- 综合排序
- 最热优先
- 最新优先
- 来自专栏鸿鹄实验室
某RAT模块拆分
如题,在某RAT上面拆下来的加载dll的功能,感谢免杀效果还不错,分享一下 memory.
1.2K10编辑于 2021-12-08 - 来自专栏Khan安全团队
神兵利器 - RAT-el
RAT-el是一个开放源代码渗透测试工具,可让您控制Windows计算机。
54110发布于 2021-03-10 - 来自专栏FreeBuf
窃密的浣熊:Raccoon RAT
Raccoon 是一个信息窃密恶意软件,通过恶意软件即服务(MaaS)提供给订阅者,所窃取的信息可能会通过暗网论坛找到潜在的买家。
1K20发布于 2021-10-11 - 来自专栏FreeBuf
DBatLoader 与 Remcos RAT 横扫东欧
研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT,并且主要针对东欧的机构与企业进行攻击。 DBatLoader 通常会滥用公有云基础设施来部署恶意软件,而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。 最近,乌克兰 CERT 披露了有关针对乌克兰国家机构进行攻击的行为,攻击中使用了加密的压缩文件作为电子邮件附件,最终使用 Remcos RAT 进行窃密。 钓鱼邮件示例 DBatLoader 勾结 Remcos RAT 压缩文件 tar.lz 中可能包含 DBatLoader 的可执行文件,也可能包含 Remcos RAT。 参考来源 https://www.sentinelone.com/blog/dbatloader-and-remcos-rat-sweep-eastern-europe/ 精彩推荐
1.4K20编辑于 2023-03-29 - 来自专栏FreeBuf
在Linux上狩猎Netwire RAT
如今攻击者可以选择多种 RAT,现在的这些 RAT 不仅针对 Windows 而是跨平台的(如 CrossRAT、Pupy 与 Netwire)。 Netwire 简介 Netwire 是由 World Wired Labs 开发并销售的 RAT。 user/.config/dbus-notifier/dbus-inotifier Name=system service d-bus notifier 当然,Netwire 不是唯一一个使用这种方法的 RAT 这是将自己隐藏起来的第一步,用以将 RAT 的副本安装到本地文件夹以便长期潜伏。接下来现实了 Netwire 使用 .desktop 进行持久化的机制与其他两个文件的创建。 ? 希望本文能够对检测、阻止环境中的 RAT 提供一些帮助!
1.9K10发布于 2020-04-14 - 来自专栏网络安全技术点滴分享
RAT(木马)恶意Android应用分析
### 系统概述 RAT(木马)恶意Android应用分析。该app允许远程控制Android设备,支持录音、拍照、拦截短信、拨打电话和数据外泄等功能。 **商业间谍**:通过通信拦截实施信息刺探 ### 结论 该Android RAT展示了现代移动恶意软件的典型特征,具备远程控制、数据窃取和持久化等高级能力。 需要源代码研究的同学可以在公众号回复“RAT”下载即可,下载的源代码可以用于编译后做二进制病毒分析跟源代码进行对比学习。但不可用于做坏事,否则后果自负。
69810编辑于 2025-06-16 - 来自专栏网络安全技术点滴分享
Gh0st RAT恶意软件分析:深入剖析DeepSeek Deception攻击行动中的Sainbox RAT与PurpleFox rootkit
幽灵再现 — Gh0st RAT恶意软件分析什么是Gh0st RAT — 历史与变种演变Gh0st RAT(有时拼写为Gh0strat)大约在2008年出现,由一个中国黑客团体创建。 像HiddenGh0st这样的变种已经在相关攻击活动中被记录,这些攻击将Gh0st RAT功能与PurpleFox rootkit结合,用于隐藏文件、注册表和进程。 1.txt内部包含三个部分:包含PurpleFox rootkit的32位和64位驱动文件,以及包含Sainbox Rat的shellcode。 Sainbox Rat从1.txt中提取shellcode,我们得到一个名为Install.dll的32位DLL文件,这就是Sainbox Rat载荷。 这类传统恶意软件的持续演变和有效性,它已被改编为强大的Sainbox RAT。
23910编辑于 2026-02-20 - 来自专栏FreeBuf
钓鱼邮件中的Remcos RAT变种分析
Remcos RAT的出现最早可以追溯到2016年,当时在黑客论坛里作为一种有偿服务进行广告和销售,曾经很多网站和论坛还提供该工具的破解版本。 图2 去混淆使用的函数 Boom.exe的主要目的是为了实现持续性,以及进行反分析检测和在已感染系统种释放/执行Remcos RAT。 图14 AutoIt加载器检查调试器是否存在的代码 Remcos RAT主要载荷 Remcos RAT本来是作为一个让用户远程控制系统的正规合法的远程访问工具进行销售的,但最近却成为了网络罪犯的犯罪利器 图17 Remcos RAT更改注册表项实现驻留 ? 图18 Remcos RAT代码中对注册表的更改 该恶意软件会从其资源段中提取名为“SETTING”的配置。 ? 图23 Remcos RAT mutex 然后,开始收集系统信息,例如用户名,计算机名,Windows版本等,并将这些信息发送到C&C服务器。
