MysterySnail RAT
根據信息安全研究人員的調查結果,MysterySnail RAT 是一種威脅,與中國 APT(高級持續威脅)組織 IronHusky 相關。該威脅被描述為一種遠程外殼型木馬,大小異常大,為 8.29MB。尺寸異常有多種原因。首先,MysterySnail RAT 是使用 OpenSSL 庫靜態編譯的,並且具有該庫中未使用的代碼。其次,它包含兩個大函數,除了浪費處理器時鐘週期之外沒有任何實際用途。
包含大量多餘代碼的可能原因是為了提高威脅的反檢測和反仿真能力。這一結論也得到了包含各種冗餘邏輯以及多個導出函數而只有一個執行實際任務的支持。
MysterySnail RAT 的詳細信息
總的來說,MysterySnail RAT 並不是此類威脅中最複雜的威脅之一。但是,它通過擴展的功能列表(威脅可以識別總共 20 種不同的命令)進行補償,例如檢測任何插入的磁盤驅動器或能夠充當代理。在從其命令和控制(C&C、C2)服務器接收到適當的命令後,威脅能夠通過創建、讀取、上傳或刪除所選文件來操縱受感染系統的文件系統。 MysterySnail RAT 還可以啟動或終止進程。此外,它還可以打開一個命令提示符窗口,允許攻擊者執行任意命令。
MysterySnail RAT 執行的首要操作之一是收集有關被破壞系統的數據。該惡意軟件會收集詳細信息,例如計算機名稱、Windows 產品名稱、IP 地址、用戶名等。然後將所有收集到的信息上傳到 C2 服務器。至於服務器的地址,分析的威脅樣本有兩個硬編碼的 URL 以純文本形式存儲,充當誘餌。真正的 URL 由一個單字節異或解碼,該異或提供“http[.]ddspadus[.]com”地址。
