跨多個事件回應案例分析 AsyncRAT 對 aspnet_compiler.exe 的程式碼注入

風險等級: 低度威脅
摘 要: 病毒通告:跨多個事件回應案例分析 AsyncRAT 對 aspnet_compiler.exe 的程式碼注入
解決辦法: 針對此類攻擊採取的一些緩解和預防方式:
1.行為監控,觀察是否執行未經授權或惡意的活動,例如未經授權的系統訪問、檔案修改、網絡通信等。
2.可使用資安設備,並將資料庫不定時更新,將惡意URL、網域及IP進行阻擋。
3.限制執行腳本(例: VBScript 和 PowerShel..等)。
4.可使用電子郵件安全性或正在使用第三方防毒偵測郵件,防止使用者點擊惡意連結或下載惡意檔案。
5.模仿社交工程及定期進行教育訓練。
細節描述: aspnet_compiler.exe 這是一個合法的Microsoft 程式,最初是為編譯ASP.NET Web 應用程式,攻擊者利用此程式注入 AsyncRAT。
AsyncRAT 是一種遠端木馬工具(RAT),具有多種功能,例如鍵盤記錄和遠端桌面控制,這使其對受害者構成重大威脅。1.經 aspnet_compiler.exe 的可疑活動的檢測,該程式試圖與外部惡意 IP建立連接,發現感染的觸發因素是最初透過 Google Chrome 下載的名為downloadFile_SSAfnmeddOFzc.zip 的檔案。

2.後續打開了 ZIP 文件,其中包含一個名為 downloadedFile_SSAfnmedd.wsf 的腳本文件,並發現它受到密碼保護。
AsyncRAT 通常通過垃圾郵件寄給用戶。用戶可能已收到用於解壓縮 ZIP 文件的密碼,以及一個惡意鏈接(此為威脅行為者為了規避檢測而採用的常見手法)。

3.用戶使用密碼提取並打開了文件(downloadedFile_SSAfnmeddOFzc.wsf),安裝涉及創建和執行多個
PowerShell 腳本 (.ps1)、VBScript (.vbs) 和批次文件 (.bat)。

4.開啟檔案時觸發AsyncRAT,後門還有其他功能,取決於嵌入式配置。這包括鍵盤記錄、收集用戶端資訊、安裝的防毒軟體和安裝的加密貨幣錢包。

參考資訊: trendmicro