مقدمة
Asyncrat هو RAT يمكنه مراقبة الأنظمة المصابة والتحكم فيها عن بُعد. تم تقديم هذا البرنامج الضار على Github كبرنامج شرعي مفتوح المصدر للإدارة عن بُعد، لكن المتسللين يستخدمونه للعديد من الوظائف الضارة القوية التي تشمل تسجيل المفاتيح وتسجيل الشاشة واستخراج البيانات وتنفيذ حمولة ضارة إضافية. تصيب Asyncrat بشكل أساسي الضحايا في صناعات تكنولوجيا المعلومات والضيافة والنقل عبر أمريكا الشمالية والجنوبية والوسطى، على الرغم من أن توزيعها لا يقتصر على هذه المناطق. يهدف مستخدمو RAT إلى سرقة بيانات الاعتماد الشخصية أو التفاصيل المصرفية واستخدامها كرافعة لطلب الفدية.
ملخص التقرير
يهدف هذا التقرير إلى تحليل برنامج Asyncrat ransomware والكشف عن وظائفه للمساعدة في استراتيجيات التخفيف من التهديدات والوقاية منها. نستكشف جميعًا سلوكها وطرق نشرها وتقنيات التشفير وأنشطة ما بعد الإصابة لاكتساب رؤى قيمة لمحترفي الأمن السيبراني والباحثين.
تحليل البرامج الضارة الثابتة
فحص الكود الثنائي أو الكود المصدري للبرامج الضارة لتحديد الخصائص والأنماط والسلوكيات دون تنفيذها.
عينة البرامج الضارة:
نموذج البرامج الضارة عبارة عن ملف bin named5f5aa560b9b2d9f7ea3b9a4e05b9b9b35107dc78bd763000fe05f6b3f998f311.bin
ملف A. bin ليس قابلاً للتنفيذ بطبيعته ولكنه قد يحتوي على بيانات ثنائية، مثل رمز الجهاز، التي يمكن استخدامها بواسطة ملف تنفيذي. لذلك، يقتصر التحليل الحالي على الأساليب الثابتة. سيتم إجراء المزيد من التحليل السلوكي عند الحصول على نسخة قابلة للتنفيذ من AsyncRAT ransomware.
تحليل البرامج الضارة الثابتة
فحص الكود الثنائي أو الكود المصدري للبرامج الضارة لتحديد الخصائص والأنماط والسلوكيات دون تنفيذها.
فايل هاش
استخراج تجزئات ملفات SHA256 و MD5 باستخدام أداة Hashcalc ثم الرجوع إلى هذه التجزئات باستخدام Virus Total لأخذ البصمات.
لقطة شاشة:
شا256:
5f5a560b9b2d9f7e3b9a4e05b9b9b9b9b9b35107 dc78b763000 fe05f6b3f998f311
MD5:
4fa7b1eec1fc84eb3a13c29e5a37aae7
سمعة ملف هاش: https://www.virustotal.com/gui/file/5f5aa560b9b2d9f7ea3b9a4e05b9b9b35107dc78bd763000fe05f6b3f998f311
تحليل السلاسل.
تتمحور الوظائف التي يستخدمها ملف bin حول وظائف متعددة تشمل الوظائف التي يمكن أن تتجنب الحلول الأمنية، والاستفادة من إمكانيات الشبكة، وتقنيات التشويش، وعمليات تعديل الملفات والذاكرة وتنفيذ حمولات أو برامج أخرى في نظام مخترق.
تفاصيل الوظائف المكتشفة المعينة إلى MITRE Framework:
سلاسل الأوامر التي تمت ملاحظتها
T1059 | واجهة سطر الأوامر، cmd
/cschtasks /إنشاء /f /sc عبر تسجيل الدخول /rl أعلى /tn»
ابدأ "»»
ديل»
فشل التثبيت:
Taskmgr.exe
ProcessHacker.exe
procexp.exe
Regedit.exe
T1089 | تعطيل أدوات الأمان: taskkill.exe
دليل مستخدم بوويرشيل: 3AE7B1AD-BFC8-4E77-AF1-B59DF15CACB7
تفسير سلاسل الأوامر:
يستفيد ملف bin من أوامر PowerShell أو أدوات سطر الأوامر (cmd) لتأسيس الثبات (schtasks). يؤدي هذا إلى إنشاء مهمة مجدولة (START "») يتم تنفيذها بامتيازات مرتفعة عند تسجيل دخول المستخدم، مما قد يؤدي إلى تشغيل عملية أو برنامج نصي ضار.
حذف ملف: تستهدف محاولة الحذف (DEL) الملفات التنفيذية الهامة (Taskmgr.exe، ProcessHacker.exe، procexp.exe، Regedit.exe) المستخدمة لمراقبة النظام أو إدارة العمليات أو تحرير السجل، بهدف إعاقة الاكتشاف والتحليل.
تعطيل أداة الأمان: يشير استخدام taskkill.exe (T1089) إلى الجهود المبذولة لتعطيل أدوات أمان النظام، والتي من المحتمل أن تتجنب الكشف أو تعرقل إجراءات الاستجابة.
دليل بوويرشيل: يقترح PowerShell GUID برنامجًا نصيًا أو عملية محددة، ربما تكون ضارة، تفتقر إلى الارتباط بمعرفات Windows PowerShell GUID الشرعية عبر الإنترنت. وهذا يعزز الشكوك حول النوايا الخبيثة، مما يستدعي المزيد من التحقيق للتتبع والتحليل.
المزيد من التحليل الثابت:
ملخص لسلوك البرامج الضارة:
تستخدم البرامج الضارة تشفير XOR للتشويش، وتتضمن كيلوجر لالتقاط بيانات المستخدم الحساسة، وتستخدم موتكس لمنع حالات التخفي المتعددة، وتنفذ خطافات لمراقبة نشاط المستخدم، وكلها تهدف إلى سرقة المعلومات والحفاظ على الثبات على النظام المصاب.
الرجوع إلى هذه المخططات
1. http://schemas.microsoft.com/SMI/2016/WindowsSettings
2. http://schemas.microsoft.com/SMI/2015/WindowsSettings
يُظهر هذا محاولة لتغيير إعدادات النظام أو السياسات لتسهيل أنشطته الضارة أو تجنب الاكتشاف أو الحفاظ على الثبات على النظام المصاب.
التوصيات
- مفصّل مراقبة أنشطة PowerShell و WScript، مع التركيز بشكل خاص على استخدام «conhost - بدون رأس».
- استخدم سجلات Sysmon لاكتشاف سلوك AsyncRAT باستخدام قواعد المجتمع
- قم بتحسين تصفية البريد الإلكتروني لاكتشاف وحظر JavaScript الغامضة ومرفقات OneNote الضارة.
- تأكد من تحديث جميع البرامج، وخاصة Microsoft Office، إلى أحدث الإصدارات للتخفيف من استغلال الثغرات الأمنية.
- قم بإجراء تدريب منتظم للمستخدمين للتعرف على محاولات التصيد الاحتيالي وتجنب تنفيذ المرفقات غير المعروفة.
- قم بتحديث موجزات معلومات التهديدات باستمرار لتشمل أحدث IOCs المتعلقة بـ AsyncRAT.
من خلال تنفيذ هذه الإجراءات، يمكن للمؤسسات تحسين دفاعاتها ضد AsyncRAT والتهديدات المماثلة، مما يضمن بيئة أكثر أمانًا.
.png)
.png)