.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
最近,趨勢科技管理的XDR (MxDR)團隊處理了涉及AsyncRAT的各種樣本,這是一種具有多種功能的遠程訪問工具(RAT),例如鍵盤記錄和遠程桌面控制,這種工具可以使其對受害者構成重大攻擊。例如,攻擊者會冒充當地銀行和執法機構,將AsyncRAT傳播給他們的目標。
2021年,AsyncRAT參與了名為“Spalax行動”的網絡釣魚活動,這些網絡釣魚活動一直持續到2021年底和2022年初。他們使用HTML附件進行AsyncRAT傳播,同時還集成了反射加載技術。
t0:用戶下載帶密碼保護的ZIP文件downloadedFile_SSAfnmeddOFzc.zip;
1分20秒:用戶解壓縮包含.wsf腳本的ZIP文件
1分26秒:下載並執行第一個有效負載,導致下載第二個有效負載;
1分35秒:自動啟動;
1分59秒:下載並執行第二個有效負載;
5分48秒:進程注入到aspnet_compiler.exe和通過動態DNS的命令與控制(CC)連接
下圖描述了對涉及aspnet_compiler.exe的可疑活動的檢測,該活動試圖與外部IP地址45[.]141[.]215[.]40建立連接。同時,我們的分析揭示了有關PowerShell腳本和批處理文件的執行情況。我們能夠使用這些數據作為支點,回溯並調查文件的入口點及其附加活動。
被觸發的工作台警報
我們發現,攻擊的觸發因素是一個最初通過谷歌Chrome下載的名為downloadd_file_ssafnmeddofzc .zip的文件。
通過Chrome瀏覽器下載downloadfile_ssafnmeddofzc .zip文件
用戶打開ZIP文件,可以發現其中包含一個名為downloaddfile_ssafnmedd .wsf的腳本文件。我們收集了ZIP文件,發現它是受密碼保護的。
根據最近的報告顯示,AsyncRAT通常通過垃圾郵件傳播。我們強烈懷疑用戶可能已經收到了解壓ZIP文件的密碼,以及惡意鏈接。用戶使用密碼提取並打開了文件,突出了攻擊者用來規避檢測的常用策略,即使用電子郵件中包含的密碼提取ZIP文件。
檢查執行配置文件會發現wscript.exe是通過Windows資源管理器啟動的,這表明用戶通過雙擊它來執行該文件。安裝順序包括創建和執行多個PowerShell腳本(.ps1)、VBScript (.vbs)和批處理文件(.bat)。
執行downloadd_file_ssafnmeddofzc .wsf文件並創建多個腳本文件
通過使用反惡意軟件掃描接口(AMSI)監測(TELEMETRY_AMSI_EXECUTE),我們在運行時獲得了與downdownloadfile_ssafnmeddofzc .wsf相關的數據,使我們能夠辨別文件的目的及其相應的活動。
腳本下載file_ssafnmeddofzc .wsf(.wsf)是一個Windows腳本文件,它使用PowerShell和VBScript命令的混合來執行一系列活動。它創建了一個WScript.Shell對象,通常用於執行Shell命令,並在C:\Users\Public目錄中生成名為VLCdllFrame.xml的文本文件。作為第二個參數的' true '值表示,如果該文件已經存在,則該文件將被覆蓋。
腳本使用start - bittransfer命令從hxxp://185[.]81[.]157[.]246:222/dd/mc.jpg下載文件,以“snakers.zip”保存。隨後,它將內容提取到C:\Users\Public目錄中,或者在某些情況下提取到C:\Users\Public\ pictures \中。執行PowerShell命令後,腳本將刪除之前創建的VLCdllFrame.xml文件。
我們收集了snake .zip並分析了其內容,發現其存在各種惡意腳本,這些腳本都是AsyncRAT安裝例程的組成部分。
AsyncRAT安裝例程的組件
下圖描述了由Vision One生成的執行概要文件,說明了當用戶打開文件downloadd_file_ssafnmeddofzc .wsf時觸發的AsyncRAT安裝例程中的事件序列。
AsyncRAT安裝鍊和代碼注入到aspnet_compiler.exe
我們觀察到aspnet_compiler.exe正在建立與IP地址208[.]95[.]112[.]1:80(IP-api[.]com)和45[.]141[.]215.40:4782(httpswin10[.]kozow[.].com)的連接。前者用於地理位置檢查,而後者(被標識為免費動態DNS)可能被攻擊者用來混淆其真實服務器IP地址,從而實現快速更改以逃避檢測。在其他情況下,可以看到它連接到66escobar181[.]ddns[.]net,另一個動態DNS服務器。
