7 月 15 日,安全公司 Blackpoint Cyber 发布通报,披露了一款名为 LabubaRAT 的新型 Windows 木马。攻击者将恶意程序伪装成英伟达驱动文件 nvidia-sysruntime.exe,通过多种渠道诱导用户安装。该木马使用 Rust 语言开发,具备完整的远程控制能力,并且极有可能在后续以”恶意软件即服务(MaaS)”的订阅制方式规模化运营。对网站站长、AI 开发者以及企业运维人员来说,这不仅是一次”电脑中招”的终端安全事件,更可能成为服务器凭据泄露、内网横向移动的入口。
一、事件概述
据 IT之家援引 Blackpoint Cyber 的通报,LabubaRAT 的核心特征如下:
- 伪装对象:冒用英伟达(NVIDIA)驱动名称
nvidia-sysruntime.exe,利用用户在 AI 开发和企业环境中对英伟达驱动的信任感诱导安装。 - 开发语言:使用 Rust 编写,具备一定的反逆向和跨平台潜力,编译产物更难被传统杀软特征库快速识别。
- 运行流程:启动后先收集设备环境信息,再经由 HTTPS、WebView2、DNS Tunnel 三种通信通道连接黑客控制的 C2 服务器,下载并执行后续恶意脚本。
- 控制能力:支持远程命令执行、PowerShell / JavaScript 脚本运行、屏幕截图、文件上传下载、数据压缩,以及搭建 SOCKS5 代理。
- 运营趋势:研究人员判断,LabubaRAT 未来可能包装成 MaaS 产品对外出租,降低攻击门槛,扩大威胁面。
二、LabubaRAT 技术拆解
1. 伪装手法:蹭英伟达驱动的热度
英伟达驱动几乎是所有 AI 训练机、图形工作站和不少企业终端的”标配”。LabubaRAT 把自身命名为 nvidia-sysruntime.exe,文件名看起来像英伟达运行时组件,普通用户很难分辨真伪。攻击者往往通过第三方下载站、破解软件捆绑、钓鱼邮件附件等方式分发,一旦用户手动运行,木马便落地。
这类”借壳”手法并不新鲜,但选择英伟达驱动作为壳,说明攻击者有意瞄准 AI 开发环境和高性能计算场景,而这些场景恰恰是服务器密钥、代码仓库、云凭据最集中的地方。
2. 通信通道:三管齐下规避检测
LabubaRAT 同时具备三种 C2 通信方式:
| 通道 | 特征 | 防御难点 |
|---|---|---|
| HTTPS | 加密流量混在正常 Web 请求中 | 需靠行为分析和证书指纹识别 |
| WebView2 | 借助系统内置浏览器内核通信 | 进程白名单调度,传统拦截易漏 |
| DNS Tunnel | 把数据藏进 DNS 查询外传 | 出站 DNS 异常是重要线索 |
其中 DNS Tunnel(DNS 隧道) 特别值得站长关注:它把窃取的数据编码进域名查询请求里,绕过大多数只盯 HTTP/HTTPS 的防火墙。如果一台被入侵的 Windows 服务器或办公机向大量随机子域名的陌生域名发起高频 DNS 请求,就很可能是 DNS 隧道在泄露数据。
3. 远程控制:一把完整的”后门瑞士军刀”
从已披露的能力看,LabubaRAT 几乎囊括了常见 RAT(远程访问木马)的全部功能:
- 远程执行系统命令
- 运行 PowerShell 与 JavaScript 脚本(可进一步下载二阶载荷)
- 屏幕截图(窃取账号密码、聊天记录、代码界面)
- 文件上传 / 下载 / 压缩(批量打包敏感资料回传)
- 搭建 SOCKS5 代理(把受害机变成跳板,攻击内网其他资产)
最后一项 SOCKS5 代理尤其危险:一旦站长的办公机或跳板机被控,攻击者可以借这台机器作为”可信内部节点”,直接对内网服务器发起横向渗透,绕过硬边界防护。
4. 走向 MaaS:威胁即将规模化
