隐蔽的AsyncRAT转向无文件感染方式逃避磁盘检测 | CSO在线

💡 原文中文,约1400字,阅读约需4分钟。
📝

内容提要

攻击者利用合法工具传播AsyncRAT,采用无文件技术绕过传统检测。通过入侵ScreenConnect,使用PowerShell和VBScript加载恶意代码,保持内存清洁,难以被发现。同时,攻击者禁用防护机制,创建伪装任务以维持持久性。AsyncRAT具备强大功能,如键盘记录和凭据窃取。

🎯

关键要点

  • 攻击者利用合法工具传播AsyncRAT,采用无文件技术绕过传统检测。

  • 攻击者入侵ScreenConnect客户端,通过PowerShell和VBScript加载恶意代码。

  • 无文件恶意软件在内存中运行,难以被发现和清除。

  • 攻击者通过小型VBScript获取并组装两阶段.NET载荷,保持文件系统干净。

  • 攻击者禁用Windows防御机制,创建伪装任务以维持持久性。

  • AsyncRAT具备强大功能,如键盘记录和凭据窃取。

  • 攻击者青睐无文件入侵技术,因其静默执行和可靠效果。

🔎

延伸解读

无文件技术的优势与挑战

无文件恶意软件通过在内存中运行,避免了传统基于文件的检测机制。这种技术使得恶意活动更难被发现和清除,给网络安全带来了新的挑战。安全团队需要更新检测策略,以应对这种隐蔽的攻击方式。

合法工具的滥用风险

攻击者利用合法的管理工具如ScreenConnect进行攻击,显示出合法软件在网络安全中的双刃剑特性。企业在使用这些工具时,需加强监控和审计,以防止其被恶意利用,确保系统安全。

持久性与隐蔽性的结合

攻击者通过禁用Windows防护机制和创建伪装任务来维持持久性,这种策略使得攻击在系统重启后依然有效。企业应定期检查计划任务和系统设置,以识别潜在的恶意活动,增强防御能力。

延伸问答

AsyncRAT是如何传播的?

AsyncRAT通过入侵ScreenConnect客户端,利用PowerShell和VBScript加载恶意代码进行传播。

无文件恶意软件的优势是什么?

无文件恶意软件在内存中运行,避免了磁盘写入,从而绕过传统基于文件的检测,难以被发现和清除。

攻击者如何保持AsyncRAT的持久性?

攻击者通过创建伪装成'Skype更新'的计划任务,确保系统重启后RAT能自动恢复。

AsyncRAT具备哪些功能?

AsyncRAT具备键盘记录、浏览器凭据窃取、剪贴板监控和系统监视等强大功能。

攻击者如何规避Windows防御机制?

攻击者禁用反恶意软件扫描接口(AMSI)和篡改Windows事件跟踪(ETW),以规避检测。

如何防御AsyncRAT攻击?

防御措施包括拦截恶意域名、监控PowerShell命令、检查内存中的.NET反射加载,以及监控AMSI/ETW篡改行为。

🏷️

标签

➡️

继续阅读