文章总结： 文章剖析SteaeliteRAT攻击链，黑客借游戏辅助投递携带便携式JRE的下载器，利用PowerShell与cmstp.exe绕过UAC并屏蔽Defender。该木马集勒索、远控、窃密及剪贴板劫持于一身，具备持久化驻留与对抗杀软能力。文中提出审计Defender排除项、监控LOLBins调用及封锁C2地址等防御建议，揭示利用系统信任机制的攻击逻辑。 综合评分： 90 文章分类： 恶意软件,威胁情报,实战经验,安全建设

起底 Steaelite RAT：集勒索、远控、窃密于一身的“全能型”黑客利器

原创

Hankzheng Hankzheng

技术修道场

2026年3月5日 07:59 广东

嘿，各位老铁！今天咱们不聊那些虚头巴脑的架构大道理，直接上点“硬菜”。

最近我盯着威胁情报看，发现一个挺有意思（也挺阴损）的事儿：那帮黑客开始盯上咱技术宅和游戏玩家了。他们把木马塞进游戏辅助工具里，通过浏览器和聊天软件到处撒网。最绝的是，这玩意儿还带了个“全能型”Java 远程控制木马（RAT）。

今天我就带大家拆解一下这个攻击链路，看看这帮家伙是怎么在你的电脑里“躲猫猫”的。身为技术人，咱不仅要会修 Bug，还得学会怎么防这种“暗箭”。

一、 深度复盘：这波攻击是怎么“溜”进来的？

这次的攻击链路设计得非常精巧，完全是一套针对现代系统防御体系的“组合拳”。黑客深知现在的杀软对 .exe 监控极严，所以他们另辟蹊径。

1. 降维打击：自带 JRE 的“全家桶”

黑客并没有直接扔给你一个需要安装的程序，而是下发了一个恶意的 Downloader。这个下载器最骚的操作是：它自带了一个便携式的 Java 运行环境 (Portable JRE)。 原理： 很多用户的电脑没装 Java，或者版本不对，黑客干脆自己带一个环境，然后静默执行一个名为 jd-gui.jar 的恶意包。这种做法不仅解决了环境依赖，还利用 Java 的跨平台特性实现了极高的兼容性。

2. 借刀杀人：玩转 LOLBins

这是最让运维和安全工程师头疼的地方。黑客没有使用自己的可执行文件，而是调用了系统自带的“良民”工具：

• PowerShell：

  负责前期的脚本拉取和混淆执行。

• cmstp.exe：

  这是 Windows 的连接管理器配置文件安装工具。黑客利用它来绕过 UAC（用户帐户控制）并实现静默执行。通过 cmstp.exe 加载恶意的 INF 文件，可以在不弹出警告的情况下获取更高权限。

二、 攻防博弈：如何让 Microsoft Defender “睁眼瞎”？

如果说入口点是“巧劲”，那进入系统后的持久化就是“苟”到了极致。为了不被发现，这帮人做了三层防护：

第一层：主动屏蔽杀软。 木马运行后，会立即通过脚本修改注册表或使用 PowerShell 命令，将自己所在的目录和核心组件直接添加到 Microsoft Defender 的排除项（Exclusions）中。这意味着 Defender 哪怕扫描到了它，也会视而不见。

第二层：自毁痕迹。 初始的 Downloader 在完成任务后会立即自我删除，让溯源分析变得非常困难，只留下内存中运行的 Java 进程。

第三层：持久化常驻。 他们创建了一个名为 world.vbs 的启动脚本，并配合 Windows 计划任务 (Scheduled Task)。哪怕你重启电脑，这个 VBS 脚本也会第一时间唤醒木马。

三、 核心武器：Steaelite RAT 到底有多恐怖？

文章提到了一个去年 11 月刚在黑客论坛冒头的新型号——Steaelite RAT。这玩意儿简直是 RAT 界的“瑞士军刀”，它不仅仅是远控，更是一个“犯罪工作站”。

1. 全能型“控制面板”

Steaelite 提供了一个基于 Web 的后端面板，黑客只需要在网页上点点鼠标，就能像管理云服务器一样控制你的电脑。它甚至还集成了 Android 勒索模块（在路上了），准备实现全平台收割。

2. 令人发指的功能列表：

• 双重勒索：

  既能像传统 RAT 一样通过 Keylogging 窃取你的密码，又能一键下发勒索软件，加密你的重要文件。

• 剪贴板劫持 (Clipper)：

  当你复制虚拟货币钱包地址时，它会在瞬间把你粘贴的地址替换成黑客的。老铁们，这招最阴，一不留神钱就没了！

• “黑吃黑”功能：

  它会自动检测并清除电脑里其他的木马，甚至能关闭竞争对手的连接。好家伙，这还是个“独狼”。

• 全方位监视：

  实时屏幕直播、摄像头偷拍、麦克风监听、文件随意上传下载，你在它面前基本就是透明的。

四、 硬核防御建议：身为技术人，我们该怎么办？

这种基于 Java 和系统原生工具的攻击，普通的杀毒软件有时候真的会“漏球”。我给各位总结了几个实操建议：

1. 审计 Defender 排除项：

定期跑一下这个 PowerShell 命令： Get-MpPreference | Select-Object -ExpandProperty ExclusionPath 如果发现莫名其妙的路径（特别是 Temp 或 AppData 目录），赶紧查查！

2. 监控高危 LOLBins 调用：

在公司环境下，应该通过 EDR 或日志审计，重点监控 cmstp.exe 的异常调用，尤其是它加载非标准 INF 文件的时候。

3. 封禁 C2 通讯：

根据最新的威胁情报，立即在网关防火墙封禁 IP 79.110.49.15。这不仅是 Steaelite 的 C2 节点，也是多款木马的集散地。

五、 总结与碎碎念

这次的案例再次证明：没有什么绝对安全的系统，只有被忽略的防御细节。 黑客利用“游戏辅助”作为诱饵，本质上是利用了人性的弱点；而技术上利用 Java + LOLBins，则是利用了系统信任机制的空子。

最后，我想说： 技术本身没有善恶，但掌握技术的人有。在这个网络边界日益模糊的时代，保持好奇心的同时，也要保持对未知的警惕。不要乱点来源不明的工具，尤其是那些提示你“请关闭杀毒软件运行”的东西！

看完这篇文章，你是否也想查查自己的电脑有没有被设为“排除项”？

你对 Steaelite RAT 的反混淆或者 Java 逆向感兴趣？

点个“在看”并在评论区留言。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《起底 Steaelite RAT：集勒索、远控、窃密于一身的“全能型”黑客利器》