【安全公告】AsyncRat和LimeRat恶意文件通告

近期，深信服终端安全团队发现，AsyncRat 和 LimeRat 远控木马家族正通过 ISO 镜像文件进行传播。这两个远控木马家族已经活跃了很多年，具有读取主机上的文件、键盘记录，截取屏幕内容，窃取主机信息等功能。

本次分析的文件是多条相似的攻击链中的一条，从一个随机命名的 ISO 镜像文件开始，随后陆续释放 vbs 脚本下载 powershell 脚本，释放一系列脚本之后，修改注册表，添加计划任务后，加载并执行远控木马程序。

1. iso 文件加载后，会执行文件内包含的 vbs 脚本。

2. 文件内容存在大量混淆，但目的只有一个，就是下载一个名为 “Feb_MA2.mp3” 的文件。

3. “Feb_MA2.mp3”实际上是一个powershell脚本，该脚本会在 “C:ProgramDatafontSystem32MicrosoftSystemData” 释放六个脚本，并且同名的脚本之间存在一定的调用关系。

4. Office 系列脚本的主要功能是创建一个计划任务，定时调用 “Microsofd.vbs” 脚本。

5. Microsofd 系列脚本的主要功能是解密脚本内经过 gzip 加密的数据，解密出可执行程序的数据，通过 aspnet_compiler.exe 调用执行，并且这个过程会执行两次，用于加载不同的载荷。

6. 两次解密出来的变量 UC 是同一个可执行程序，是名为 runpe.dll 的加载模块。主要功能用来加载最终的远控木马载荷，创建进程。

7. 两次解密出来的载荷 MC：第一次是 AsyncRat 的客户端，第二次是LimeRat的客户端。

8. 其中 LimeRat 的配置信息如下。

【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件，请更新软件（如有定制请先咨询售后再更新版本）和病毒库至最新版本，并接入深信服安全云脑，及时查杀新威胁；

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服安全云脑，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入深信服安全云脑，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。