趋势科技的网络安全研究人员分析了几起涉及引入AsyncRAT恶意软件的事件。攻击者利用了Microsoft的合法进程“aspnet_compiler.exe”中的漏洞，该进程专为 ASP.NET 平台上的 Web 应用程序预编译而设计。这使得黑客能够悄悄地下载恶意代码。

AsyncRAT 具有各种远程访问功能，例如键盘记录、桌面管理和静默文件修改。这使其成为执行各种攻击的强大工具。特别是在2023年初，趋势科技专家发现了 AsyncRAT 与勒索软件一起使用的案例。

在所有分析的事件中，攻击的第一阶段是用户下载受密码保护的 ZIP 存档。解压存档后，受害者启动了恶意 WSF 脚本，该脚本又下载了另一个包含其他 AsyncRAT 脚本的 ZIP 存档。

这些脚本最终将 AsyncRAT 有效负载注入到“aspnet_compiler.exe”进程中，允许恶意软件通过收集用户名和密码、计算机数据、防病毒软件和加密钱包等信息来秘密运行。

在检查 AsyncRAT 源代码后，专家发现与GitHub上的开放存储库有相似之处。然而，恶意样本包含额外的功能，这表明攻击者正在对开源代码进行微调以适应他们的目的。

正如专家指出的，动态DNS服务器的使用使攻击者能够快速更改AsyncRAT 控制服务器的IP 地址和域名。这使得它们难以被安全系统检测和阻止。

趋势科技建议组织实施持续监控和快速响应网络安全事件的解决方案，以保护其网络和设备。

如果员工不需要将 PowerShell/WSF/JS 宏和脚本用作标准工作流程的一部分，那么在员工计算机上禁用它们也是一个好主意。一般来说，定期投入时间和资源来改善员工网络卫生是值得的；这将有助于在未来节省更多。

---

转自安全客，原文链接https://www.anquanke.com/post/id/291862

封面来源于网络，如有侵权请联系删除