1.8K20发布于 2019-09-11 - 来自专栏FreeBuf
冒充银行钓鱼的Remcos RAT Dropper分析
该文件是 Remcos RAT 远控木马,攻击者可以通过该恶意软件获取未授权的远程访问能力。 64.188.19.241/rtc.jpg hxxp://64.188.19.241/ghini.vbs 参考来源 https://inquest.net/blog/2022/01/24/analysis-remcos-rat-dropper
70020编辑于 2022-02-24 - 来自专栏红蓝对抗
ClickFix 技术助力 SmartApeSG 活动部署 NetSupport RAT
研究人员发现 SmartApeSG 活动仍在继续,现在使用 ClickFix 式的伪造 CAPTCHA 攻击向量来传播 NetSupport RAT 有效载荷。 最后阶段从 检索包含 NetSupport RAT 远程管理工具的 ZIP 存档 hxxps[:]//www.iconconsultants[.]com/4nnjson.zip,这是一个 9.1 MB 持久性和命令控制NetSupport RAT 会将其可执行文件放入目标位置 C:\ProgramData\ ,并通过创建一个 Windows 开始菜单快捷方式来建立持久性,该快捷方式会从用户 AppData 一旦成功,远程访问木马(RAT)便会授予远程访问权限,使攻击者能够监视用户、窃取数据或部署二次有效载荷。
28710编辑于 2025-11-14 - 来自专栏秋枫学习笔记
RAT:检索增强的Transformer用于CTR估计
为本文提出了一种检索增强的Transformer(RAT),获取样本内部和样本之间的细粒度特征交互。 通过检索相似的样本,为每个目标样本构建增强输入。
46510编辑于 2024-04-11 - 来自专栏FreeBuf
新型隐形Nerbian RAT恶意软件横空出世
Bleeping Computer 网站披露,网络安全研究人员发现一个名为 Nerbian RAT 的新型恶意软件,它具有逃避研究人员检测和分析的能力。 在部署 Nerbian RAT 之前,UpdateUAV 重用来自各种 GitHub 项目的代码,以整合一组丰富的反分析和检测规避机制。 除此以外,该投放器还通过创建一个预定任务,每小时启动该 RAT 来建立持久性。 Proofpoint 将反分析工具列表总结如下。 所有上述这些检查使 RAT 实际上不可能在沙盒、虚拟化环境中运行,从而确保恶意软件运营商的长期隐蔽性。 Nerbian RAT的功能特点 Nerbian RAT 恶意软件以 "MoUsoCore.exe "形式下载,之后保存到 "C:\ProgramData\USOShared\"中,支持多种功能,背后操作者可以任意选择配置其中的一些功能
73010编辑于 2022-06-08 - 来自专栏FreeBuf
Pekraut:新的RAT木马来袭,功能丰富
最近新出现了一个功能丰富的RAT名为Pekraut,经过分析后推测可能来源于德国。 Pekraut RAT 的命令列表 Pekraut 的客户端可接受 27 条命令,help命令可以得到命令的德文描述,但是命令本身还是英文的。某些命令没有提供解释性描述信息,例如dbg命令。 综上所述,除调试命令外,整个 RAT 的功能已经十分丰富了。恶意软件的作者对代码如此自信,以至于都忽略了阻碍分析的措施。 Pekraut RAT 的安装/卸载 Pekraut 伪装成 svchost.exe 和 Internet Explorer 的更新程序。 连接 C&C 服务器 Pekraut RAT 的 C&C 通信使用 portfowarding 的portmap.io隐藏 C&C 服务器的真实 IP 地址。
1.9K10发布于 2020-05-14 - 来自专栏网络安全技术点滴分享
Mass-RAT远控系统分析
github链接地址:https://github.com/NYAN-x-CAT/Mass-RAT.git
19110编辑于 2025-06-16 - 来自专栏安恒信息
RAT远程访问木马主控端全网探测分析
RAT 简介 远程访问木马(RAT,remote access Trojan)是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。 为了探测更多RAT指纹。研究院针对常见主流 RAT远程访问木马分别做指纹特征分析以便能从全网环境下 精确探测威胁风险。 RAT威胁风险分析 全网RAT远程访问木马,探测根据每一款RAT 指纹来探测全网大IP对发现的IP 数量做出占比统计发现DarkCometRAT在全网范围内占比远大于其他RAT远程访问木马。 探测合计发现数量RAT远程访问木马主控制端数量593,IP数量589。其中存在单个IP,运行多款 RAT主控制端情况。 国家地区RAT威胁 ?
