رادار تكنولوژي

روش‌های آلودگی AsyncRAT: تحلیل حملات از طریق دایرکتوری‌های باز

روش‌های آلودگی AsyncRAT از طریق دایرکتوری باز
  • ۱۹ آبان ۱۴۰۳

تحلیل فنی و دقیق نحوه استفاده مهاجمان از دایرکتوری‌های باز برای توزیع AsyncRAT، یک تروجان دسترسی از راه دور پیشرفته را بررسی می‌کنیم. این تحلیل جامع دو روش متمایز آلودگی را نشان می‌دهد که چگونه مهاجمان با استفاده از دایرکتوری‌های عمومی، بدافزار AsyncRAT را منتشر کرده و دسترسی مداوم به سیستم‌های هدف را حفظ می‌کنند.

روش‌های آلودگی اَسینک‌رت: تحلیل فنی حملات دایرکتوری باز

نمای کلی

تروجان دسترسی از راه دور اَسینک‌رت (AsyncRAT) از تکنیک‌های پیچیده‌ای برای نفوذ به سیستم‌ها از طریق دایرکتوری‌های باز استفاده می‌کند. این تحلیل دو روش متمایز آلودگی را بررسی می‌کند که نشان‌دهنده استراتژی‌های در حال تکامل توزیع بدافزار است.

روش آلودگی اول

مرحله اولیه

  • کشف یک دایرکتوری باز حاوی:
  • اسکریپت VBS پنهان شده به عنوان فایل متنی
  • آرشیو ZIP مخفی شده به عنوان فایل JPG

زنجیره آلودگی

  1. اجرای اسکریپت VBS
  2. ایجاد فایل XML در C:\Users\Public

مراحل اولیه

  • شامل اسکریپت پاورشل (PowerShell) برای دانلود و استخراج فایل JPG مخفی شده
  • اجرای اسکریپت ثانویه وی‌بی‌اس (VBS)
  • پاکسازی فایل‌های موقت

مراحل ثانویه

  • اسکریپت‌های مبهم‌سازی شده چندگانه (وی‌بی‌اس، بت، پاورشل)
  • ایجاد وظیفه زمان‌بندی شده “tMicNet Work40”
  • اجرا هر ۲ دقیقه برای پایداری

پیلود نهایی

  • بارگذاری کتابخانه پویا (DLL) و فایل اجرایی (EXE) AsyncRAT در حافظه
  • برقراری ارتباط با سرور فرماندهی و کنترل (C2)

روش آلودگی دوم

مرحله اولیه

  • ساختار ساده‌تر دو فایلی:
  • اسکریپت وی‌بی‌اس در قالب TXT
  • اسکریپت پاورشل در پوشش فایل JPG

فرآیند آلودگی

  1. عملکرد اسکریپت وی‌بی‌اس
  2. دانلود فایل JPG مخفی شده
  3. اجرای محتوای پاورشل تعبیه شده
  4. عملیات پاورشل
  5. ایجاد سه فایل حیاتی:
    • بارگذار AsyncRAT مقیم در حافظه
    • اسکریپت اجرایی
    • مدیریت فرآیند پنهان
  6. ایجاد پایداری از طریق وظیفه زمان‌بندی شده “thepiratMicrosoftEdgeUpdateTask”

تفاوت‌های کلیدی

  • روش اول: رویکرد چند مرحله‌ای با مبهم‌سازی (Obfuscation) پیچیده
  • روش دوم: فرآیند دو مرحله‌ای ساده‌شده
  • هر دو از طریق وظایف زمان‌بندی شده به پایداری می‌رسند
  • الگوهای متفاوت در نام‌گذاری و اجرای فایل‌ها

پیامدهای امنیتی

  • نشان‌دهنده انطباق‌پذیری AsyncRAT
  • اهمیت نظارت بر پوشه‌های باز را برجسته می‌کند
  • پیچیدگی در تکنیک‌های مبهم‌سازی را نشان می‌دهد
  • تأکید بر نیاز به پایش امنیتی قوی

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: any.run’s cybersecurity blog