AT&T Alien Labs 最近披露了一场历时 11 个月 AsyncRAT 攻击活动。攻击者采用钓鱼页面传递初始 JavaScript 文件,涉及 300 多个样本和 100 多个域名。这次攻击选择目标经过仔细挑选,其中包括美国关键基础设施管理者。为了规避检测,加载器使用了大量混淆和反沙箱技术,同时 DGA 域每周更新一次。值得注意的是,攻击仍在持续进行中,不断有新的域和 AsyncRAT 样本注册。
AsyncRAT 是 2019 年发布的开源远程访问工具,可被用作远程访问特洛伊(RAT)。攻击过程包括通过恶意钓鱼网页传递 JavaScript 文件,利用多层混淆和反分析技术。攻击者还灵活使用反沙箱技术,通过计算受害者虚拟机概率,巧妙规遍各个受害者,成功逃避检测。最终,脚本执行下载 AsyncRAT 客户端。
总体而言,这场攻击呈现出精心策划、持续时间长、具有高度混淆和反分析技术的异步远程访问工具活动。攻击者通过选择特定目标、采用反沙箱技术和使用动态域名生成器,成功地更新网络基础设施,从而有效地逃避了检测。
安装 AsyncRAT 需要
.Net Framework
v4(客户端)和 v4.6+(服务器)才能运行。
运行程序Server启动开始需要自定义生成证书名称,默认证书名称为"AsyncRAT Server"。
启动后Server默认开启端口6606、7707、8808。
通过默认证书资产测绘可以100%识别,但大多数有经验的攻击者不会使用默认证书,会进行自定义修改。
默认证书微步资产测绘查询语法:cert.subject="AsyncRAT Server" || cert.issuer="AsyncRAT Server"。
相关检索:953包含独立IP:554条,如下图:
仅通过证书只能识别部分未改变默认证书名称的C2,因此可以深入源码分析木马工具与C2的交互来识别更多有效的资产数据。分析工具客户端与服务端的交互,我们可以通过相关代码构建自己的扫描识别方式,相关部分代码如下:
通过全网主动扫描进一步确认的方式我们还发现大量自签名的AsyncRAT证书信息,其证书的使用者名称包括如:Microsoft Edge update、Google Inc、Orcus Server、Mini Server、MissServer等等。
总结:基于以上对工具代码的深度解析和研究,我们使用的模拟发包校验识别技术准确度为100%,识别数量也比基于单纯的证书的数据丰富很多。
针对已经发现的AsyncRAT C2工具数据集我们分析师进行了详细分析,其中发现一个AsyncRAT的测绘资产数据的IP上同时开放了443端口,进一步判断该网站为“搜狗”的克隆网站,如下图:
根据该克隆站点的title特征,微步资产测绘查询语法为:title=="综合导航网",在最近的数据中我们又发现了6个在美国加州的资产,如下图信息:
其中198.2.204.74、198.2.204.77与198.2.204.76在同一个C段同时也是 AsyncRAT C2工具。
观察证书数据分析发现他们具有共同的证书名称:
MissServer
通过该证书我们利用微步Graph进一步又拓线出与之相关联的10个相关C2资产,其中部分数据为历史数据最近的结果已经失效,查询结果如下:
同时在微步资产测绘上的查询语法为:cert.subject="MissServer"
通过Graph数据分析进一步发现另一个证书使用者为*.hong27.com
发现这类C2服务器也经常使用过该证书,如下图发现了4个IP交集:
该证书绑定了63个IP,其中微步威胁情报大多数被标记为恶意情报,分析发现这批资产主要集中在美国、韩国和中国香港,结合微步情报社区域名解析发现这些新IP地址存在大批量的域名解析行为,如下图:
其中大部分IP都存在大批量的域名解析行为,如下图:
结合微步攻击画像数据,其中部分主机还存在对外扫描攻击的行为,如下图:
根据上面的分析我们发现这批”*.hong27”组织,微步资产测绘查询语法:cert.subject="*.hong27.com"
根据上面198.2.204.76的Graph查询结果,我们注意到另一个证书的使用者为www.bxd5.com,如下图:
访问该域名的网站信息为一个赌博色情站点,如下图:
综上通过这批资产的Graph拓线,我们发现使用AsyncRAT C2工具的其中一个“hong27组织”在从事一些黑灰产活动,该工具可能是该组织对外进行扫描后获取主机权限再进行黑灰产活动的基础设施机器。
总结
