当前位置： 当前位置：首页 >系统运维 >隐秘的 StilachiRAT 窃取数据并可能实现横向移动正文

尽管尚未广泛传播，隐秘但一种名为StilachiRAT的数据新型Windows远程访问木马（RAT）构成了严重威胁。微软威胁分析师在周一警告称 ：“[该恶意软件]展示了复杂的现横向移技术手段  ，以逃避检测 、隐秘在目标环境中持久化并窃取敏感数据 。数据”

StilachiRAT的现横向移功能

StilachiRAT具备以下功能：

收集系统信息以描绘目标系统概览 ：包括操作系统/系统信息、硬件标识符 、隐秘BIOS序列号 、数据摄像头的现横向移存在 、香港云服务器活动的隐秘远程桌面协议（RDP）会话
 、软件安装记录以及活动的数据图形用户界面（GUI）应用程序。信息和凭证窃取：StilachiRAT可以获取存储在Chrome浏览器中的现横向移凭证，读取系统的隐秘剪贴板并提取其中的数据（如密码 、加密货币密钥以及可能的数据个人标识符），并针对Google Chrome浏览器的模板下载现横向移20种加密货币钱包扩展程序（包括CoinBase钱包
、MetaMask和TronLink）的目标配置数据进行窃取。RDP监控 ：威胁分析师指出
：“StilachiRAT通过捕获前景窗口信息并复制安全令牌来模拟用户  ，从而监控RDP会话。这在托管管理会话的RDP服务器上尤其危险，因为它可能会在网络内实现横向移动  。”执行从命令与控制（C2）服务器接收的命令 ：该恶意软件可以重启/暂停系统 、清除日志、执行应用程序并检查哪些应用程序处于打开状态、服务器租用修改Windows注册表值、操作系统窗口
、建立新的出站连接以及自我删除
。反取证与持久化机制

StilachiRAT通过两个配置的地址与C2服务器通信 ，但其仅在安装两小时后执行此操作 
，并且仅在TCPView未运行时才会进行连接。（TCPView是一种网络监控工具 ，可以帮助发现意外的出站连接 ，云计算可能表明系统属于研究人员或分析师。）

该恶意软件还采取了额外的反取证措施，包括：清除安全日志、检查分析工具和沙箱的存在、混淆Windows API调用（以阻碍手动分析）。最后 ，该恶意软件还有方法确保其在目标计算机上的持久化。

缓解与检测措施

微软尚未将StilachiRAT归因于特定的威胁行为者或地理位置 。亿华云分析师解释说：“根据微软目前的可见性，该恶意软件目前并未表现出广泛传播的特点。”

他们也不知道该恶意软件是如何传播到目标系统的 ，因此避免下载和运行恶意软件的一般建议在这里同样适用。微软已分享了妥协指标和搜索查询 ，可以帮助威胁猎人检查是否存在该恶意软件的建站模板迹象：如可疑的出站网络连接
 、持久化迹象以及反取证行为 。