【お友達の特徴】AsyncRAT-2020/4/17

本記事の説明

お友達の特徴をメモするシリーズです。

memoレベルなので、濃い内容はありません。

AsyncRATとは

Open sourceのRAT。作者がYouTubeで紹介しているので、そちらを見て頂いたほうが理解が深まると思う。

.NETmalwareはRegAsmへのinjectionが好きだな〜

建前はリモート管理ツールらしい。

AsyncRAT is a Remote Access Tool (RAT) designed to remotely monitor and control other computers through a secure encrypted connection

AsyncRATの特徴

通信

callback時のポート番号が特徴的かな。8808、6606、7707のポートでTLS通信しようとしている。ポート番号はビデオにもあったやつだね。簡単に変更できるだろうけど。

振る舞い

コピー作成

C:\Users\user\AppData\Roaming\USNizoLckoTtei.exe

永続化。tmpF42D.tmpはXML

'C:\Windows\System32\schtasks.exe' /Create /TN 'Updates\USNizoLckoTtei' /XML 'C:\Users\user\AppData\Local\Temp\tmpF42D.tmp'

IOC

  • hxxps://www.chipmarkets[.]com//vendor/phpunit/phpunit/src/Util/PHP/admin/svchost.exe
  • babyboyhammer2.duckdns.org
  • 67deca381bb44b96fa13bead0adc1a6b
  • 43438e798b9affd9fcb871dfb8c31f42b06f5b4c
  • e9c607f263a990db1bf0465c8688ed7ce7e5f294845041fb56af313df34f45df

外部情報

https://www.joesandbox.com/analysis/343758