详细内容或原文请订阅后点击阅览

按 (Bit)Bucket 分类的恶意软件:揭秘 AsyncRAT

2024年10月10日 11:00 33 Comments
X Twitter Instagram Mail

最近,我们发现了一场复杂的攻击活动,该攻击活动采用多阶段方法通过名为 Bitbucket 的合法平台传播 AsyncRAT。

来源:G DATA _恶意软件
图6:dllhope.txt的bitbucket存储库的病毒性(单击以放大)

代码(图5)从Bitbucket存储库中下载一个名为dllhope.txt [2]的文件。还值得注意的是,Virustotal标记了脚本与异步相关的URL(见图6)。

在DNSpy中打开classLibrary3.dll [3]文件,揭示代码和方法“ ZXKHG”以及所需的六个参数。通过的参数可以在初始脚本[1]中找到。

方法参数如下:

    _5是从反转获取数据的URL url'txt [。] pes4oivne/sdaolnwod/sds/cfrrpiaj/gro [。文件pdjlvfa用于命名和创建快捷方式UMZBL包含“ 1”值,可能表示配置设置或功能标志。 该方法在分析时未使用该方法使用MBMVK,该方法在分析时未使用该方法
  • _5是从反向URL
  • 'txt [。] pes4oivne/sdaolnwod/sds/cfrrpiaj/gro [。[tekcubtib // [:SPXXH'
  • (‘hxxps:// bitbucket [。] org/jaiprrfc/sds/downloads/envio4sep [。] txt’)
  • emozmbl拥有VBScript文件的完整路径
  • pdjlvfa用于命名和创建快捷方式
  • umzbl包含值'1',可能表示配置设置或功能标志。
  • MBMVK
  • rmmyl

    • 图8中突出显示的代码部分使用[System.AppDomain] :: CurrentDomain.load反射加载。该技术允许内存执行,绕过使用模式扫描的传统安全机制。 classLibrary3.dll [3]揭示了攻击的核心功能,包括持久机制和执行下载的有效负载 - 异步。 flag参数umzbl决定了代码将如何进行。

    bitbucket 用于 有效负载 相关的 命名 sds 代码 创建 执行 dllhope 文件 URL 通过的 方法 病毒性 核心功能 使用 所需的 快捷方式 txt 扫描的 参数