一个简单的AsyncRAT样本分析-先知社区

样本介绍

AsyncRAT是一种开源的远程访问木马（RAT），主要用于远程控制Windows设备。它支持加密通信，具备屏幕监控、键盘记录、文件管理等功能。攻击者通常利用钓鱼邮件、恶意宏或软件漏洞传播 AsyncRAT。一旦感染，受害者的设备可能会被用于数据窃取、远程操控甚至加入僵尸网络。由于其开源特性，AsyncRAT 易于修改，使其难以被安全软件检测。

代码分析

样本首先会进行初始化，初始化设定了其自定义加密算法的key，并且采用其自定义加密算法解密外联主机、端口等信息

加密算法的key是经base64编码的clFxcHJwbUJWSEtHY2ROUXpoNHV6clBMeDVqenpWYmk=，解码结果为

rQqprpmBVHKGcdNQzh4uzrPLx5jzzVbi

初始化首先计算出待使用的key，如下图

根据代码生成key

样本经过初始化后，将创建互斥量AsyncMutex_6SI8OkPnk。

样本具有反分析功能，一旦检测到当前环境是分析环境，程序将终止，如下图所示。

Environment.FailFast 是 .NET 提供的立即终止应用程序的方法，它会绕过 try-catch和 finally块，直接终止进程，并可以记录错误信息或转储调试信息。

上图所示反分析的函数代码如下：

检测当前主机是否为虚拟机环境（若为虚拟机环境，则model查询结果将显示对应虚拟机产品名称）

检测当前进程是否被调试

检测当前进程是否运行在沙箱环境中

SbieDll.dll 是 Sandboxie（沙盒软件）的核心动态链接库之一，主要用于进程隔离和环境虚拟化。

检测当前运行环境的内存大小，若为小内存则代表是虚拟环境，61000000000L约为57GB

判断当前操作系统是否是WIN XP

反分析检测通过后，程序才会开始安装。

安装路径为%AppData%Runtime Broker.exe。

当样本检测到当前用户是Administrator时，样本将创建一个隐藏进程，通过cmd创建计划任务，用户登录时程序将启动。

随后样本将在指定路径创建文件，将当前进程的文件内容写入文件，关闭scocket连接，创建临时文件bat，随后隐藏执行bat，bat文件将启动程序。

持久化措施，使用RtlSetProcessIsCritical在进程退出时触发蓝屏。

使用SetThreadExecutionState防止系统休眠、屏幕关闭、进入待机状态。

常见的

EXECUTION_STATE

值

值	十六进制	作用
ES_SYSTEM_REQUIRED	0x00000001	防止系统进入睡眠
ES_DISPLAY_REQUIRED	0x00000002	防止关闭显示器
ES_USER_PRESENT	0x00000004	指示用户当前活跃
ES_CONTINUOUS	0x80000000	持续生效，直到下次调用

2147483651U == 0x80000003 == ES_SYSTEM_REQUIRED | ES_DISPLAY_REQUIRED | ES_CONTINUOUS

创建TCP连接，创建加密通信。

IOCs