隐蔽的AsyncRAT转向无文件感染方式逃避磁盘检测 | CSO在线
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
攻击者利用合法工具传播AsyncRAT,采用无文件技术绕过传统检测。通过入侵ScreenConnect,使用PowerShell和VBScript加载恶意代码,保持内存清洁,难以被发现。同时,攻击者禁用防护机制,创建伪装任务以维持持久性。AsyncRAT具备强大功能,如键盘记录和凭据窃取。
🎯
关键要点
- 攻击者利用合法工具传播AsyncRAT,采用无文件技术绕过传统检测。
- 攻击者入侵ScreenConnect客户端,通过PowerShell和VBScript加载恶意代码。
- 无文件恶意软件在内存中运行,难以被发现和清除。
- 攻击者通过小型VBScript获取并组装两阶段.NET载荷,保持文件系统干净。
- 攻击者禁用Windows防御机制,创建伪装任务以维持持久性。
- AsyncRAT具备强大功能,如键盘记录和凭据窃取。
- 攻击者青睐无文件入侵技术,因其静默执行和可靠效果。
❓
延伸问答
AsyncRAT是如何传播的?
AsyncRAT通过入侵ScreenConnect客户端,利用PowerShell和VBScript加载恶意代码进行传播。
无文件恶意软件的优势是什么?
无文件恶意软件在内存中运行,避免了磁盘写入,从而绕过传统基于文件的检测,难以被发现和清除。
攻击者如何保持AsyncRAT的持久性?
攻击者通过创建伪装成'Skype更新'的计划任务,确保系统重启后RAT能自动恢复。
AsyncRAT具备哪些功能?
AsyncRAT具备键盘记录、浏览器凭据窃取、剪贴板监控和系统监视等强大功能。
攻击者如何规避Windows防御机制?
攻击者禁用反恶意软件扫描接口(AMSI)和篡改Windows事件跟踪(ETW),以规避检测。
如何防御AsyncRAT攻击?
防御措施包括拦截恶意域名、监控PowerShell命令、检查内存中的.NET反射加载,以及监控AMSI/ETW篡改行为。
🏷️
标签
➡️
