详细内容或原文请订阅后点击阅览

Moonrise RAT:一种新的低检测威胁,造成高成本后果

2026年2月24日 10:49 33 Comments
X Twitter Instagram Mail

安全专业人员依靠早期检测信号来确定事件的优先级并遏制事件。但是,当功能齐全的 RAT 不生成任何内容时会发生什么?在最近的一项调查中,ANY.RUN 专家发现了一种新的基于 Go 的远程访问木马,我们将其命名为 Moonrise。在分析时,VirusTotal 上未检测到它,也没有与其关联的供应商签名。这是团队不能忽视的问题:凭证盗窃、远程命令执行和持久性 […]月出后 RAT:一种具有高成本后果的新的低检测威胁首先出现在 ANY.RUN 的网络安全博客上。

来源:ANY.RUN _恶意软件分析

Moonrise RAT:一种新的低检测威胁,造成高成本后果

安全专业人员依靠早期检测信号来确定事件的优先顺序并遏制事件。但是,当功能齐全的 RAT 不生成任何内容时会发生什么?

在最近的一项调查中,ANY.RUN 专家发现了一种新的基于 Go 的远程访问木马,我们将其命名为 Moonrise。在分析时,VirusTotal 上没有检测到它,也没有与其关联的供应商签名。

这是团队不能忽视的问题:凭证盗窃、远程命令执行和持久性可能处于活动状态,而静态检查却保持沉默。结果是分类速度变慢,升级次数增多。

让我们分解 Moonrise 的完整攻击链,并展示如何在类似的威胁变成更长时间的调查和真正的业务影响之前更早地检测到它们。

要点

  • Moonrise 在没有早期静态检测的情况下运行,在触发任何供应商警报之前建立主动 C2 通信。
  • RAT 支持凭证盗窃、远程命令执行、持久性和用户监控,从而实现对受感染端点的完全远程控制。
  • 静默 C2 活动会增加业务风险,延长停留时间并增加数据丢失、运营中断和财务影响的风险。
  • 仅静态信誉检查是不够的。基于行为的分析对于快速确认真正的攻击者活动至关重要。

    • 月出对组织意味着什么

    Moonrise 不仅仅是一个远程访问工具。其命令集显示了攻击者如何从访问转向影响。

  • 凭据盗窃和剪贴板监控可能会泄露密码、会话令牌以及系统之间复制的敏感数据。
  • 远程命令执行和流程控制让操作员可以运行脚本、干扰防御以及操纵业务应用程序。
  • 文件上传和执行创建了一条干净的路径来删除其他有效负载,包括窃取程序或勒索软件。
  • 持久性和与特权相关的函数会增加停留时间并使删除变得更加困难。

    • 减少升级和调查成本

    关联的 执行 远程 操作员 攻击者 供应商 复制的 有效负载 意味着 盗窃 检测 C2 应用程序 持久性 升级 Moonrise RAT 停留时间 命令 远程控制 时间的 类似的 干净的 真正的 影响 删除 静态检查 高成本 相关的 最近的 检测信号 业务 增加