分发 AsyncRAT 的感染链  图片来源： Sekoia

在 Sekoia 威胁检测与研究（TDR）团队的一份详细报告中，研究人员揭示了一个复杂的恶意软件传播基础设施，该设施滥用了 Cloudflare 隧道服务来部署远程访问木马（RAT），尤其是 AsyncRAT。这个基础设施至少从 2024 年 2 月起就开始运作，并且在精心设计的复杂感染链的助力下不断演变，这些感染链旨在绕过检测工具并渗透到企业环境中。

研究人员指出：“相关的感染链特别复杂，涉及多个步骤，并且在不同的攻击活动中还观察到了一些差异。”

攻击始于一封网络钓鱼电子邮件 —— 通常伪装成发票或采购订单 —— 其中包含一个恶意的 Windows 库文件（.ms-library）。虽然这种格式在现代环境中不常用，但由于其非可执行文件的外观，它能够绕过过滤器。

网络钓鱼电子邮件示例  图片来源： Sekoia

.ms-library 文件引用了一个远程 WebDav 资源，当该资源被打开时，会启动一个伪装成 PDF 快捷方式（LNK 文件）的文件下载。

一旦点击了 LNK 文件，一系列脚本和有效载荷就会依次展开：

1.LNK 文件下载并执行一个 HTA 文件。

2.这个 HTA 文件（用 VBScript 编写）会启动一个 BAT 脚本。

3.BAT 脚本安装 Python 并执行另一个 BAT 阶段的操作。

4.最后，恶意软件会注入到 notepad.exe 中，并建立持久化。

攻击者使用一个 Python 脚本将下一个有效载荷注入到多个记事本（Notepad）进程中，并通过 Windows 启动文件夹建立持久化，会释放两个.vbs 文件和另一个.bat 文件。

可疑图像和隐藏的 base64 代码  图片来源： Sekoia

最终的有效载荷 ——AsyncRAT—— 是经过 Base64 编码的，并隐藏在一个从公共网站下载的.jpg 图像中。这个图像通过 PowerShell 以反射方式加载，在内存中执行，以避免被磁盘检测到。

命令与控制（C2）通信是通过动态域名系统（DNS）域名建立的，常常利用dyndns.org，并且其基础设施隐藏在使用 TryCloudflare 的 Cloudflare 隧道后面。

这条恶意软件感染链配备了多种规避技术：

1.进行开发环境检查，以避免在沙箱环境中触发。

2.在安装 Python 后，通过 attrib.exe 创建隐藏文件夹。

3.滥用具有检测规避意识的 LNK 文件和 HTA 文件。

4.使用动态 DNS 实现可靠的命令与控制（C2）服务器轮换。

Sekoia 的检测系统采用了以下规则：

1.HTA 感染链。

2.Mshta（微软 HTML 应用程序主机）的可疑子进程。

3.与动态 DNS 进行了通信。

4.ISO LNK 感染链。

5.使用 attrib.exe 隐藏文件。

这些规则是他们开源的 Sigma 规则集的一部分。

这次攻击活动展示了多阶段恶意软件攻击日益复杂的趋势。通过将网络钓鱼、不常见的文件格式、反射式 PowerShell 加载器以及像 Cloudflare 和 Telegram 这样的合法服务结合起来，攻击者成功地避开了用户的怀疑和终端安全防护。

威胁检测与研究（TDR）团队总结认为，虽然攻击者的最终目标很可能是窃取数据，但首要重点应该放在早期检测上 —— 尤其是在管理脚本和动态 DNS 较为常见的环境中。

随着攻击者在利用合法基础设施方面变得更具创意，防御者必须采用分层检测策略，并监控一些细微的迹象，比如意外的.vbs 或.jpg 文件下载触发了 PowerShell 操作等情况。