恶意通讯流量案例分析,恶意下载链路最终导致Async RAT木马受控
字数 2084 2025-08-22 12:22:48

Async RAT木马恶意通讯流量分析教学文档

一、前言与背景

本教学文档基于真实生产环境中的恶意通讯流量案例,分析从初始攻击到Async RAT木马受控的完整攻击链路。通过此案例,学习者可以掌握:

  1. 如何从海量告警信息中识别关键威胁
  2. 恶意下载链路的分析方法
  3. Async RAT木马的通讯特征识别
  4. 使用Wireshark进行恶意流量分析的实用技巧

分析平台与数据包获取

  • 恶意数据包分析平台地址:http://47.108.150.136:8080/IDS/
  • 案例数据包下载:https://www.123pan.com/s/3BsPjv-lqhnd.html

二、攻击链路全流程分析

2.1 初始攻击阶段:恶意资源下载

  1. 攻击入口

    • 受害者访问合法但被污染的网站:https://psiewdr.org
    • 网站被第三方嵌入恶意资源,显示虚假的"软件更新下载提示"
    • 恶意下载链接:retraining.allstardriving.org

  2. 下载内容

    • 下载经过混淆压缩的".js"文件
    • 文件执行后会下载后续恶意载荷

Wireshark过滤规则

tls.handshake.type eq 1||http.request

2.2 恶意载荷执行阶段

  1. 执行流程

    • 受害者执行恶意".js"文件
    • 文件通过复杂逻辑下载三个混淆的PowerShell脚本
    • 脚本陆续下载Async木马本体和持久化程序

  2. 关键告警信息

    • Windows Powershell Request UserAgent:PowerShell出现在HTTP User-Agent中
    • ETPRO ATTACK_RESPONSE Malicious Obfuscated Powershell Loader:匹配到混淆的PowerShell加载程序
    • ET DNS Query to a .top domain - Likely Hostile:DNS查询到.top域名的恶意网站

2.3 PowerShell解密与执行

  1. 恶意行为
    • PowerShell脚本解密Async木马本体
    • 创建计划任务实现持久化

2.4 Async RAT木马通讯

  1. C2连接

    • 木马客户端回连服务端
    • 使用TLS加密通讯
    • 多次完成TLS握手,建立多个会话

  2. 关键告警信息

    • ETPRO JA3 Hash - Suspected ASYNCRAT Server Cert (ja3s):匹配AsyncRAT服务端指纹
    • ET MALWARE Generic AsyncRAT Style SSL Cert:匹配AsyncRAT风格的TLS证书特征

三、告警数据包定位与研判技术

3.1 HTTP请求中的PowerShell User-Agent

定位方法

  1. Wireshark过滤规则: 
    http.user_agent contains "PowerShell"
  2. 追踪TCP流查看完整HTTP请求

研判要点

  • 内网IP通过PowerShell进程发起HTTP请求下载资源
  • 下载内容为恶意PowerShell脚本
  • 结论:资产疑似感染下载者木马

3.2 HTTP响应中的混淆恶意载荷

定位方法

  1. 根据告警五元组信息过滤: 
    ip.src==49.13.65.235 && tcp.srcport==80 && ip.dst == 10.2.21.101 && tcp.dstport==64066
  2. 追踪TCP流查看响应内容

特征识别

  • 匹配的混淆特征: 
    |20 3d 20|New|2d|Object|20|System|2e|IO|2e|MemoryStream|28 20 2c 20 24|
|20 3d 20|New|2d|Object|20|System|2e|IO|2e|MemoryStream

研判要点

  • 互联网明文传输的混淆脚本多为恶意载荷
  • 结论:资产疑似感染下载者木马

3.3 Async RAT的JA3S指纹识别

技术背景

  • JA3/JA3S是TLS指纹识别技术
  • JA3标识客户端,JA3S标识服务端
  • Async RAT有独特的JA3S指纹

定位方法

  1. 过滤TLS Server Hello数据包: 
    ip.src==5.161.113.150 && tls.handshake.type == 2 && tcp.dstport==64070
  2. 识别JA3S指纹: 
    b74704234e6128f33bff9865696e31b3

研判要点

  • 匹配Async RAT服务端指纹
  • 结论:资产确认存在Async RAT受控行为

3.4 Async RAT的SSL证书特征

定位方法

  • 根据五元组信息定位相关TLS会话
  • 检查证书中的特定hex流: 
    0f 39 39 39 39 31 32 33 31 32 33 35 39 35 39 5a

研判要点

  • 此特征为Async RAT与Quaser RAT共有
  • 结论:确认Async RAT通讯行为

四、总结与防御建议

4.1 攻击链路总结

  1. 合法网站被污染 → 下载恶意.js文件
  2. .js文件执行 → 下载混淆PowerShell脚本
  3. PowerShell脚本执行 → 解密Async RAT并持久化
  4. Async RAT建立C2通讯 → 系统被完全控制

4.2 防御建议

  1. 网络层防御

    • 部署IDS/IPS系统,使用包含ET/PRO规则库的检测引擎
    • 监控异常TLS指纹(JA3/JA3S)
    • 限制对.top等高风险域名的访问

