SwaetRAT 恶意软件：深入了解其功能和目标

Table of Contents

具有远程访问功能的欺骗性威胁

SwaetRAT 是一种复杂的远程访问木马 (RAT)，它利用先进的规避技术来避免被检测到，同时在受感染的系统上保持持久性。这种基于 .Net 的恶意软件能够远程执行命令，允许攻击者操纵受感染的设备以达到各种恶意目的。通过利用本机 Windows 库和反射机制，它可以在低级别与操作系统交互，使其能够执行有效负载并控制系统进程而不会立即引起怀疑。

SwaetRAT 如何在系统中站稳脚跟

为了在系统中建立自己的地位，该恶意软件利用了 API 级别的交互。它采用实时修补技术来绕过安全防御，修改通常检测或记录可疑活动的函数。其中一项修改涉及修补 AmsiScanBuffer()，这可以防止安全软件分析恶意脚本。此外，该恶意软件还修改了负责生成事件日志的函数 EtwEventWrite()，以确保其活动不会被日志记录机制检测到。

SwaetRAT 通过篡改 ntdll.dll 库、修改关键函数以返回预定值来进一步巩固其地位。这种方法因系统架构而异，无论是 32 位还是 64 位，都展示了其适应性。一旦这些修改到位，恶意软件就会继续解码并执行 Base64 编码的有效负载，最终加载程序集以进行进一步的操作。

进一步了解其有效载荷和执行情况

解码后的有效负载结构为可移植可执行 (PE) 文件，这是 Windows 可执行文件和动态链接库 (DLL) 的标准格式。通过创建其入口点类的实例并调用其方法，SwaetRAT 确保其恶意功能得到正确执行。其主要规避策略之一是将自身复制到 %LOCALAPPDATA%\Microsoft\_OneDrive.exe 路径。此行为旨在绕过通常分析固定目录中文件的沙盒环境。

为了保持持久性，SwaetRAT 会修改系统的注册表并创建启动快捷方式。它会将其可执行路径写入用户软件配置单元下的注册表项，确保恶意进程在系统每次启动时都会运行。启动文件夹中的相应快捷方式会检索此路径，执行 PowerShell 命令重新启动恶意软件，从而有效地将其自身嵌入到系统的启动过程中。

通信和命令执行

一旦运行，恶意软件就会与命令和控制 (C2) 服务器建立连接，从而允许远程攻击者发出指令。解码后的有效负载与 Web 客户端交互，将十六进制编码的字符串转换为字节数组，然后使用这些解码后的字节作为参数执行 aspnet_compiler.exe。此执行流程表明恶意软件试图以合法系统进程为幌子运行进一步的恶意代码。

已鉴定的变体和先前的观察结果

SwaetRAT 与 2023 年分析的活动有关。在该实例中检查的恶意软件样本保留了相同的 RAT 功能，并与位于 144.126.149.221:7777 的 C2 服务器相关联。此样本的一个显着特征是它复制到 %APPDATA%CCleaner.exe 目录中，表明它试图伪装成一个众所周知的软件实用程序。有趣的是，此变体缺乏混淆，使分析师更容易提取其远程访问功能和通信模式。