摘要：AsyncRAT 是一种强大的远程访问木马，它利用合法的系统工具完全在内存中执行恶意负载，有效地绕过了传统的基于磁盘扫描的防御。

安全研究人员最近发现针对企业环境的复杂无文件恶意软件活动激增。

AsyncRAT 是一种强大的远程访问木马，它利用合法的系统工具完全在内存中执行恶意负载，有效地绕过了传统的基于磁盘扫描的防御。

大多数此类攻击的初始访问都是通过被入侵的远程支持软件实现的。入侵者利用未经授权的 ScreenConnect 部署，获得对受害设备的交互控制权。

一旦进入恶意软件内部，他们就会部署一个用 VBScript 编写的多阶段加载器。

LevelBlue 分析师指出，该加载器会从攻击者控制的服务器检索两个编码的有效载荷——logs.ldk和logs.ldr。

这些有效载荷永远不会写入磁盘；相反，它们直接映射到内存中，在运行时将原始字节数组转换为可执行代码。

AsyncRAT 的架构围绕模块化 .NET 程序集展开，旨在实现逃避和核心 RAT 功能。

LevelBlue 研究人员在第一阶段 DLL 中发现了三个主要类：入口点初始化程序、创建伪装成合法更新程序的计划任务的持久性管理器，以及修补 AMSI 和 ETW 挂钩以禁用 Windows 安全日志记录的反分析组件。

通过动态 API 解析和内存加载，该恶意软件最大限度地提高了隐蔽性并使取证分析变得复杂。

除了混淆之外，AsyncRAT 的第二阶段AsyncClient.exe——充当命令和控制引擎。

二进制文件中的加密配置数据指定了 C2 域、端口、感染标志和目标目录。

使用 AES-256 解密后，客户端与其控制服务器建立 TCP 套接字，交换带有长度前缀的 MessagePack 数据包。

该协议支持侦察命令、数据泄露例程以及攻击者提供的指令的远程执行。

AsyncRAT 的感染机制始于执行一个简单的 VBScript，Update.vbs通过 启动WScript.exe。

该脚本使用 PowerShell 代码片段来获取并执行加载程序。

这个简洁的加载器执行两个关键功能：它解密下载的二进制文件并完全在内存中调用它们的入口点，不会在磁盘上留下任何取证痕迹。

通过将基于反射的加载与 Obfuscator.dll 中的反分析例程链接起来，攻击者可以确保每个阶段都对端点检测工具保持隐藏。

后续控制权交给 AsyncClient.exe，它可以保持持久性并实现主机的完全远程管理。

通过这种无文件方法，AsyncRAT展示了现代恶意软件如何将合法脚本平台与先进的规避策略相结合，以无缝地破坏和控制目标系统。

技术报告：

来源：会杀毒的单反狗