| 風險等級: | 低度威脅 |
| 摘 要: | 病毒通告:跨多個事件回應案例分析 AsyncRAT 對 aspnet_compiler.exe 的程式碼注入 |
| 解決辦法: | 針對此類攻擊採取的一些緩解和預防方式: 1.行為監控,觀察是否執行未經授權或惡意的活動,例如未經授權的系統訪問、檔案修改、網絡通信等。 2.可使用資安設備,並將資料庫不定時更新,將惡意URL、網域及IP進行阻擋。 3.限制執行腳本(例: VBScript 和 PowerShel..等)。 4.可使用電子郵件安全性或正在使用第三方防毒偵測郵件,防止使用者點擊惡意連結或下載惡意檔案。 5.模仿社交工程及定期進行教育訓練。 |
| 細節描述: | aspnet_compiler.exe 這是一個合法的Microsoft 程式,最初是為編譯ASP.NET Web 應用程式,攻擊者利用此程式注入 AsyncRAT。 AsyncRAT 是一種遠端木馬工具(RAT),具有多種功能,例如鍵盤記錄和遠端桌面控制,這使其對受害者構成重大威脅。1.經 aspnet_compiler.exe 的可疑活動的檢測,該程式試圖與外部惡意 IP建立連接,發現感染的觸發因素是最初透過 Google Chrome 下載的名為downloadFile_SSAfnmeddOFzc.zip 的檔案。 2.後續打開了 ZIP 文件,其中包含一個名為 downloadedFile_SSAfnmedd.wsf 的腳本文件,並發現它受到密碼保護。 3.用戶使用密碼提取並打開了文件(downloadedFile_SSAfnmeddOFzc.wsf),安裝涉及創建和執行多個 4.開啟檔案時觸發AsyncRAT,後門還有其他功能,取決於嵌入式配置。這包括鍵盤記錄、收集用戶端資訊、安裝的防毒軟體和安裝的加密貨幣錢包。 |
| 參考資訊: | trendmicro |