恶意文件名称:
AsyncRAT
威胁类型:
远控木马
简单描述:
AsyncRAT是一款由C#编写的远控工具,拥有反虚拟化、文件/进程管理、持久化、信息窃取、横向移动等威胁性极高的功能,达到任意操控目标主机的目的。
恶意文件描述
近期,深盾实验室在运营工作中发现一批通过邮件劫持进行传播的JS恶意样本,该类样本中充斥大量的垃圾信息并进行混淆以逃避防御引擎检测,截止发文时间,VT上仅有两家引擎检出。
攻击者利用邮件劫持广泛分发恶意JS样本,并诱导用户点击。脚本在运行后会访问指定url,下载远控木马并在本地运行,使受害主机在毫无感知的情况下被攻击者控制,从而进行后续的恶意行为。经分析,该木马属于远控工具AsyncRAT生成的恶意负载。
恶意文件分析
攻击者采用隐蔽执行的规避手法对受害者实施控制。当受害者点击js脚本后,将访问指定url下载释放ps1脚本并执行,随后ps1脚本将调用curl命令远程下载并执行AsyncRAT,由此完成整个攻击链条。
JS恶意脚本
该样本中存在大量无用注释扩大文件内容,并采用混淆躲避引擎检测。在去除注释并解除混淆,还原后的脚本内容如下:
从上图中可以看出,该脚本在经过字符串解密后,将创建一个变量,使用GetObject方法并赋值“winmgmts:rootcimv2:Win32_Process”,以获取一个表示Windows管理对象的实例。具体来说,它会连接到WMI并访问Win32_Process类,该类用于管理系统中的进程。因此,它的主要目的是获取一个管理操作系统进程的WMI对象,并通过该对象执行各种与进程相关的操作,如后续用到的Create方法。
该变量在脚本末尾调用Create方法创建进程conhost.exe,并通过参数“headless”以隐藏窗口的方式调用powershell执行指定命令。
PS1恶意脚本
该脚本通过一系列较简单的解密方式,达成通过curl命令访问目标网站的目的。
经情报关联,该域名下存在另一PS1文件,其主要功能也同样是通过curl命令访问指定url。经分析,二者的主要目的是通过访问指定url,下载并执行远控木马AsyncRAT,从而达到控制目标主机的目的。
该powershell脚本采用新方式,通过反射获取的方式禁用Windows的AMSI(反恶意软件扫描接口),达到绕过安全检查的目的,使后续的恶意代码更容易在当前主机上运行。
在此之后,脚本对内容信息进行解码,最终的结果如下:
主要目的同样是访问该域名下的指定url,并将当前主机中的环境变量以及时间戳作为参数传递。
AsyncRAT
获取样本时指定的外联C2已不可连接,陷入无限循环重连。此处对该样本功能进行分析。
创建互斥体
调用CreateMutex函数创建名为“rusgugh”的互斥体。
病毒引擎检测
调用WMI查询SecurityCenter2命名空间中的AntivirusProduct类,获取当前主机中安装的防病毒软件信息,并将其名称拼接为一个字符串返回。
反调试
在RunAntiAnalysis函数中进入反调试功能。顺序检测当前环境是否是虚拟环境(vmware、virtualbox)、当前进程是否正被调试、当前系统硬盘容量是否大于56G、当前系统是否为xp系统,以此完成反调试功能。
安装
攻击者在创建负载时,可选择是否安装。运行Install函数时,首先判断当前程序的运行路径是否为预设的安装路径,如果不是才会进行后续的安装操作,并以程序名确定程序唯一性。
若当前用户是管理员用户,就会调用cmd以计划任务创建的方式完成该文件的持久化操作。
若当前用户非管理员用户,则会将安装路径的文件写入Run开机启动项中。
随后在临时目录写下脚本文件,以启动安装后的程序,并自删除该脚本文件。
恶意文件分析
IOC
lzlzy4e[.]top
orivzije[.]top
zpeifujz[.]top
temp[.]sh/bfseS/ruzxs.exe
60B07940637E4F11D278707CD39D5997
F672CE0875A89C8FE311F14DA47EFAF8
222CF7FB823AEDD40D2B57B2A8D5EA86解决方案
处置建议
- 1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
- 2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
- 3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。
转载来源:https://www.ctfiot.com/146201.html
图片来源网络目标可联系删除