4.6K40发布于 2018-04-16 - 来自专栏FreeBuf
PowerShell-RAT:一款基于Python的后门程序
今天给大家介绍的是一款名叫Powershell-RAT的Python后门,它可以利用Gmail邮件附件来从目标用户的设备中提取数据。 这款RAT可以帮助红队测试人员给任何一台Windows设备安装后门,它不仅可以使用屏幕捕捉功能来跟踪用户的活动,而且还可以通过电子邮件附件来将提取出的数据发送给攻击者。 Powershell-RAT 下载地址点击阅读原文查看。 注:本工具目前还不会被任何反病毒软件检测到,PowerShell-RAT的开发意图是为了进行安全教育并给研究人员提供实验工具,请不要将其用于恶意目的,否则后果自负。 * 参考来源:Powershell-RAT,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
2.3K50发布于 2018-07-30 - 来自专栏kali blog
跨平台多客户端远程访问RAT工具-pyFUD
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,我们需要将项目克隆到本地环境。
22010编辑于 2025-07-28 - 来自专栏网络安全
俄罗斯黑客以新型 RAT 病毒攻击乌克兰政府
思科 Talos 表示,入侵的特点是使用名为 SingleCamper(又名 SnipBot 或 RomCom 5.0)的 RomCom RAT 变体,该公司正在以 UAT-5647 的编号监控活动集群 “此RAT版本直接从注册表加载到内存中,并使用环回地址与其加载程序通信,”安全研究人员 Dmytro Korzhevin、Asheer Malhotra、Vanja Svajcer 和 Vitor Ventura SingleCamper 是 RomCom RAT 的最新版本,负责广泛的入侵后活动,其中包括下载 PuTTY 的 Plink 工具以建立具有对手控制的基础设施的远程隧道、网络侦察、横向移动、用户和系统发现以及数据窃取 披露之际,乌克兰计算机应急响应小组 (CERT-UA) 警告称,名为 UAC-0050 的黑客发起了网络攻击,以使用 Remcos RAT、SectopRAT、Xeno RAT、Lumma Stealer
36710编辑于 2024-10-21 - 来自专栏FreeBuf
如何把Photoshop改造成远程控制工具(RAT)来利用
= "UTF-8"; var content = stdout.read(); stdout.close(); stdout.remove(); alert(content); Photoshop RAT 该功能的此种RAT方式利用,前提必须知晓对方Photoshop服务远程连接密码,因此并不属于漏洞范畴。
2.3K40发布于 2018-02-28 - 来自专栏信安之路
APT-RAT(Poison ivy ) 攻击模拟及监测口令提取
(Poison ivy RAT) 攻击模拟 Poison IVY (以下简称 PIVY)是一款十分强大的窃密木马,PIVY 具有易於使用的功能,且这种方便取用的 RAT 可为攻击者者提供较高的匿名性。 相较於其他 RAT,PIVY 是非常容易操作的。其图形化使用者介面 (GUI) 可让使用者轻松建立新的服器及控制受感染的目标。攻击者只要动一动鼠标即可直接入侵到网络、进行资料窃取。 @2q6U0# c8 99 c2 9e 21 ac 8b c7 4c 23 5f c2 总结及附件 总结 笔者主要对 APT 进行了简单介绍,对 PIVY RAT 的木马上线过程进行了模拟,对其通信过程进行了简单的分析并提取了相关的监测特征
3K00发布于 2018-08-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号