AT&T Alien Labs 最近披露了一场历时 11 个月 AsyncRAT 攻击活动。攻击者采用钓鱼页面传递初始 JavaScript 文件，涉及 300 多个样本和 100 多个域名。这次攻击选择目标经过仔细挑选，其中包括美国关键基础设施管理者。为了规避检测，加载器使用了大量混淆和反沙箱技术，同时 DGA 域每周更新一次。值得注意的是，攻击仍在持续进行中，不断有新的域和 AsyncRAT 样本注册。

AsyncRAT 是 2019 年发布的开源远程访问工具，可被用作远程访问特洛伊（RAT）。攻击过程包括通过恶意钓鱼网页传递 JavaScript 文件，利用多层混淆和反分析技术。攻击者还灵活使用反沙箱技术，通过计算受害者虚拟机概率，巧妙规遍各个受害者，成功逃避检测。最终，脚本执行下载 AsyncRAT 客户端。

总体而言，这场攻击呈现出精心策划、持续时间长、具有高度混淆和反分析技术的异步远程访问工具活动。攻击者通过选择特定目标、采用反沙箱技术和使用动态域名生成器，成功地更新网络基础设施，从而有效地逃避了检测。

安装 AsyncRAT 需要 .Net Framework v4（客户端）和 v4.6+（服务器）才能运行。

相关检索：953包含独立IP：554条，如下图：

仅通过证书只能识别部分未改变默认证书名称的C2，因此可以深入源码分析木马工具与C2的交互来识别更多有效的资产数据。分析工具客户端与服务端的交互，我们可以通过相关代码构建自己的扫描识别方式，相关部分代码如下：

• 构建ping包client发送信息代码部分

• Server服务端收到结果返回信息代码部分

总结：基于以上对工具代码的深度解析和研究，我们使用的模拟发包校验识别技术准确度为100%，识别数量也比基于单纯的证书的数据丰富很多。

针对已经发现的AsyncRAT C2工具数据集我们分析师进行了详细分析，其中发现一个AsyncRAT的测绘资产数据的IP上同时开放了443端口，进一步判断该网站为“搜狗”的克隆网站，如下图：  

根据该克隆站点的title特征，微步资产测绘查询语法为：title==”综合导航网”，在最近的数据中我们又发现了6个在美国加州的资产，如下图信息：

观察证书数据分析发现他们具有共同的证书名称：MissServer

通过该证书我们利用微步Graph进一步又拓线出与之相关联的10个相关C2资产，其中部分数据为历史数据最近的结果已经失效，查询结果如下：

同时在微步资产测绘上的查询语法为：cert.subject=”MissServer”

通过Graph数据分析进一步发现另一个证书使用者为*.hong27.com

发现这类C2服务器也经常使用过该证书，如下图发现了4个IP交集：

该证书绑定了63个IP，其中微步威胁情报大多数被标记为恶意情报，分析发现这批资产主要集中在美国、韩国和中国香港，结合微步情报社区域名解析发现这些新IP地址存在大批量的域名解析行为，如下图：

其中大部分IP都存在大批量的域名解析行为，如下图：

结合微步攻击画像数据，其中部分主机还存在对外扫描攻击的行为，如下图：

根据上面的分析我们发现这批”*.hong27”组织，微步资产测绘查询语法：cert.subject=”*.hong27.com”

根据上面198.2.204.76的Graph查询结果，我们注意到另一个证书的使用者为www.bxd5.com，如下图：

访问该域名的网站信息为一个赌博色情站点，如下图：

总结：通过对AsyncRAT C2资产的情报拓线，我们不仅发现了新的证书特征数据，以及可能存在的利用该工具进行批量安装部署的团伙组织，这些团伙组织也在从事黑灰产活动。

• 198.2.204.76

• 198.2.204.74

• 198.2.204.77

• 198.2.204.73

网安人不容错过的年度盛会——CSOP 2024 正在火热报名中，只有干货，席位紧俏。扫码立即报名北京站大会 ↓↓↓

原文始发于微信公众号（微步在线研究响应中心）：X社区资产测绘工具篇：持续一年的AsyncRAT 攻击活动，竟然还在继续！