新型DuplexSpy RAT可使攻击者完全控制Windows系统

网络安全研究人员发现了一款名为DuplexSpy RAT的新型高级远程访问木马，该木马能让攻击者对Windows系统实施全面监控与控制。这款多功能恶意软件体现了模块化、图形界面驱动型威胁的增长趋势，显著降低了网络犯罪分子入侵目标设备的技术门槛。

该恶意软件采用C#语言开发，具有简洁的图形界面和可配置选项，使操作者无需深厚编程知识即可定制攻击方案，同时保持与Windows内部组件的深度集成。

加密通信与多功能监控

DuplexSpy RAT采用AES-256-CBC和RSA-4096双重加密算法保护受感染主机与命令控制服务器之间的通信，有效规避网络检测机制。

CYFIRMA分析师发现，该工具由开发者ISSAC/iss4cf0ng以"教育用途"为名公开发布在GitHub上，但其多功能性和易定制性对威胁行为者极具吸引力。该RAT的设计体现了对攻击工具和Windows架构的深刻理解，使攻击者能建立持久后门，同时伪装成合法系统进程逃避检测。

其功能远超传统远程访问工具，包含键盘记录、实时屏幕捕获、摄像头/麦克风监控及交互式命令终端等全面监控功能。

高级持久化与隐蔽机制

DuplexSpy RAT采用多层持久化策略确保在系统重启和清理尝试中存活。该恶意软件实施双管齐下的方案：以"Windows Update.exe"为伪装名称复制到用户启动文件夹，同时创建对应注册表项。

持久化机制在初始化阶段启动，执行如下安装例程：

installer.m_szStartUpName = Environment.ExpandEnvironmentVariables(Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.Startup), _szCopyStartup));
installer.m_bReg = _bReg;
installer.m_szRegKeyName = m_szRegKeyName;

安装过程将恶意软件置于"C:\Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"目录，并在"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"下创建名为"Windows Update"的注册表项，通过双重持久化确保系统启动时自动执行。

该恶意软件还具备高级反分析能力，每100毫秒监控系统进程，针对安全工具和分析应用。当检测到安全软件时，会终止相关进程并显示引用"user32.dll"等系统文件损坏的虚假错误信息误导用户。此外，该RAT采用无文件执行技术，直接将自身加载到内存后删除磁盘原始可执行文件，通过LoadToMemory()方法创建执行线程并触发自毁例程，极大减少了取证痕迹。这种结合注册表修改和启动项的内存驻留技术，构成了挑战传统检测方法的复杂规避策略。