针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析
字数 1701 2025-08-03 16:43:39

AsyncRAT和XWorm远控木马攻击样本分析报告

1. 前言概述

近期安全研究人员发现一批新的钓鱼攻击活动,黑产团伙直接使用AsyncRAT和XWorm等远控木马黑客工具对受害者进行远程控制,实施网络诈骗等恶意活动。本报告将详细分析这批攻击样本的技术细节。

2. 样本分析

2.1 样本一:AsyncRAT远控木马

2.1.1 基本特征

  • 伪装成Microsoft Edge程序
  • 编译时间:2024年5月12日

2.1.2 攻击流程

  1. ShellCode下载与执行

    • 从远程服务器下载ShellCode代码并加载到内存中执行
    • 远程服务器地址和端口:123.99.200.160:6428
    • 下载文件:160.bin

  2. 内存操作

    • 获取VirtualAlloc函数地址
    • 分配内存空间
    • 将shellcode中的加密数据拷贝到分配的内存空间
    • 解密加密数据

  3. 绕过安全机制

    • 通过Patch AmsiScanBuffer函数绕过AMSI内存劫持
    • 通过Patch WldpQueryDynamicCodeTrust等函数绕过WLDP机制
    • 具体Patch操作包括:
      • AmsiScanBuffer函数Patch前后对比
      • WldpQueryDynamicCodeTrust函数Patch前后对比
      • WldpIsClassInApprovedList函数Patch前后对比

  4. .NET程序加载

    • 在内存中加载解密出来的.NET程序
    • 经确认该程序为AsyncRAT远控

  5. 远控特征

    • 远程IP地址:123.99.200.160
    • 与开源AsyncRAT工具生成的服务器程序代码结构一致

2.1.3 AsyncRAT工具分析

  • 开源远控工具
  • 可生成服务端程序
  • 反编译服务器程序代码结构与样本中解密出的.NET程序一致

2.2 样本二:XWorm远控木马

2.2.1 基本特征

  • 编译时间:2024年5月8日

2.2.2 攻击流程

  1. ShellCode下载与执行

    • 远程服务器地址和端口:154.38.121.174:80
    • 下载文件:qwe1.bin
    • 获取函数地址并分配内存空间
    • 加密数据拷贝与解密流程与样本一类似(同一套框架生成的ShellCode)

  2. .NET程序加载

    • 解密出的.NET程序编译时间:2024年5月9日
    • 经过简单混淆处理
    • 确认是XWorm远控木马,版本为V5.6

  3. 远控特征

    • 远程服务器IP:154.38.121.174
    • 与XWorm 6.5版本工具生成的混淆服务端程序结构完全一致

2.2.3 XWorm工具分析

  • 版本确认:5.6(样本中)和6.5(研究人员获取版本)
  • 可生成混淆后的服务端程序
  • 生成的程序与样本中解密出的.NET程序结构一致

3. 威胁情报

  • 黑产团伙攻击工具演变:

    • 去年:大量使用Gh0st各种变种版本("银狐"工具)
    • 之后:开始使用AsyncRAT远控
    • 现在:开始使用XWorm远控

  • 攻击特点:

    • 不断更新攻击样本
    • 直接使用现有RAT远控木马
    • 结合免杀加载器技术
    • 降低攻击成本,追求利益最大化

4. 防御建议

  1. 终端防护

    • 部署具有行为检测能力的终端安全产品
    • 监控内存Patch操作,特别是对AMSI和WLDP相关函数的修改

  2. 网络防护

    • 拦截已知恶意IP(123.99.200.160、154.38.121.174等)
    • 监控异常网络连接,特别是对非常用端口的连接

  3. 用户教育

    • 提高对伪装成合法程序(如Microsoft Edge)的恶意软件的识别能力
    • 避免下载和运行来源不明的程序

  4. 检测规则

    • 建立针对AsyncRAT和XWorm特征的行为检测规则
    • 监控内存中.NET程序加载行为

  5. 补丁与更新

    • 确保所有安全产品保持最新版本
    • 及时应用操作系统和应用程序的安全更新

5. 总结

当前黑产团伙持续活跃,不断更新其攻击工具和技术。从Gh0st变种到AsyncRAT,再到现在的XWorm,攻击者倾向于使用现成的RAT工具降低攻击成本。这些攻击通常结合免杀技术和内存加载技术绕过安全检测。安全团队需要持续关注这些威胁的发展,更新防御策略,特别是加强对内存操作和.NET程序加载行为的监控。

