關鍵詞

網絡攻擊

一種名為 Sakura 的新型遠程訪問木馬 (RAT) 已在 GitHub 上發布。由于其復雜的反檢測能力和全面的系統控制功能，Sakura 引起了網絡安全社區的極大關注。

該惡意軟件位于一個據稱由名為“Haerkasmisk”的用戶創建的存儲庫中，它為攻擊者提供了廣泛的工具包，可以通過多種混淆技術逃避現代防病毒和端點檢測和響應 (EDR)解決方案，這些混淆技術類似于以前記錄的惡意軟件家族中所見的技術。

高級功能和規避技術

Sakura RAT 實現了幾種先進的功能，這使得它特別危險。

根據 Cyberfeeddigest 在 X 上分享的帖子，該 RAT 包含一個隱藏的瀏覽器功能，允許攻擊者通過受害者的機器進行網絡活動而不被發現，并且隱藏虛擬網絡計算 (HVNC) 功能可創建隱形桌面會話以進行隱秘的遠程控制。

據報道，該惡意軟件利用與以前的 RAT 家族中觀察到的類似的技術，包括進程注入、反射DLL 注入和單字節 XOR 編碼來混淆網絡通信和嵌入字符串，從而使安全解決方案的檢測變得更加困難。

從技術上來說，Sakura 似乎結合了各種現有惡意軟件框架的元素。

與 Dell SecureWorks 研究人員先前發現的 Sakula 惡意軟件家族一樣，它可能使用 HTTP GET 和 POST 請求進行命令和控制 (C2) 通信。

據報道，該工具通過 Windows 注冊表運行項保持持久性，并且可以將自身配置為服務，類似于其他高級 RAT。

其多會話功能允許攻擊者通過集中控制面板同時控制多個受感染的系統。

安全研究人員指出，該惡意軟件可能利用漏洞 CVE-2014-0322 或類似漏洞作為初始感染媒介，但具體的傳遞機制仍在調查中。

此版本加入了日益壯大的公開可用的防病毒規避工具生態系統。根據研究 GitHub 的“防病毒規避”主題的研究人員的說法，Veil、Chimera 和 Process Herpaderping 等許多框架都是公開可訪問的，這助長了規避惡意軟件的泛濫。

專家表示，這些工具的可用性大大降低了潛在攻擊者的進入門檻。以前需要大量專業知識才能完成的工作，現在只需使用可下載的框架即可完成。

保護建議

安全專家建議各組織實施以下保護措施：

• 部署具有行為分析功能的高級 EDR 解決方案。
• 實施應用程序白名單以防止未經授權的代碼執行。
• 定期更新安全軟件以包含最新的檢測簽名。
• 除非特別需要，否則請禁用Microsoft Office 應用程序中的宏。
• 對員工進行有關網絡釣魚攻擊的教育，因為電子郵件仍然是主要的傳遞方式。

研究人員繼續分析 Sakura RAT 的代碼和功能。建議組織監控可疑的網絡通信、意外的注冊表修改和未經授權的進程創建，這些都是潛在的入侵指標。

隨著威脅行為者越來越多地利用公開可用的攻擊性安全工具，像 Sakura 這樣的 RAT 日益復雜化，凸顯了實施多層安全防御的重要性。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！