olatundeseyi9898/AveMaria-RAT-WARZONE.v2---Full-Behavioral-Analysis

# AveMaria-RAT-WARZONE.v2---完整行为分析 使用 SentinelOne 对 AveMariaRAT 进行了恶意软件分析。样本来源于 MalwareBazaar。观察到反取证行为——试图移除网络标记以隐藏互联网来源。已被成功检测并缓解。 WARZONE.v2（也称为 AveMaria / Ave Maria RAT）是一款针对 Windows 系统的商业化后门。它为攻击者提供了键盘记录、从浏览器和邮件客户端窃取密码、VNC/隐蔽 RDP 访问、反向代理以及远程 Shell 功能。该样本经 Google Threat Intelligence 确认，风险评分为 80（高），并被归类为 WARZONE 恶意软件家族。 失陷指标 SHA-256 (文件) c3105cdaac7f7886aedf30ba4da177472786d9bca22f4a787eff… SHA-1 (父进程) 057ae750c8022111e3466189184ea3039f50201d 可执行文件 tdimages.exe C2 IP:端口 196.251.100.20:5210 C2 ASN AS214967 — OPTIBOUNCE (US) ThreatFox IOC ID 1693286 ThreatFox UUID c2e3cf64-ec8d-11f0-9957-42010aa4000a 首次发现 2026-01-08 12:30:05 UTC 置信度 100% (ThreatFox) 恶意软件别名 AVE_MARIA, AveMariaRAT, Warzone RAT, WarzoneRAT, avemaria, Avemaria (Internet), HeartCrypt (Palo Alto Networks) **行为特征** 逃避与反分析 检测到 SetUnhandledExceptionFilter —— 可能的反调试机制 检测到保护页 —— 可能的反调试机制 可能的日期过期检查 —— 查询本地时间后提前退出 检查鼠标移动 —— 沙箱/虚拟机检测启发式方法 检查 BIOS 版本 —— 可能的反虚拟化技术 检查注册表中的磁盘驱动器 —— 可能的反虚拟化技术 通过文件存在性检查检测 VirtualBox 通过文件存在性检查检测 VMware 进程注入与内存操作 在另一个进程中恢复了线程 写入另一个进程的内存 将可执行文件写入另一个进程的内存 创建 RWX（读写执行）内存区域 从其自身的二进制镜像中读取数据（自我注入 / 反射加载） 持久化与载荷 将自身安装为在 Windows 启动时自动运行 访问或创建 Warzone RAT 目录和/或文件 试图移除文件从互联网下载的证据 查询键盘布局 —— 侦察 / 语言定位 检查可用内存 检测情报 在加密调用中至少发现一个 IP、域名或文件名 —— C2 通信混淆 二进制文件可能包含加密或压缩的数据 二进制文件触发了多条 YARA 规则 在进程转储、载荷和投放的文件中观察到了 YARA 检测 **恶意软件功能 (WARZONE.v2)** 键盘记录 浏览器密码恢复 —— Chrome、Firefox、Internet Explorer 邮件客户端密码恢复 —— Outlook、Thunderbird 远程桌面访问 (VNC + 隐蔽 RDP) 网络摄像头控制 远程 Shell 反向代理 文件管理 通过 TCP 协议进行 C2 通信 **威胁情报上下文** 恶意软件家族 WARZONE.v2 类别 后门 / 远程访问木马 (RAT) 目标操作系统 Windows 关联威胁行为者 APT44 关联恶意软件 AGENTTESLA, ASYNCRAT, BEAST, BLACKSHADESRAT (+9 更多) 情报来源 Google Threat Intelligence, ThreatFox (abuse.ch)

标签：AveMariaRAT, C2通信, Conpot, DAST, DNS 反向解析, EDR, Hidden RDP, IOCs, IP 地址批量处理, Keylogging, MalwareBazaar, Mark-of-the-Web, PE 加载器, SentinelOne, SSH蜜罐, VNC, Warzone RAT, Windows安全, Zone.Identifier, 云资产清单, 反取证, 反虚拟机, 后门, 威胁情报, 子域名变形, 安全评估, 开发者工具, 恶意软件分析, 无线安全, 沙箱逃逸, 网络安全, 脆弱性评估, 进程注入, 远控木马, 逆向工程, 隐私保护