本記事の説明
お友達の特徴をメモするシリーズです。
memoレベルなので、濃い内容はありません。
AsyncRATとは
Open sourceのRAT。作者がYouTubeで紹介しているので、そちらを見て頂いたほうが理解が深まると思う。
.NETmalwareはRegAsmへのinjectionが好きだな〜
建前はリモート管理ツールらしい。
AsyncRAT is a Remote Access Tool (RAT) designed to remotely monitor and control other computers through a secure encrypted connection
AsyncRATの特徴
通信
callback時のポート番号が特徴的かな。8808、6606、7707のポートでTLS通信しようとしている。ポート番号はビデオにもあったやつだね。簡単に変更できるだろうけど。
振る舞い
コピー作成
C:\Users\user\AppData\Roaming\USNizoLckoTtei.exe
永続化。tmpF42D.tmpはXML
'C:\Windows\System32\schtasks.exe' /Create /TN 'Updates\USNizoLckoTtei' /XML 'C:\Users\user\AppData\Local\Temp\tmpF42D.tmp'
IOC
- hxxps://www.chipmarkets[.]com//vendor/phpunit/phpunit/src/Util/PHP/admin/svchost.exe
- babyboyhammer2.duckdns.org
- 67deca381bb44b96fa13bead0adc1a6b
- 43438e798b9affd9fcb871dfb8c31f42b06f5b4c
- e9c607f263a990db1bf0465c8688ed7ce7e5f294845041fb56af313df34f45df