盡管尚未廣泛傳播，但一種名為StilachiRAT的新型Windows遠(yuǎn)程訪問木馬（RAT）構(gòu)成了嚴(yán)重威脅。微軟威脅分析師在周一警告稱：“[該惡意軟件]展示了復(fù)雜的技術(shù)手段，以逃避檢測、在目標(biāo)環(huán)境中持久化并竊取敏感數(shù)據(jù)?！?/p>

StilachiRAT的功能

StilachiRAT具備以下功能：

• 收集系統(tǒng)信息以描繪目標(biāo)系統(tǒng)概覽：包括操作系統(tǒng)/系統(tǒng)信息、硬件標(biāo)識符、BIOS序列號、攝像頭的存在、活動的遠(yuǎn)程桌面協(xié)議（RDP）會話、軟件安裝記錄以及活動的圖形用戶界面（GUI）應(yīng)用程序。
• 信息和憑證竊?。篠tilachiRAT可以獲取存儲在Chrome瀏覽器中的憑證，讀取系統(tǒng)的剪貼板并提取其中的數(shù)據(jù)（如密碼、加密貨幣密鑰以及可能的個人標(biāo)識符），并針對Google Chrome瀏覽器的20種加密貨幣錢包擴(kuò)展程序（包括CoinBase錢包、MetaMask和TronLink）的目標(biāo)配置數(shù)據(jù)進(jìn)行竊取。
• RDP監(jiān)控：威脅分析師指出：“StilachiRAT通過捕獲前景窗口信息并復(fù)制安全令牌來模擬用戶，從而監(jiān)控RDP會話。這在托管管理會話的RDP服務(wù)器上尤其危險，因為它可能會在網(wǎng)絡(luò)內(nèi)實現(xiàn)橫向移動?！?/li>
• 執(zhí)行從命令與控制（C2）服務(wù)器接收的命令：該惡意軟件可以重啟/暫停系統(tǒng)、清除日志、執(zhí)行應(yīng)用程序并檢查哪些應(yīng)用程序處于打開狀態(tài)、修改Windows注冊表值、操作系統(tǒng)窗口、建立新的出站連接以及自我刪除。

反取證與持久化機(jī)制

StilachiRAT通過兩個配置的地址與C2服務(wù)器通信，但其僅在安裝兩小時后執(zhí)行此操作，并且僅在TCPView未運(yùn)行時才會進(jìn)行連接。（TCPView是一種網(wǎng)絡(luò)監(jiān)控工具，可以幫助發(fā)現(xiàn)意外的出站連接，可能表明系統(tǒng)屬于研究人員或分析師。）

該惡意軟件還采取了額外的反取證措施，包括：清除安全日志、檢查分析工具和沙箱的存在、混淆Windows API調(diào)用（以阻礙手動分析）。最后，該惡意軟件還有方法確保其在目標(biāo)計算機(jī)上的持久化。

緩解與檢測措施

微軟尚未將StilachiRAT歸因于特定的威脅行為者或地理位置。分析師解釋說：“根據(jù)微軟目前的可見性，該惡意軟件目前并未表現(xiàn)出廣泛傳播的特點?！?/p>

他們也不知道該惡意軟件是如何傳播到目標(biāo)系統(tǒng)的，因此避免下載和運(yùn)行惡意軟件的一般建議在這里同樣適用。微軟已分享了妥協(xié)指標(biāo)和搜索查詢，可以幫助威脅獵人檢查是否存在該惡意軟件的跡象：如可疑的出站網(wǎng)絡(luò)連接、持久化跡象以及反取證行為。