SpankRAT 木马利用合法 Windows 资源管理器进程实现隐蔽攻击与延迟检测
好的,我现在需要帮用户总结这篇文章的内容,控制在100字以内。首先,我得快速浏览文章,抓住主要信息。 文章讲的是一个名为SpankRAT的新型远程访问木马工具包,用Rust编写。它通过滥用合法的Windows进程来绕过安全防护,检测率很低。攻击分为两个阶段:SpankLoader加载器和SpankRAT远程控制模块。加载器通过HTTP获取载荷,利用提权技术注入explorer.exe进程,并创建计划任务以维持持久访问。SpankRAT功能全面,支持多种指令,通过WebSocket通信。 入侵指标包括C2服务器、恶意文件、释放路径等。防护建议包括部署行为检测规则,关注特定活动,并使用动态沙箱分析。 现在要将这些信息浓缩到100字以内。重点包括:工具包名称、语言、隐蔽性、攻击阶段、注入技术、功能和防护建议。 可能的结构:介绍工具包及其特点,攻击链的两个阶段,功能模块,以及建议措施。 最后检查字数是否符合要求,并确保内容准确简洁。 </think> 研究人员发现一款名为SpankRAT的新型双组件远程访问木马工具包,采用Rust编写,通过滥用合法Windows进程绕过安全防护机制,在VirusTotal检测率极低的情况下维持持久访问。该工具包利用受信任系统进程路由C2流量,具有高度隐蔽性。攻击链分为两阶段:SpankLoader加载器通过HTTP协议获取主载荷并注入explorer.exe进程;SpankRAT模块通过WebSocket与C2服务器通信,支持多种远程控制指令。建议部署行为检测规则以识别此类威胁。 2026-4-16 09:31:29 Author: www.freebuf.com(查看原文) 阅读量:15 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

网络安全研究人员发现一款名为 SpankRAT 的新型双组件远程访问木马(RAT)工具包,该工具采用 Rust 语言编写,能够滥用合法 Windows 进程绕过基于信誉的安全防护机制,在 VirusTotal 检测率极低的情况下维持对受感染环境的持久访问。

ANY.RUN 研究团队分析指出,该工具包通过受信任系统进程路由C2流量,因此被标记为具有高度隐蔽性的重大威胁。由于恶意网络活动源自合法 Windows 二进制文件,该工具包可规避基于信誉的检测机制,在事件分类时被降低优先级,导致安全运营中心(SOC)的可见性大幅降低,漏报风险显著增加。

攻击第一阶段:SpankLoader 加载器

攻击链始于 SpankLoader,这个轻量级初始加载器通过未加密的 HTTP 协议从C2服务器获取主载荷。执行时,加载器会利用 SeDebugPrivilege 提权,将恶意 DLL(rmm_agent.dll)释放至 C:\ProgramData\ 目录,随后通过经典 DLL 注入技术将其植入合法的 explorer.exe 进程。

为确保重启后维持访问,SpankLoader 会创建名为 RmmAgentCore 的计划任务,配置登录触发器并以最高权限执行。这种注入 explorer.exe 的技术尤其危险——它使得恶意软件产生的网络流量看似源自受信任的 Windows 系统进程,从而有效规避传统终端和网络检测方案。

完整功能:SpankRAT 远程控制模块

成功植入 explorer.exe 后,SpankRAT 会通过基于 JSON 的通信协议,与C2服务器(ws://<C2>:9000/ws/agent)建立 WebSocket 连接。功能完备的变种支持 18 种服务器指令,为攻击者提供对受感染系统的全面控制。

SpankRAT 执行链

其指令集涵盖以下操作能力:

  • 会话管理:系统注册、心跳遥测(CPU、内存、磁盘、运行时间)
  • 远程执行:任意命令执行(返回标准输出及退出代码);通过 Start-Process -Verb RunAs 实现 UAC 提权
  • 文件操作:列表查看、读取、上传、删除、重命名文件及创建目录
  • 进程控制:枚举运行中进程(PID、名称、内存占用、用户、CPU);终止进程
  • Windows 服务:列举服务;启动、停止或重启服务
  • 注册表操作:完整增删改查功能——读取键值、设置/创建/删除注册表项
  • 计划任务:列举、运行及切换计划任务
  • 软件清单:枚举已安装程序

所有系统交互均通过附带 -NoProfile -NonInteractive -ExecutionPolicy Bypass 参数的 PowerShell 执行,操作系统指纹信息直接从注册表获取构建编号和产品名称。分析期间,绝大多数 SpankRAT 样本在 VirusTotal 上仍未被检出,暴露出依赖特征码和信誉评分的检测方式存在重大缺陷。

入侵指标(IOC)

安全团队应排查以下关键指标:

  • C2服务器45.131.214[.]132:9000(HTTP暂存+WebSocket C2)、166.1.144[.]109:9000(备用WebSocket C2变体)
  • 代理哈希f0afbbb3c80e5347191452f2f3b147627e9d1ae4d60b61d6da900a60b35eec95
  • 恶意文件RmmAgentCore.exe(加载器)、rmm_agent.dll(载荷)、arc_agent.exe(独立变体)
  • 释放路径C:\ProgramData\
  • 持久化机制:计划任务 RmmAgentCore(登录触发、最高权限)
  • 注入目标explorer.exe
  • 构建环境:Rust(Cargo);Windows MSVC + Linux 交叉编译;开发路径含 C:\Users\spank\.cargo\/root/.cargo\

防护建议

安全运营团队应优先部署行为检测规则,重点关注:

  • explorer.exe 的 DLL 注入行为
  • 使用高权限创建未授权计划任务
  • 非浏览器系统进程发起的出站 WebSocket 连接

通过 SIEM 或 EDR 遥测数据,可搜寻路径匹配 */download/rmm_agent.dll* 的 HTTP GET 请求来识别 SpankLoader 活动。建议仅依赖杀毒软件或信誉工具的组织在分类流程中引入动态沙箱分析,以缩短 SpankRAT 等威胁的驻留时间。

参考来源:

SpankRAT Exploits Windows Explorer Processes for Stealth and Delayed Detection

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/system/477648.html
如有侵权请联系:admin#unsafe.sh