩展的功能列表(威胁可以识别总共 20 种不同的命令)进行补偿,例如检测任何插入的磁盘驱动器或能够充当代理。在从其命令和控制(C&C、C2)服务器接收到适当的命令后,威胁能够通过创建、读取、上传或删除所选文件来操纵受感染系统的文件系统。 MysterySnail RAT 还可以启动或终止进程。此外,它还可以打开一个命令提示符窗口,允许攻击者执行任意命令。
MysterySnail RAT 执行的首要操作之一是收集有关被破坏系统的数据。该恶意软件会收集详细信息,例如计算机名称、Windows 产品名称、IP 地址、用户名等。然后将所有收集到的信息上传到 C2 服务器。至于服务器的地址,分析的威胁样本有两个硬编码的 URL 以纯文本形式存储,充当诱饵。真正的 URL 由一个单字节异或解码,该异或提供“http[.]ddspadus[.]com”地址。
