SwaetRAT 惡意軟體：深入研究其功能和目標

Table of Contents

具有遠端存取功能的欺騙性威脅

SwaetRAT 是一種複雜的遠端存取木馬 (RAT)，它利用先進的規避技術來避免偵測，同時在受感染的系統上保持持久性。這種基於 .Net 的惡意軟體能夠遠端執行命令，允許攻擊者出於各種邪惡目的操縱受感染的設備。透過利用本機 Windows 庫和反射機制，它在低層級與作業系統進行交互，使其能夠執行有效負載並控制系統進程，而不會立即引起懷疑。

SwaetRAT 如何在系統中站穩腳跟

為了在系統中建立自己的地位，惡意軟體利用 API 級互動。它採用即時修補技術來繞過安全防禦，修改通常會偵測或記錄可疑活動的功能。其中一項修改涉及修補 AmsiScanBuffer()，它可以防止安全軟體分析惡意腳本。此外，惡意軟體也會變更負責產生事件日誌的函數 EtwEventWrite()，以確保其活動不會被日誌記錄機制偵測到。

SwaetRAT 透過竄改 ntdll.dll 函式庫、修改關鍵函數以傳回預定值來進一步鞏固其地位。這種方法根據系統架構（無論是 32 位元還是 64 位元）而有所不同，展示了其適應性。一旦這些修改到位，惡意軟體就會繼續解碼並執行 Base64 編碼的有效負載，最終載入組件以進行進一步操作。

仔細看看它的有效負載和執行

解碼後的有效負載採用可移植可執行 (PE) 檔案的結構，這是 Windows 執行檔和動態連結程式庫 (DLL) 的標準格式。透過建立其入口點類別的實例並呼叫其方法，SwaetRAT 確保其惡意功能得到正確執行。其關鍵規避策略之一包括將自身複製到 %LOCALAPPDATA%\Microsoft\_OneDrive.exe 路徑。此行為旨在繞過經常分析固定目錄中的檔案的沙箱環境。

為了保持持久性，SwaetRAT 修改系統登錄並建立啟動捷徑。它將可執行路徑寫入用戶軟體組態單元下的註冊表項，確保惡意進程在每次系統啟動時執行。 Startup 資料夾中的對應捷徑會擷取此路徑，執行 PowerShell 命令來重新啟動惡意軟體，從而有效地將其自身嵌入到系統的啟動進程中。

通訊與指令執行

一旦運行，惡意軟體就會與命令和控制 (C2) 伺服器建立連接，允許遠端攻擊者發出指令。解碼後的有效負載與 Web 用戶端交互，將十六進位編碼的字串轉換為位元組數組，然後使用這些解碼後的位元組作為參數執行 aspnet_compiler.exe。此執行流程顯示有人試圖在合法系統進程的幌子下運行更多惡意程式碼。