  2. 终端防御

    • 禁用不必要的PowerShell执行
    • 监控PowerShell的异常网络行为
    • 限制计划任务的创建权限

  3. 安全意识

    • 警惕网站上的"更新提示"
    • 验证下载来源的可靠性
    • 定期检查系统异常进程和网络连接

4.3 分析技巧总结

  1. 从告警信息出发,逐步溯源
  2. 结合时间线和行为链分析
  3. 善用Wireshark过滤和追踪功能
  4. 掌握关键特征识别技术(如JA3S、证书特征等)
  5. 建立完整的攻击链路视图

通过本案例的学习,分析人员可以掌握从海量告警中识别关键威胁、分析恶意下载链路、识别Async RAT通讯特征等实用技能。

Async RAT木马恶意通讯流量分析教学文档 一、前言与背景 本教学文档基于真实生产环境中的恶意通讯流量案例,分析从初始攻击到Async RAT木马受控的完整攻击链路。通过此案例,学习者可以掌握: 如何从海量告警信息中识别关键威胁 恶意下载链路的分析方法 Async RAT木马的通讯特征识别 使用Wireshark进行恶意流量分析的实用技巧 分析平台与数据包获取 : 恶意数据包分析平台地址:http://47.108.150.136:8080/IDS/ 案例数据包下载:https://www.123pan.com/s/3BsPjv-lqhnd.html 二、攻击链路全流程分析 2.1 初始攻击阶段:恶意资源下载 攻击入口 : 受害者访问合法但被污染的网站:https://psiewdr.org 网站被第三方嵌入恶意资源,显示虚假的"软件更新下载提示" 恶意下载链接:retraining.allstardriving.org 下载内容 : 下载经过混淆压缩的".js"文件 文件执行后会下载后续恶意载荷 Wireshark过滤规则 : 2.2 恶意载荷执行阶段 执行流程 : 受害者执行恶意".js"文件 文件通过复杂逻辑下载三个混淆的PowerShell脚本 脚本陆续下载Async木马本体和持久化程序 关键告警信息 : Windows Powershell Request UserAgent :PowerShell出现在HTTP User-Agent中 ETPRO ATTACK_RESPONSE Malicious Obfuscated Powershell Loader :匹配到混淆的PowerShell加载程序 ET DNS Query to a .top domain - Likely Hostile :DNS查询到.top域名的恶意网站 2.3 PowerShell解密与执行 恶意行为 : PowerShell脚本解密Async木马本体 创建计划任务实现持久化 2.4 Async RAT木马通讯 C2连接 : 木马客户端回连服务端 使用TLS加密通讯 多次完成TLS握手,建立多个会话 关键告警信息 : ETPRO JA3 Hash - Suspected ASYNCRAT Server Cert (ja3s) :匹配AsyncRAT服务端指纹 ET MALWARE Generic AsyncRAT Style SSL Cert :匹配AsyncRAT风格的TLS证书特征 三、告警数据包定位与研判技术 3.1 HTTP请求中的PowerShell User-Agent 定位方法 : Wireshark过滤规则: 追踪TCP流查看完整HTTP请求 研判要点 : 内网IP通过PowerShell进程发起HTTP请求下载资源 下载内容为恶意PowerShell脚本 结论:资产疑似感染下载者木马 3.2 HTTP响应中的混淆恶意载荷 定位方法 : 根据告警五元组信息过滤: 追踪TCP流查看响应内容 特征识别 : 匹配的混淆特征: 研判要点 : 互联网明文传输的混淆脚本多为恶意载荷 结论:资产疑似感染下载者木马 3.3 Async RAT的JA3S指纹识别 技术背景 : JA3/JA3S是TLS指纹识别技术 JA3标识客户端,JA3S标识服务端 Async RAT有独特的JA3S指纹 定位方法 : 过滤TLS Server Hello数据包: 识别JA3S指纹: 研判要点 : 匹配Async RAT服务端指纹 结论:资产确认存在Async RAT受控行为 3.4 Async RAT的SSL证书特征 定位方法 : 根据五元组信息定位相关TLS会话 检查证书中的特定hex流: 研判要点 : 此特征为Async RAT与Quaser RAT共有 结论:确认Async RAT通讯行为 四、总结与防御建议 4.1 攻击链路总结 合法网站被污染 → 下载恶意.js文件 .js文件执行 → 下载混淆PowerShell脚本 PowerShell脚本执行 → 解密Async RAT并持久化 Async RAT建立C2通讯 → 系统被完全控制 4.2 防御建议 网络层防御 : 部署IDS/IPS系统,使用包含ET/PRO规则库的检测引擎 监控异常TLS指纹(JA3/JA3S) 限制对.top等高风险域名的访问 终端防御 : 禁用不必要的PowerShell执行 监控PowerShell的异常网络行为 限制计划任务的创建权限 安全意识 : 警惕网站上的"更新提示" 验证下载来源的可靠性 定期检查系统异常进程和网络连接 4.3 分析技巧总结 从告警信息出发,逐步溯源 结合时间线和行为链分析 善用Wireshark过滤和追踪功能 掌握关键特征识别技术(如JA3S、证书特征等) 建立完整的攻击链路视图 通过本案例的学习,分析人员可以掌握从海量告警中识别关键威胁、分析恶意下载链路、识别Async RAT通讯特征等实用技能。