AsyncRAT和XWorm远控木马攻击样本分析报告 1. 前言概述 近期安全研究人员发现一批新的钓鱼攻击活动,黑产团伙直接使用AsyncRAT和XWorm等远控木马黑客工具对受害者进行远程控制,实施网络诈骗等恶意活动。本报告将详细分析这批攻击样本的技术细节。 2. 样本分析 2.1 样本一:AsyncRAT远控木马 2.1.1 基本特征 伪装成Microsoft Edge程序 编译时间:2024年5月12日 2.1.2 攻击流程 ShellCode下载与执行 : 从远程服务器下载ShellCode代码并加载到内存中执行 远程服务器地址和端口:123.99.200.160:6428 下载文件:160.bin 内存操作 : 获取VirtualAlloc函数地址 分配内存空间 将shellcode中的加密数据拷贝到分配的内存空间 解密加密数据 绕过安全机制 : 通过Patch AmsiScanBuffer函数绕过AMSI内存劫持 通过Patch WldpQueryDynamicCodeTrust等函数绕过WLDP机制 具体Patch操作包括: AmsiScanBuffer函数Patch前后对比 WldpQueryDynamicCodeTrust函数Patch前后对比 WldpIsClassInApprovedList函数Patch前后对比 .NET程序加载 : 在内存中加载解密出来的.NET程序 经确认该程序为AsyncRAT远控 远控特征 : 远程IP地址:123.99.200.160 与开源AsyncRAT工具生成的服务器程序代码结构一致 2.1.3 AsyncRAT工具分析 开源远控工具 可生成服务端程序 反编译服务器程序代码结构与样本中解密出的.NET程序一致 2.2 样本二:XWorm远控木马 2.2.1 基本特征 编译时间:2024年5月8日 2.2.2 攻击流程 ShellCode下载与执行 : 远程服务器地址和端口:154.38.121.174:80 下载文件:qwe1.bin 获取函数地址并分配内存空间 加密数据拷贝与解密流程与样本一类似(同一套框架生成的ShellCode) .NET程序加载 : 解密出的.NET程序编译时间:2024年5月9日 经过简单混淆处理 确认是XWorm远控木马,版本为V5.6 远控特征 : 远程服务器IP:154.38.121.174 与XWorm 6.5版本工具生成的混淆服务端程序结构完全一致 2.2.3 XWorm工具分析 版本确认:5.6(样本中)和6.5(研究人员获取版本) 可生成混淆后的服务端程序 生成的程序与样本中解密出的.NET程序结构一致 3. 威胁情报 黑产团伙攻击工具演变: 去年:大量使用Gh0st各种变种版本("银狐"工具) 之后:开始使用AsyncRAT远控 现在:开始使用XWorm远控 攻击特点: 不断更新攻击样本 直接使用现有RAT远控木马 结合免杀加载器技术 降低攻击成本,追求利益最大化 4. 防御建议 终端防护 : 部署具有行为检测能力的终端安全产品 监控内存Patch操作,特别是对AMSI和WLDP相关函数的修改 网络防护 : 拦截已知恶意IP(123.99.200.160、154.38.121.174等) 监控异常网络连接,特别是对非常用端口的连接 用户教育 : 提高对伪装成合法程序(如Microsoft Edge)的恶意软件的识别能力 避免下载和运行来源不明的程序 检测规则 : 建立针对AsyncRAT和XWorm特征的行为检测规则 监控内存中.NET程序加载行为 补丁与更新 : 确保所有安全产品保持最新版本 及时应用操作系统和应用程序的安全更新 5. 总结 当前黑产团伙持续活跃,不断更新其攻击工具和技术。从Gh0st变种到AsyncRAT,再到现在的XWorm,攻击者倾向于使用现成的RAT工具降低攻击成本。这些攻击通常结合免杀技术和内存加载技术绕过安全检测。安全团队需要持续关注这些威胁的发展,更新防御策略,特别是加强对内存操作和.NET程序加载行为的监控。