恶意文件名称:
AsyncRAT
威胁类型:
远控木马
简单描述:
AsyncRAT是一款由C#编写的远控工具,拥有反虚拟化、文件/进程管理、持久化、信息窃取、横向移动等威胁性极高的功能,达到任意操控目标主机的目的。
恶意文件描述
近期,深盾实验室在运营工作中发现一批通过邮件劫持进行传播的JS恶意样本,该类样本中充斥大量的垃圾信息并进行混淆以逃避防御引擎检测,截止发文时间,VT上仅有两家引擎检出。
攻击者利用邮件劫持广泛分发恶意JS样本,并诱导用户点击。脚本在运行后会访问指定url,下载远控木马并在本地运行,使受害主机在毫无感知的情况下被攻击者控制,从而进行后续的恶意行为。经分析,该木马属于远控工具AsyncRAT生成的恶意负载。
恶意文件分析
攻击者采用隐蔽执行的规避手法对受害者实施控制。当受害者点击js脚本后,将访问指定url下载释放ps1脚本并执行,随后ps1脚本将调用curl命令远程下载并执行AsyncRAT,由此完成整个攻击链条。
JS恶意脚本
该样本中存在大量无用注释扩大文件内容,并采用混淆躲避引擎检测。在去除注释并解除混淆,还原后的脚本内容如下:
从上图中可以看出,该脚本在经过字符串解密后,将创建一个变量,使用GetObject方法并赋值“winmgmts:root\\cimv2:Win32_Process”,以获取一个表示Windows管理对象的实例。具体来说,它会连接到WMI并访问Win32_Process类,该类用于管理系统中的进程。因此,它的主要目的是获取一个管理操作系统进程的WMI对象,并通过该对象执行各种与进程相关的操作,如后续用到的Create方法。
该变量在脚本末尾调用Create方法创建进程conhost.exe,并通过参数“headless”以隐藏窗口的方式调用powershell执行指定命令。
PS1恶意脚本
该脚本通过一系列较简单的解密方式,达成通过curl命令访问目标网站的目的。
经情报关联,该域名下存在另一PS1文件,其主要功能也同样是通过curl命令访问指定url。经分析,二者的主要目的是通过访问指定url,下载并执行远控木马AsyncRAT,从而达到控制目标主机的目的。
该powershell脚本采用新方式,通过反射获取的方式禁用Windows的AMSI(反恶意软件扫描接口),达到绕过安全检查的目的,使后续的恶意代码更容易在当前主机上运行。
在此之后,脚本对内容信息进行解码,最终的结果如下:
主要目的同样是访问该域名下的指定url,并将当前主机中的环境变量以及时间戳作为参数传递。
AsyncRAT
获取样本时指定的外联C2已不可连接,陷入无限循环重连。此处对该样本功能进行分析。
创建互斥体
调用CreateMutex函数创建名为“rusgugh”的互斥体。
病毒引擎检测
调用WMI查询SecurityCenter2命名空间中的AntivirusProduct类,获取当前主机中安装的防病毒软件信息,并将其名称拼接为一个字符串返回。
反调试
在RunAntiAnalysis函数中进入反调试功能。顺序检测当前环境是否是虚拟环境(vmware、virtualbox)、当前进程是否正被调试、当前系统硬盘容量是否大于56G、当前系统是否为xp系统,以此完成反调试功能。
安装
攻击者在创建负载时,可选择是否安装。运行Install函数时,首先判断当前程序的运行路径是否为预设的安装路径,如果不是才会进行后续的安装操作,并以程序名确定程序唯一性。
若当前用户是管理员用户,就会调用cmd以计划任务创建的方式完成该文件的持久化操作。
若当前用户非管理员用户,则会将安装路径的文件写入Run开机启动项中。
随后在临时目录写下脚本文件,以启动安装后的程序,并自删除该脚本文件。
恶意文件分析
TA阶段 | T技术 | S技术 | 描述 |
TA0001 初始访问 | T1566 网络钓鱼 | T1556.001 钓鱼附件 | 通过网络钓鱼电子邮件附件获得初始访问权限 |
TA0004 权限提升 | T1547 自启动持久化 | T1547.001 注册表Run项 | 通过添加注册表自启动Run项完成持久化 |
T1053 计划任务 | T1053.005 计划任务添加 | 通过添加计划任务完成持久化 | |
TA0005 防御规避 | T1622 反调试 | N/A | 通过API CheckRemoteDebuggerPresent判断当前进程是否正在被调试 |
T1497 反虚拟化 | T1497.001 系统检查 | 对系统内文件或进程进行检查,当存在敏感文件时退出当前进程 | |
T1562 防御削弱 | T1562.006 防御阻塞 | 禁用AMSI降低恶意软件被发现风险 | |
TA0011 命令与控制 | T1105 入口工具传输 | N/A | 使用curl下载恶意文件 |
IOC
lzlzy4e[.]top
orivzije[.]top
zpeifujz[.]top
temp[.]sh/bfseS/ruzxs.exe
60B07940637E4F11D278707CD39D5997
F672CE0875A89C8FE311F14DA47EFAF8
222CF7FB823AEDD40D2B57B2A8D5EA86
解决方案
处置建议
1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。
2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。
3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。
深信服解决方案
【深信服统一端点安全管理系统aES】
已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
如有侵权请联系:admin#unsafe.sh