AsyncRAT 的兴起:持续的网络威胁
AsyncRAT 是 2019 年发布的开源远程访问工具,可在 GitHub 上使用,已成为网络安全领域的重大威胁。该工具易于访问且免费使用,经常被用作远程访问木马 (RAT)。其键盘记录、渗透技术和最终有效负载分发的初始访问阶段等功能使其成为网络犯罪分子的首选。
AsyncRAT 的开源性质导致了无数的修改和改编,使其更加危险。据 TrendMicro 报道,它已被用于各种活动,包括 APT 组织 Earth Berberoka 组织的活动。
深入分析 AsyncRAT 的影响和策略
分析表明,AsyncRAT 是许多复杂网络攻击的一部分。据 AT&T Alien Labs 观察, 9 月初网络钓鱼电子邮件有所增加;这些电子邮件通过包含 gif 附件和 svg 文件的多阶段感染过程针对公司内的特定个人,最终导致 AsyncRAT 客户端的执行。这种攻击方式也被X(前身为Twitter)等平台的网络安全专家注意到。
AsyncRAT 使用的加载程序由多个阶段组成,这些阶段由命令和控制 (C&C) 服务器进行混淆和控制,该服务器在部署主要有效负载之前评估受害者是否具有沙箱环境。这种复杂的机制展示了攻击者使用的高水平规避策略。
AsyncRAT 是“异步远程访问木马”的缩写,是一种复杂的恶意软件,旨在危害计算机系统的安全并窃取敏感信息。AsyncRAT 与其他恶意软件品种的区别在于其隐匿性,使其成为网络安全领域的强大对手。
McAfee Labs 观察到最近通过恶意 HTML 文件分发的 AsyncRAT 活动。整个感染策略采用了一系列文件类型,包括 PowerShell、Windows 脚本文件 (WSF)、VBScript (VBS) 等,以绕过防病毒检测措施。
过去一个月的 AsyncRAT 流行率
技术分析
收件人收到一封包含恶意网络链接的垃圾邮件。访问时,此链接会触发 HTML 文件的下载。在该 HTML 文件中,嵌入了一个 ISO 文件,并且该 ISO 映像文件包含一个 WSF(Windows 脚本文件)。WSF 文件随后与各种 URL 建立连接,并继续执行 PowerShell、VBS (VBScript) 和 BAT 等格式的多个文件。这些执行的文件用于将进程注入到合法的 Microsoft .NET 实用程序 RegSvcs.exe 中。对 RegSvcs.exe 的这种操纵允许攻击者在受信任的系统应用程序中秘密隐藏其活动。
感染链
感染链
第 1 阶段:HTML 和 WSF 文件分析
该序列从电子邮件中发现的恶意 URL 开始,该 URL 启动 HTML 文件的下载。该 HTML 文件内嵌入了一个 ISO 文件。进一步使用 JavaScript 来提取 ISO 映像文件。
HTML 文件的内容
运行 HTML 时提取的 ISO 文件
ISO 文件中有一个标记为“FXM_20231606_9854298542_098.wsf”的 WSF 脚本。该文件包含垃圾数据字符串,散布着特定的“<job>”和“<VBScript>”标签(如图 5 所示并以红色突出显示)。这些标签负责建立与 URL“hxxp://45.12.253.107:222/f[.]txt”的连接以获取 PowerShell 文件。
WSF 文件的内容
第 2 阶段:PowerShell 文件分析
URL“hxxp://45.12.253.107:222/f[.]txt”检索包含PowerShell代码的文本文件。
第一个 PowerShell 文件的内容
初始 PowerShell 代码随后建立到另一个 URL“hxxp://45.12.253.107:222/j[.]jpg”的连接,并检索第二个 PowerShell 文件。
第二个 PowerShell 文件的内容
PowerShell 脚本将 4 个文件放入 ProgramData 文件夹中,其中包括 2 个 PowerShell 文件、1 个 VBS 文件和 1 个 BAT 文件。这四个文件的内容嵌入在此 PowerShell 脚本中。然后,它继续在 ProgramData 目录中创建一个名为“xral”的文件夹,在其中写入和提取这些文件,如图 8 所示。
第二个 PowerShell 创建 4 个文件并使用 [IO.File]::WriteAllText 命令在其中写入内容
在“ProgramData/xral”文件夹中提取的文件
第 3 阶段:分析放入 ProgramData 文件夹中的文件
接下来,PowerShell 脚本执行“xral.ps1”,它负责建立计划任务以实现持久性。此外,它还会启动“xral.vbs”文件的执行。
图 10 – VBS 文件的内容
VBS 脚本继续执行“1.bat”文件,该文件又负责执行最终的 PowerShell 脚本“hrlm.ps1”。
简而言之,在第二个 powershell 之后,执行过程如下:
xral.ps1 -> xral.vbs -> 1.bat -> hrlm.ps1
策略性地采用不同文件类型的不同执行来规避静态和基于行为的防病毒检测。
第 4 阶段:分析最终的 PowerShell 文件
最终 PowerShell 文件的内容
如上图所示,该PowerShell文件包含一个十六进制格式的PE(可移植可执行文件)文件。该文件旨在注入合法进程。在第二个红色突出显示的框中,很明显攻击者混淆了进程名称,在执行替换操作后将显示该进程名称。现在很明显,该 PE 文件旨在注入“C:WindowsMicrosoft.NETFrameworkv4.0.30319RegSvcs.exe”。进程注入是通过 PowerShell 文件的反射程序集加载功能完成的,该功能允许从 PowerShell 内访问和调用 .NET 数据。
进程注入后,RegSvcs 实用程序将启动并执行,无需任何其他参数。
第 5 阶段:分析受感染的 RegSvcs.exe
一旦 PowerShell 成功将恶意代码注入 RegSvcs,受感染的 RegSvcs.exe 就会运行,并且 AsyncRAT 服务器会与其建立连接。受感染的 RegSvcs.exe 运行的产物如图 12 所示。
RegSvcs 中的 AsyncRAT 服务器字符串
进一步分析发现该样本具有键盘记录功能。它记录了复制后在系统上执行的所有活动,并将这些信息存储在 TEMP 文件夹内的“log.tmp”文件中以供记录保存。
在 %temp% 文件夹中创建的日志文件记录所有击键
此外,该样本还积极参与窃取凭证和浏览器相关数据。此外,它还尝试搜索与加密货币相关的信息,包括与比特币、以太坊和类似资产相关的数据。非法获取的数据通过 TCP 传输到端口 8808 上的 IP 地址 45[.]12.253.107。
– RegSvcs.exe 的 TCP 信息
感染链始于垃圾邮件中嵌入的恶意 URL,导致下载包含 ISO 的 HTML 文件。在 ISO 文件中,WSF 脚本连接到外部 URL 并下载 PowerShell 脚本,该脚本进而启动一系列非 PE 文件执行,并最终将十六进制编码的 PE 文件注入合法的“RegSvcs.exe”中。这个受损的进程连接到 AsyncRAT 服务器。该恶意软件具有键盘记录功能,记录用户活动,并窃取凭据、浏览器数据和加密相关信息。数据通过 TCP 泄露到 IP 地址和端口。这个复杂的链条利用不同的文件类型和混淆方法来避免检测,最终导致攻击者获得远程控制并成功窃取数据。
原文始发于微信公众号(OSINT研习社):让美国感到害怕的 AsyncRAT究竟是什么
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论