Análisis de malware
Cómo AsyncRAT está escapando de las defensas de seguridad
10 de enero de por Pedro Tavares
AsyncRat es uno de los troyanos de acceso remoto de código abierto más populares . Este malware ha sido utilizado durante los últimos meses por profesionales y ciberdelincuentes en sus actividades. La ola maliciosa más decente de AsyncRat puede escapar de las defensas de seguridad mediante el uso de un cargador .ba t especialmente diseñado, como otros troyanos, incluido URSA .
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Netspoke publicó inicialmente la investigación y el diagrama de alto nivel de esta campaña se muestra a continuación. Después de que la víctima recibe el correo electrónico de phishing y ejecuta un archivo .bat no detectable , lo descarga desde un depósito de AWS S3 a las siguientes etapas de malware. Como puede verse, un script de PowerShell crea una gran cantidad de archivos que completan la cadena ejecutando el propio AsyncRAT.
1: Diagrama de alto nivel de la oleada de malware AsyncRAT ( fuente ).
Como se observa en los troyanos latinoamericanos , los delincuentes aprovechan las diferentes etapas de carga utilizando archivos .bat con mucho código ofuscado y una cantidad de basura para escapar con éxito de la detección AV/EDR. AsyncRAT también está abusando de esta técnica para iniciar la cadena de infección, como se ve en la 1, donde no se encontraron detecciones en VirusTotal.
2: Archivo OutPut-10.bat que escapa a la detección AV ( fuente ).
Como lo describen los investigadores de seguridad, “el archivo que no se detecta probablemente se deba a una cadena larga agregada al archivo varias veces (más de 100) por el atacante”.
3: Archivo .bat completamente ofuscado y con mucha basura en idioma japonés.
Las cuerdas son una tontería; el objetivo principal es simplemente generar caos, generar diferentes firmas de archivos y así escapar de la detección con pequeños fragmentos de código también ofuscados. Los fragmentos de código se destacaron en el análisis original y demuestran cómo esta técnica puede ser un enfoque potente para derrotar el análisis de malware estático de las soluciones de seguridad más sofisticadas presentes en el mercado hoy en día.
En detalle, el script invoca el objeto IEX y descarga desde un depósito S3 un script Powershell responsable de ejecutar la siguiente etapa del malware.
4: Código fuente del archivo .bat desofuscado y responsable de descargar la siguiente etapa de malware.
Etapa intermedia AsyncRat
El script de PowerShell llamado “ x.png ” descargado de la etapa anterior es responsable de crear diferentes archivos, a saber:
- xx.vbs
- bin.vbs
- xx.bat
- bin.bat; y
- contenedor.ps1
5: Archivos creados en la etapa intermedia de la cadena de infección AsyncRat.
En detalle, ambos archivos tienen algunas líneas de código que ejecutarán el archivo ” Bin.ps1 ” que contiene dos archivos ejecutables portátiles, a saber: 1. un inyector y 2. el propio AsyncRat.
6: Archivo Powershell que contiene ejecutables adicionales.
El inyector se utiliza para cargar en la memoria el archivo AsyncRAT aprovechando la técnica Process Hollowing. Como se demostró, se crea un nuevo hilo, se pone en estado suspendido (pausa), el archivo de destino se asigna a la memoria y luego se ejecuta.
7: Técnica de Process Hollowing utilizada por AsyncRat.
Cuando se ejecuta, los delincuentes pueden controlar la máquina infectada utilizando la GUI de AsyncRat. El código es de código abierto y los delincuentes pueden personalizarlo según sus intenciones.
8 : GUI de AsyncRAT de GitHub.
En general, las principales funcionalidades de AsyncRat son:
- La capacidad de ver y grabar la pantalla de las víctimas.
- Capacidades de registro de teclas
- La carga, descarga y ejecución de cargas/archivos adicionales.
- El uso de una comunicación por chat.
- Mecanismos de persistencia
- Deshabilitar Windows Defender
- Apagar y reiniciar
- Ataque de denegación de servicio
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Cómo mantenerse a salvo contra el malware
Si bien no existen soluciones inmediatas para bloquear el malware en general, el uso de soluciones de seguridad tanto en la capa de red como en la de host es una regla crucial en estos días. Los delincuentes utilizan diariamente diferentes técnicas para eludir los mecanismos de defensa. Utilizando un archivo .bat simple con mucha basura y líneas de código ofuscadas, fue posible inyectar código en la memoria y romper la barrera de seguridad inicial.
De esta forma, es necesario utilizar software contra las ciberamenazas y aplicar medidas capaces de monitorear una perspectiva de 360 grados de todo el ecosistema.
Fuentes:
Análisis de AsyncRat, Netspoke
Troyano URSA , Segurança-Informática