連接到外部IP地址45[.]141[.]215.40(動態DNS)的aspnet_compiler.exe可執行文件
計劃任務的創建名為Reklam或Rekill,提供了AsyncRAT持久性功能。下圖顯示了Webcentral.ps1的內容,該腳本負責創建一個計劃任務,該任務使用Windows任務調度程序服務每兩分鐘執行一次C:\Users\Public\hash.vbs或C:\Users\Public \Pictures\hash.vbs。
Webcentral.ps1為持久性創建計劃任務(由AMSI遙測記錄)腳本
分析通過分析腳本,我們能夠更深入地了解攻擊的目標。下圖說明了該攻擊如何策略性地使用多層腳本作為逃避檢測的手段。隨後,它繼續向aspnet_compiler.exe執行代碼注入,這是另一種不被檢測到的方法。
接下來,我們將討論從snakes .zip中提取的每個腳本的目標。
AsyncRAT安裝例程
Webcentral.vbs腳本使用net session命令檢查它是否以管理權限運行(第9-10行)。如果成功,它會向攻擊者標記存在管理權限(isAdmin),然後運行存儲在變量executionCommand中的命令,將其定向到批處理文件(C:\Users\Public\Webcentral.bat)。該腳本包括錯誤處理技術,使用On Error Resume Next和On Error GoTo 0語法來管理錯誤並保持腳本順利運行。
Webcentral.vbs檢查管理權限,然後執行Webcentral.bat
bat腳本啟動PowerShell執行位於C:\Users\Public\Webcentral.ps1的腳本。它使用-NoProfile,-WindowStyle Hidden和-ExecutionPolicy Bypass參數在隱藏窗口中使用繞過的執行策略運行PowerShell。
Webcentral.bat執行Webcentral.ps1
Webcentral.ps1Webcentral.ps1腳本創建一個名為Reklam的計劃任務,該任務每兩分鐘運行一次腳本(hash.vbs)。計劃任務已啟用,即使設備使用電池運行,也可以啟動。 hash.vbs腳本位於C:\Users\Public\hash.vbs目錄中,作為計劃任務的一個操作執行。該任務是使用Windows任務計劃程序服務註冊的。
Webcentral.ps1創建計劃任務並將其設置為每兩分鐘運行一次Hash.vbs
Hash.vbs與Webcentral.vbs是相同的腳本,但指向不同的文件(C:\Users\Public\Hash.bat)。
Hash.bat與Hash.vbs類似,Hash.bat是Webscentral.bat的腳本,但指向不同的文件(C:\Users\Public\Hash.ps1)。
Hash.ps1Hash.ps1解碼並加載以msg.txt和runpe.txt編碼的PE文件,觸發aspnet_compiler.exe的執行。它使用解碼後的runpe.txt中的函數將AsyncRAT有效負載(解碼後的msg.txt)注入新生成的aspnet_compiler.exe進程中。
Hash.ps1解碼並加載以msg.txt和runpe.txt編碼的PE文件
解碼後的腳本如下:
這是一個PowerShell腳本,動態加載.NET程序集,特別是NewPE2.PE類型,並調用其Execute方法。 Execute方法用於向進程中註入與aspnet_compiler.exe相關的代碼,它是為惡意代碼注入而設計的,允許惡意攻擊者在合法的aspnet_compiler.exe進程的上下文中執行額外的代碼。
已解碼的runpe.txt(進程注入器代碼)如下圖所示,runpe.txt文件的解碼內容顯示了Hash中使用的代碼.ps1腳本執行進程注入到aspnet_compiler.exe。
預覽在Hash中加載和使用的進程注入函數.ps1腳本
Decodedmsg.txt (AsyncRAT Payload)在例程開始時解碼的配置,需要注意的值是主機名66escobar181[.]ddns[.]net和它所連接的端口號6666。
其他功能根據嵌入式配置,AsyncRAT後門具有其他功能。這包括反調試和分析檢查、持久性安裝和鍵盤記錄。下圖中的代碼片段檢查是否在嵌入式配置embeddedConfig中啟用了鍵盤記錄。如果啟用了keylogging,它將啟動一個新線程來執行startKeylogging方法。
鍵盤記錄配置值在運行時解密並引用變量
對於我們獲得的樣本文件,僅啟用了鍵盤記錄例程,該例程捕獲並記錄受攻擊計算機的每次擊鍵,並將數據發送到攻擊者控制的服務器。
