AsyncRAT 通过开放目录进行感染的策略:技术分析
编者注:本文由威胁情报分析师 RacWatchin8872 撰写。您可以在 X 上找到他。本文介绍了两种通过开放目录感染 AsyncRAT 系统的不同方法。这些技术展示了攻击者如何不断适应,找到新方法使用可公开访问的文件来扩大 AsyncRAT 的 […] 文章 AsyncRAT 通过开放目录的感染策略:技术分析首先出现在 ANY.RUN 的网络安全博客上。
来源:ANY.RUN _恶意软件分析AsyncRAT 通过开放目录的感染策略:技术分析
编者注:本文作者是威胁情报分析师 RacWatchin8872。您可以在 X 上找到他。
编者注:本文作者是威胁情报分析师 RacWatchin8872。您可以在 X X 找到他。本文介绍了两种通过开放目录感染 AsyncRAT 系统的不同方法。这些技术展示了攻击者如何不断适应,找到使用可公开访问文件的新方法来扩大 AsyncRAT 的影响和范围。
概述
AsyncRAT 是一种远程访问木马 (RAT) 恶意软件,旨在秘密渗透系统并让攻击者远程控制受感染的设备。它通常用于间谍活动、数据盗窃和操纵受感染的系统。
AsyncRAT 远程访问木马最近,出现了两个开放目录,每个目录都采用独特的方法来分发和感染受害者的 AsyncRAT。这些技术突显了这种恶意软件及其多样化感染策略所带来的持续威胁。
第一种技术
开放目录
在调查暴露在互联网上的恶意开放目录时,我发现了一个结构不寻常的目录。
该目录包含以下文件:
- 一个包含大量字符串的文本文件,结果发现是 VBS 脚本
- 一个 JPG 文件,实际上是一个伪装的 ZIP 存档
Txt 文件分析
文本文件的大量字符串隐藏了一个模糊的 VBS 脚本。它使用随机变量来存储将用于下载 JPG 文件的文本部分。
为了使其更易于阅读,我们只需进行一些更改:
3 C:\Users\Public 4 6 7 8 9 1