文章总结: 文档剖析了红队工具MDUT-Extend植入RAT的全链路攻击,攻击者利用合法云服务Mapbox隐蔽下发载荷,通过无文件技术在内存中执行。木马具备浏览器凭据窃密、系统画像及全盘文件AES加密外传功能,危害极大。建议安全人员关注此类供应链攻击与LivingofftheLand技术,排查相关C2地址与持久化痕迹。 综合评分: 87 文章分类: 恶意软件,逆向分析,红队,威胁情报
红队工具 – MDUT-Extend 植入高级间谍木马(RAT)全链路分析
Khan安全团队
2026年3月26日 18:55 中国香港
https://github.com/DeEpinGh0st/MDUT-Extend-Release/issues/22
该木马的植入逻辑极其老练,采用了多级跳板和云服务掩护技术:
- 诱饵阶段:用户下载并运行 MDUT-Extend 执行 MongoDB 利用功能。
- 加载阶段 (
https.py):
- 脚本静默安装
requests依赖。 - 利用 Mapbox API(合法云服务)作为指令中转站,下载 Base64 加密的第二阶段载荷。
- 执行阶段 (
pozos.py):
- 载荷直接在内存中
exec(),不产生本地文件。 - 建立互斥锁(Mutex)防止重复运行,并在注册表/隐藏目录实现持久化身份识别。
- 收割阶段:自动触发全方位的敏感信息窃取模块。
核心恶意功能拆解
#
通过对 pozos.py 源码的分析,该木马的危害远超常规后门:
1. 浏览器“核弹级”窃密
木马内置了针对 Chrome、Edge、Brave、Firefox 的自动化解密插件。
- 脱库攻击:它会直接拷贝浏览器的
Login Data、Cookies、History数据库。 - 绕过加密:利用
win32crypt调用系统 API 解密受害者存储在浏览器中的所有网站账号和密码。 - Session 劫持:窃取 Cookies 意味着攻击者可以绕过 MFA(多因子认证)直接接管你的 GitHub、阿里云、公司内网后台。
2. 系统画像与历史痕迹搜集
脚本执行后会立即运行 tasklist、ipconfig、netstat 等命令。最危险的是,它会专门提取 .bash_history 和 .zsh_history。对于安全人员来说,这些历史记录中往往包含临时 API 密钥、数据库连接字符串或内网渗透路径。
全盘文件外泄(Exfiltration)
#
木马包含一个精密的过滤引擎:
- 目标:自动搜索全盘(包括外挂硬盘)中的
.txt和data.db文件。 - 加密外传:使用 AES-256-CBC 加密打包数据,并使用内置的 RSA 公钥加密对称密钥,确保只有攻击者本人能解开数据。
- 回传地址:数据通过 64MB 分块上传至 C2 服务器
139.99.54.58。
#
攻击者技术特征:典型的“Living off the Land”
#
- 云端隐藏:使用 Mapbox 合法 API 避开防火墙的域名黑名单检测。
- 无文件化(Fileless):核心 Payload 全程在 Python 进程内存中运行,逃避传统磁盘扫描。
- 跨平台支持:源码兼顾了 Windows 和 Linux 的适配逻辑,展现了极高的攻击成本。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Khan安全团队 《红队工具 – MDUT-Extend 植入高级间谍木马(RAT)全链路分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论