摘要：据香港IDC新天域互联了解，近日，微软安全团队有了重大发现，一款名为 StilachiRAT 的新型远程访问木马闯入人们视野，其运用的 “复杂技术”，给网络安全带来了不小挑战。

据香港IDC新天域互联了解，近日，微软安全团队有了重大发现，一款名为 StilachiRAT 的新型远程访问木马闯入人们视野，其运用的 “复杂技术”，给网络安全带来了不小挑战。

这款 StilachiRAT 虽然目前尚未大面积传播，但潜在威胁不容小觑。微软方面果断决定，将相关入侵指标和缓解指南公之于众，全力协助网络防御者们及时察觉这一威胁，尽可能降低其可能造成的危害。由于在实际环境中，StilachiRAT 的部署案例还比较有限，所以暂时无法确定是哪个具体的威胁组织在背后操纵，也难以判断其主要活跃的地域范围。

深入剖析 StilachiRAT，会发现它 “本领” 高强。比如，通过对包含关键功能的 WWStartupCtrl64.dll 模块分析可知，它能使出浑身解数从目标系统中窃取各类敏感信息，像浏览器里存着的账号密码、数字钱包的详细资料、剪贴板里的数据，甚至连系统自身信息都不放过。它还具备强大的侦察能力，收集硬件标识符、探测摄像头是否存在、掌握 RDP 会话状态，以及了解正在运行的图形界面应用程序等不在话下，借此全方位勾勒出目标系统的 “画像”。

一旦在受感染系统中安营扎寨，攻击者就能利用 StilachiRAT 大肆扫描诸如 Coinbase Wallet、Phantom 等 20 种加密货币钱包扩展的配置信息，轻松将数字钱包数据收入囊中。同时，借助 Windows API，它能从谷歌 Chrome 本地状态文件里提取保存的凭证，还时刻盯着剪贴板，不放过任何可能的密码或加密货币密钥等敏感内容，顺便把活动窗口和应用程序也纳入监控范围。

在维持自身运行方面，StilachiRAT 通过 Windows 服务控制管理器获得持久运行权限，配合看门狗线程，一旦发现自身二进制文件失效，马上自动重建。更危险的是，它能监控 RDP 会话，克隆安全令牌伪装成登录用户，让攻击者得以在受害者网络中肆意横向移动。不仅如此，它还有一套躲避检测和反取证的手段，像清除事件日志、识别沙箱环境并阻止分析等。哪怕被诱骗在沙箱运行，其 Windows API 调用也经过特殊编码和混淆处理，大大增加分析难度。

面对 StilachiRAT 带来的安全隐患，微软建议广大用户，务必从官方正规网站下载软件，同时安装可靠的安全软件，阻挡恶意域名和邮件附件，为自身网络安全筑牢防线。

来源：小安科技园地