2025-12-22 04:46:25 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文档分析了银狐Gh0stRAT与WinOS远程控制木马的演进关系。Gh0stRAT是早期开源的基础RAT，而WinOS是其高级变种，由银狐APT组织维护。WinOS通过模块化架构、高级规避技术如无文件执行和反射注入，以及增强的数据窃取与DDoS功能，显著提升了威胁等级，展现了恶意软件从简单工具到复杂攻击平台的演化路径。 综合评分： 93 文章分类： 恶意软件,威胁情报,漏洞分析,二进制安全

cover_image

银狐Gh0stRAT 和 WinOS远程控制木马演进过程

埃里克之旅

SOC安全分析之旅

2025年12月12日 19:34 上海

Gh0stRAT：全称为 “Ghost Remote Access Trojan”(幽灵远程访问木马)，是一款由红狼小组 (C.Rufus Security Team) 开发的远程控制木马 (RAT)，最早于 2001 年左右出现，2008 年开源，成为网络犯罪的常用工具。

WinOS：是基于 gh0stRAT 开源代码改编的恶意软件框架，也被称为 “ValleyRAT”。目前最新版本为 5.26，由 “银狐”(Void Arachne) APT 组织开发维护，主要针对中文用户群体。

核心区别

1. 技术架构差异

#

#

2. 功能范围对比

#

gh0stRAT 基础功能：

文件管理 (上传 / 下载 / 删除)
屏幕监控与截图
键盘记录
进程管理
远程命令执行 (CMD)
系统信息收集

WinOS 增强功能：

全方位数据窃取 (浏览器凭证、Cookies、文档内容)
分布式拒绝服务 (DDoS) 攻击能力
进程注入与权限提升
反沙箱 / 反分析机制
杀软 (EDR/AV) 禁用功能
加密货币挖矿 (部分变种)

#

3. 传播与感染方式

gh0stRAT：

通过邮件附件、恶意网站或软件漏洞传播
以服务形式运行，随系统自启动

WinOS：

主要通过伪装成流行软件 (QQ 浏览器、LetsVPN 等) 的 NSIS 安装包传播
使用 “Catena” 多阶段内存驻留加载器，实现 “无文件” 执行
通过计划任务实现长期持久化 (感染数周后才触发)

#

4. 控制与通信特点

gh0stRAT：

支持 HTTP 和 DNS 上线
简单心跳机制维持连接

WinOS：

主要通过 TCP 18856 和 HTTPS 443 端口与 C2 服务器通信
高级配置切换：根据目标环境 (杀软、语言等) 动态调整行为
支持数千受控端同时稳定上线，控制架构更高效

#

内在联系

1. 技术血缘关系

WinOS 是 gh0stRAT 的 “直接后裔”：

WinOS 核心代码直接基于 gh0stRAT 开源版本改编
保留了 gh0stRAT 的基础通信协议和控制逻辑
继承了远程控制、系统渗透的核心功能定位

2. 攻击目标与平台

两者均专注于 Windows 平台，主要针对 32 位和 64 位的 Windows 系统，通过 PE 文件形式感染，利用 Windows 系统特性实现持久化和隐蔽控制。

3. 恶意本质与危害

都能实现对受害者计算机的完全控制，包括数据窃取、系统操作、远程命令执行
均采用进程隐藏、文件隐藏等技术规避安全软件检测
都可被用于构建僵尸网络，执行大规模网络攻击

#

演变与发展

gh0stRAT 的开源特性使其成为网络犯罪的 “瑞士军刀”，衍生出大量变种。WinOS 是其中最为 “成功” 的变种之一，它不仅继承了 gh0stRAT 的核心功能，还通过以下改进提升了威胁等级：

模块化设计：允许攻击者根据任务需求定制功能，大大增强了灵活性和适应性
高级规避技术：从简单免杀到内存无文件执行、反射注入等，几乎能绕过所有传统安全检测机制
组织化运营：由专业 APT 组织维护，持续更新 (从 4.0 到 5.26 版本)，针对安全防御不断调整战术

总结

gh0stRAT 是 WinOS 的技术源头，而 WinOS 则是 gh0stRAT 的 “进化版本”，在保持核心远程控制功能的基础上，通过模块化架构、高级规避技术和更强大的功能集，成为了当今网络犯罪和 APT 攻击的重要工具。两者的关系生动展现了恶意软件如何通过代码开源和持续迭代，从简单工具演变为复杂的攻击平台。

查看原文：《银狐Gh0stRAT 和 WinOS远程控制木马演进过程》