揭开 AsyncRAT 新感染链面纱

kitty

原文链接：https://www.mcafee.com/blogs/oth ... ew-infection-chain/

AsyncRAT 是 "Asynchronous Remote Access Trojan" 的缩写，是一种复杂的恶意软件，旨在危害计算机系统的安全并窃取敏感信息。AsyncRAT与其他恶意软件种类的区别在于其隐匿性，使其成为网络安全领域的强大对手。

McAfee Labs 最近观察到一起通过恶意 HTML 文件分发 AsyncRAT 活动，整个感染过程中出现了多种文件类型，包括PowerShell、Windows 脚本文件 (WSF)、VBScript (VBS) 等，以绕过防病毒检测措施。

技术分析

收件人收到一封包含恶意网络链接的垃圾邮件，问此链接会触发文件的下载。在该 HTML 文件中，嵌入了一个 ISO 文件，并且该 ISO 文件包含一个 WSF (Windows 脚本文件)。WSF 文件随后与各种 URL 建立连接，并继续执行 PowerShell、VBS (VBScript) 和 BAT 等格式的多个文件。这些执行的文件对合法的 Microsoft .NET 实用程序 RegSvcs.exe 进行注入，这种操纵允许攻击者在受信任的系统应用程序中秘密隐藏其活动。

感染链

第 1 阶段：HTML 和 WSF 文件分析

从电子邮件中发现的恶意 URL 开始，打开 URL 后，网页文件内嵌入了一个 ISO 文件。





注：原报告这两图太小，看不清

ISO 文件中有一个标记为 "FXM_20231606_9854298542_098.wsf" 的 WSF 脚本。该文件包含垃圾字符串数据，散布着特定的 "" 和 "" 标签 (如下图所示并以红色突出显示)。这些标签负责建立与 URL "hxxp://45.12.253.107:222/f[.]txt" 的连接以获取 PowerShell 文件。

第 2 阶段：PowerShell 文件分析

URL "hxxp://45.12.253.107:222/f[.]txt" 包含 PowerShell 代码的文本文件



初始 PowerShell 代码随后建立到另一个 URL "hxxp://45.12.253.107:222/j[.]jpg" 的连接，并检索第二个 PowerShell 文件。



PowerShell 脚本将 4 个文件放入 ProgramData 文件夹中，其中包括 2 个 PowerShell 文件、1 个 VBS 文件和 1 个 BAT 文件。这四个文件的内容嵌入在此 PowerShell 脚本中。然后，它继续在 ProgramData 目录中创建一个名为“xral”的文件夹，在其中写入和提取这些文件，如下图所示

第 3 阶段：分析 ProgramData 文件夹中的文件

接下来，PowerShell 脚本执行 "xral.ps1"，它负责建立计划任务以实现持久性。此外，它还会启动 "xral.vbs" 文件的执行。



VBS 脚本继续执行 "1.bat" 文件，该文件又负责执行最终的 PowerShell 脚本 "hrlm.ps1"。简而言之，在第二个 powershell 之后，执行过程如下：

xral.ps1 -> xral.vbs -> 1.bat -> hrlm.ps1

策略性地采用不同文件类型的不同执行来规避静态和基于行为的防病毒检测。

第 4 阶段：分析最终的 PowerShell 文件

如上图所示，该 PowerShell 文件包含一个十六进制格式的 PE 文件，旨在注入到合法进程。在第二个红色突出显示的框中，很明显攻击者混淆了进程名称，在执行替换操作后将显示该进程名称。现在很明显，该 PE 文件旨在注入 "C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe"。进程注入是通过 PowerShell 文件的反射程序集加载功能完成的，该功能允许从 PowerShell 内访问和调用 .NET 数据。

进程注入后，RegSvcs 实用程序将启动并执行，无需任何其他参数。

第 5 阶段：分析受感染的 RegSvcs.exe

一旦 PowerShell 成功将恶意代码注入 RegSvcs 中，受感染的 RegSvcs.exe 就会运行，并且 AsyncRAT 服务器会与其建立连接，受感染的 RegSvcs.exe 运行的产物如下图所示



进一步分析发现该样本具有键盘记录功能，记录了复制后在系统上执行的所有活动，并将这些信息存储在 TEMP 文件夹内的 "log.tmp" 文件中以供记录保存。



此外，该样本还积极参与窃取凭证和浏览器相关数据。此外，它还尝试搜索与加密货币相关的信息，包括与比特币、以太坊和类似资产相关的数据。非法获取的数据通过 TCP 传输到端口 8808 上的 IP 地址 45[.]12.253.107。

总结

感染链始于垃圾邮件中嵌入的恶意 URL，导致下载包含 ISO 的 HTML 文件。在 ISO 文件中，WSF脚本连接到外部 URL 并下载 PowerShell 脚本，该脚本进而启动一系列非 PE 文件执行，并最终将十六进制编码的 PE 文件注入合法的 "RegSvcs.exe" 中。这个受损的进程连接到 AsyncRAT 服务器。该恶意软件具有键盘记录功能，记录用户活动，并窃取凭据、浏览器数据和加密相关信息。这个复杂的链条利用不同的文件类型和混淆方法来避免检测，最终导致攻击者获得远程控制并成功窃取数据。

IOC

Hash：

• HTML -83c96c9853245a32042e45995ffa41393eeb9891e80ebcfb09de8fae8b5055a3
• ISO -97f91122e541b38492ca2a7c781bb9f6b0a2e98e5b048ec291d98c273a6c3d62
• WSF -ac6c6e196c9245cefbed223a3b02d16dd806523bba4e74ab1bcf55813cc5702a
• PS1 - 0159bd243221ef7c5f392bb43643a5f73660c03dc2f74e8ba50e4aaed6c6f531
• PS1 -f123c1df7d17d51115950734309644e05f3a74a5565c822f17c1ca22d62c3d99
• PS1 -19402c43b620b96c53b03b5bcfeaa0e645f0eff0bc6e9d1c78747fafbbaf1807
• VBS -34cb840b44befdd236610f103ec1d0f914528f1f256d9ab375ad43ee2887d8ce
• BAT -1c3d5dea254506c5f7c714c0b05f6e2241a25373225a6a77929e4607eb934d08
• PS1 -83b29151a192f868362c0ecffe5c5fabe280c8baac335c79e8950fdd439e69ac
  

URL：

• hxxp://45.12.253[.]107:222/f[.]txt
• hxxp://45.12.253[.]107:222/j[.]jpg