研究人员指出,LabubaRAT 的代码结构和功能完整度,已经具备包装成”恶意软件即服务”的条件。一旦上线订阅制,不懂技术的黑产也能花钱租用这套攻击能力,意味着未来一段时间同类木马的投放量和变种数都会明显上升。
三、站长为什么要关心”电脑上的木马”
很多站长觉得”木马是终端的事,我的服务器有防火墙就行”。这个认知有盲区。LabubaRAT 这类 RAT 与网站安全的关联其实很直接:
- 工作机 → 服务器凭据泄露:站长本地电脑里通常存着 SSH 私钥、宝塔/服务器面板登录密码、云厂商 AK/SK。电脑被控等于大门钥匙被偷。
- 跳板机风险:SOCKS5 代理让被入侵机器成为内网跳板,攻击者借此绕过公网 WAF,从”内部”扫描和攻击你的业务服务器。
- DNS 隧道外联:被入侵服务器若发起异常 DNS 请求,是数据外泄的强信号,但多数只做入站防护的架构根本看不到。
- AI 开发环境被瞄准:用 GPU 服务器跑模型的团队,驱动更新频繁,最容易被”假驱动”钓鱼。
四、主机吧防护建议
针对 LabubaRAT 的攻击链,建议从终端、网络、边界、习惯四个层面同时设防:
终端层面(治本)
- 英伟达驱动只从官网
nvidia.com或显卡厂商官方工具下载,不碰第三方”精简版””离线包”。 - 安装前用
Get-AuthenticodeSignature校验数字签名,无签名或签名异常的.exe一律不运行。 - 办公机、跳板机部署 EDR(终端检测响应),关注 PowerShell 异常调用和陌生进程出网。
# PowerShell 校验文件签名示例
Get-AuthenticodeSignature "C:\Users\Admin\Downloads\nvidia-sysruntime.exe" | Format-List Status, SignerCertificate
网络层面(看异常)
- 在出口防火墙对出站 DNS 做限速和域名白名单,拦截高频随机子域请求(DNS 隧道典型特征)。
- 监控 SOCKS5 类非常规代理的出站连接,尤其是来自 Web/数据库服务器的主动外联。
- 对服务器部署流量基线,突然出现的大额上传、陌生 C2 域名回连要告警。
边界层面(兜底)
网站业务侧的边界防护仍是不可替代的一环。即便内网某台机器失陷,攻击者在尝试利用 Web 漏洞横向移动、扫描业务端口时,仍会暴露在公网流量中。
- 接入 百度云防护 WAF,开启虚拟补丁能力,在不改代码、不重启服务的前提下,在网络层拦截针对 Web 框架/插件的已知攻击,压缩攻击者从失陷内网向外扩散的利用面。
- 利用百度云防护的指标分析功能(30 天流量统计与 TOP100 榜单),定期查看异常来源 IP、异常 UA 和异常请求路径,辅助发现是否存在被当作跳板的异常访问模式。
- 对登录入口叠加 JA3/JA4 TLS 指纹校验,识别自动化工具发起的探测与爆破,比单纯 IP 限频更精准。
习惯层面(最便宜的防护)
- 服务器密钥、云凭据不要明文存在本地电脑,使用专业的密钥管理器。
- 办公网与服务器管理网尽量隔离,禁止用日常上网机直连生产服务器。
- 定期轮换 SSH 密钥和面板密码,假设”工作机可能已经脏了”来倒推排查。
五、主机吧看法
LabubaRAT 的曝光再次说明一个趋势:攻击者的目标已经从”打服务器”前移到”打人”——先拿下开发者和运维的终端,再顺着信任关系摸到服务器。Rust 化、多通道 C2、MaaS 化,这三个特征叠加,意味着未来这类木马的隐蔽性和产能都会更强。
对站长而言,单靠一层防火墙已经不够用了。把终端安全(官方渠道下载、签名校验、EDR)、网络监控(DNS 出站管控)、边界防护(百度云防护 WAF + 流量分析)串成一条链,才是在 AI 时代真正能扛住”从人打到机”这套组合拳的姿势。
