【恶意文件】钓鱼邮件通过脚本传播远控木马

攻击者采用隐蔽执行的规避手法对受害者实施控制。当受害者点击js脚本后，将访问指定url下载释放ps1脚本并执行，随后ps1脚本将调用curl命令远程下载并执行AsyncRAT，由此完成整个攻击链条。

JS恶意脚本

该样本中存在大量无用注释扩大文件内容，并采用混淆躲避引擎检测。在去除注释并解除混淆，还原后的脚本内容如下：

从上图中可以看出，该脚本在经过字符串解密后，将创建一个变量，使用GetObject方法并赋值“winmgmts:root\cimv2:Win32_Process”，以获取一个表示Windows管理对象的实例。具体来说，它会连接到WMI并访问Win32_Process类，该类用于管理系统中的进程。因此，它的主要目的是获取一个管理操作系统进程的WMI对象，并通过该对象执行各种与进程相关的操作，如后续用到的Create方法。

该变量在脚本末尾调用Create方法创建进程conhost.exe，并通过参数“headless”以隐藏窗口的方式调用powershell执行指定命令。

PS1恶意脚本

该脚本通过一系列较简单的解密方式，达成通过curl命令访问目标网站的目的。

经情报关联，该域名下存在另一PS1文件，其主要功能也同样是通过curl命令访问指定url。经分析，二者的主要目的是通过访问指定url，下载并执行远控木马AsyncRAT，从而达到控制目标主机的目的。

该powershell脚本采用新方式，通过反射获取的方式禁用Windows的AMSI（反恶意软件扫描接口），达到绕过安全检查的目的，使后续的恶意代码更容易在当前主机上运行。

在此之后，脚本对内容信息进行解码，最终的结果如下：

主要目的同样是访问该域名下的指定url，并将当前主机中的环境变量以及时间戳作为参数传递。

AsyncRAT

获取样本时指定的外联C2已不可连接，陷入无限循环重连。此处对该样本功能进行分析。

创建互斥体

调用CreateMutex函数创建名为“rusgugh”的互斥体。

病毒引擎检测

调用WMI查询SecurityCenter2命名空间中的AntivirusProduct类，获取当前主机中安装的防病毒软件信息，并将其名称拼接为一个字符串返回。

反调试

在RunAntiAnalysis函数中进入反调试功能。顺序检测当前环境是否是虚拟环境（vmware、virtualbox）、当前进程是否正被调试、当前系统硬盘容量是否大于56G、当前系统是否为xp系统，以此完成反调试功能。

安装

攻击者在创建负载时，可选择是否安装。运行Install函数时，首先判断当前程序的运行路径是否为预设的安装路径，如果不是才会进行后续的安装操作，并以程序名确定程序唯一性。

若当前用户是管理员用户，就会调用cmd以计划任务创建的方式完成该文件的持久化操作。

若当前用户非管理员用户，则会将安装路径的文件写入Run开机启动项中。

随后在临时目录写下脚本文件，以启动安装后的程序，并自删除该脚本文件。

lzlzy4e[.]top

orivzije[.]top

zpeifujz[.]top

temp[.]sh/bfseS/ruzxs.exe

60B07940637E4F11D278707CD39D5997

F672CE0875A89C8FE311F14DA47EFAF8

222CF7FB823AEDD40D2B57B2A8D5EA86

1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

【深信服统一端点安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。