啟用了鍵盤記錄程序,捕獲並記錄每個擊鍵
keylogging例程以與關聯程序(getActiveApplicationName())對應的日誌記錄鍵結束。此交互是從臨時目錄中的指定日誌文件中找到的。然後將信息記錄在%TEMP%\Log.tmp中。
代碼片段動態地從配置中選擇主機和端口。 AsyncRAT使用套接字連接與各種IP地址和端口進行交互,使其基礎設施具有動態性和適應性。它允許攻擊者頻繁更改服務器地址,使預測或阻止通信通道的工作複雜化。此外,代碼還包括錯誤處理機制,如果連接到特定IP地址或端口時出現問題,錯誤處理機制允許AsyncRAT嘗試替代連接或退回到默認配置,從而進一步強調攻擊者採用的規避策略。
AsyncRAT動態主機例程,在我們的樣本中,它通過端口6666連接到66escobar181[.]ddns[.]net
AsyncRAT有效負載在連接到服務器時收集客戶端信息。其中包括用戶名、計算機信息、安裝的防病毒軟件和安裝的加密貨幣錢包。
收集用戶名、計算機信息、防病毒程序和加密貨幣錢包的信息
AsyncRAT掃描應用程序目錄、瀏覽器擴展和用戶數據中的特定文件夾,以識別與特定加密錢包相關的文件夾名稱,並驗證它們在系統中的存在。
加密錢包檢查序言的代碼片段對與以下錢包字符串相關的某些目錄進行查詢:
Atomic
Binance
BinanceEdge
BitcoinCore
BitKeep
BitPay
Coinbase
Coinomi
Electrum
Exodus
F2a
LedgerLive
Meta
Phantom
RabbyWallet
Ronin
TronLink
TrustAsyncRAT攻擊的最新趨勢到2023年初,AsyncRAT攻擊仍然存在,利用包括PowerShell、Windows Script file (WSF)和VBScript (VBS)等各種文件類型來進行惡意攻擊。
分析解密後的AsyncRAT有效負載,可以明顯看出所使用的證書與AsyncRAT Server相關聯,這是AsyncRAT CC流量的一個特徵。通常,主題公共名稱被配置為“AsyncRAT服務器”或“AsyncRAT服務器CA”。
檢查主題通用名稱在識別AsyncRAT攻擊方面證明是有價值的,惡意軟件配置揭示了ID 3LOSH RAT的存在。這意味著有效負載可能使用了3LOSH加密器進行混淆和隱身,這解釋了在攻擊鏈的不同階段使用多個腳本。
在調查AsyncRAT樣本文件期間,我們發現了用於aspnet_compiler.exe的注入代碼與GitHub上的開源存儲庫之間的代碼相似之處。從客戶環境中獲得的AsyncRAT樣本和GitHub存儲庫上的版本之間出現了兩個明顯的區別。
首先,我們獲得的樣本包括BoolWallets作為掃描的加密貨幣錢包之一。其次,GitHub版本缺乏鍵盤記錄功能。然而,我們獲得的代碼顯示了鍵盤記錄功能,類似於在GitHub存儲庫中找到的另一個樣本。這些差異表明攻擊者定制了GitHub代碼以符合他們的特定目標。
探索動態DNS使用情況動態DNS允許攻擊者快速更改與域名相關的IP地址,這對試圖檢測和阻止惡意活動的安全系統提出了挑戰。我們最近的調查揭露了在No-IP和Dynu Systems, Inc名下註冊的CC域名。 66escobar181[.]ddns[.]net域解析為IP地址185[.]150[.]25[.]181。 VirusTotal分析表明,多個域被標記為惡意,都集中到同一個IP地址。
不同的域名解析到同一個IP: 185[.]150[.]25[.]181
進一步仔細檢查IP信息,我們發現了與託管提供商Zap-Hosting的關聯,該提供商以提供各種服務而聞名,例如游戲服務器、網站和虛擬專用服務器(VPS)。另一個域(httpswin10[.]kozow[.]com)也出現了類似的模式,它解析為與託管提供商關聯的IP地址。此IP地址還與其他惡意域共享,表明了攻擊者利用DDNS和託管提供商進行操作的一致策略。
總結本文介紹了AsyncRAT遠程訪問木馬,它具有諸如未經授權訪問、鍵盤記錄、遠程桌面控制和隱蔽文件操作等功能,並分析了它是如何作為各種攻擊的通用工具展開運行的,其中就包括勒索軟件。
策略性地使用多個混淆的腳本,結合'living off the land'技術,讓攻擊更加靈活,使他們能夠逃避檢測。再加上將代碼注入到合法文件(如aspnet_compiler.exe)中,這種技術大大增加了檢測這些攻擊的難度。
此外,使用動態主機服務器允許攻擊攻擊者無縫更新他們的IP地址,加強了在系統中不被發現的可能性。在許多情況下,AsyncRAT的默認目的保持不變,即竊取有價值的信息,如用戶名、密碼和加密貨幣錢包,通過鍵盤記錄捕獲的擊鍵使攻擊者能夠獲取憑據並可能訪問金融帳戶。