摘要：一种名为Triton的基于 Python 的复杂远程访问工具（RAT）已成为一种重大安全威胁，它利用 Telegram 作为命令和控制（C2）基础设施。该恶意软件能够使攻击者远程访问并控制受感染的计算机，特别是在获取可以绕过双因素身份验证的 Roblox 凭证

网络安全

一种名为Triton的基于 Python 的复杂远程访问工具（RAT）已成为一种重大安全威胁，它利用 Telegram 作为命令和控制（C2）基础设施。该恶意软件能够使攻击者远程访问并控制受感染的计算机，特别是在获取可以绕过双因素身份验证的 Roblox 凭证和安全 cookie 方面表现突出。

Triton RAT 的工作原理是通过从 Pastebin 拉取 Base64 编码的 URL，获取其 Telegram Bot 令牌和聊天 ID，从而建立隐蔽的通信渠道。一旦部署，它可以提供全面的系统控制功能，包括键盘记录、密码窃取、屏幕录制、网络摄像头访问以及剪贴板数据泄露等。

Cado Security 的研究人员在对一系列攻击进行调查时发现了这一威胁，并指出，Triton RAT 的广泛功能使其在针对性攻击中尤为危险。

Triton RAT 分析

分析表明，该恶意软件具有从多个浏览器（特别是 Chrome、Brave 和 Firefox）的配置文件中提取已保存凭据的功能，并且特别关注 Roblox 安全 cookie（.ROBLOSECURITY）。感染通常通过社会工程学手段获得初始访问权限，随后收集大量的系统信息，包括硬件规格、网络配置和用户帐户详细信息。

所有收集到的数据都会通过 Telegram 高效地传输给攻击者，从而实现对受感染系统的实时监控和控制。Triton RAT 还展示了复杂的持久性策略，它通过部署多个协同工作的组件来保持访问。有效负载通常被存储在隐藏的文件夹结构中并以管理员权限执行。

例如：“C:\Users\user\AppData\Local\Programs\Proton\Drive”

Triton RAT 还利用反分析技术，检查受害系统中的“黑名单”进程（包括调试工具和防病毒软件），这一策略表明其创建者有意规避检测，同时保持对受感染系统的持续控制。

恶意软件代码片段示例：

总的来说，Triton RAT 是一个高度复杂的工具，具备强大的窃取功能和高度的持久性，能够持续保持对受感染系统的控制，同时隐蔽地通过 Telegram 进行操作和通信。

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧！

来源：胜白带您了解历史