關閉選單
新型無檔案惡意軟體攻擊利用 AsyncRAT 竊取憑證
無檔案惡意程式新攻擊:AsyncRAT滲透憑證竊取的隱形戰術
在資安防禦日益強化的今日,攻擊者也不斷進化其手法。LevelBlue Labs 最新研究揭示了一起利用無檔案載入器(fileless loader)部署 AsyncRAT 的攻擊事件,展現了現代惡意程式如何繞過傳統防毒與監控機制,直接在記憶體中執行,達成憑證竊取與持續滲透。

初始入侵:從合法工具到惡意載入
這起攻擊的起點是一個遭到入侵的 ScreenConnect 客戶端。該遠端支援工具被攻擊者利用,透過名為 relay.shipperzone.online 的可疑網域建立連線,進而執行一段 VBScript(Update.vbs),並透過 WScript 啟動 PowerShell 指令。PowerShell 指令下載了兩個惡意載入檔案:logs.ldklogs.ldr,並將其置於公共使用者目錄中。這些檔案完全在記憶體中執行,未在硬碟留下痕跡,成功避開傳統防毒軟體的掃描與記錄。

多階段攻擊架構:從繞過偵測到建立持續性
LevelBlue Labs 的技術分析指出,攻擊分為兩個主要階段:
  • 第一階段:Obfuscator.dll 這是一個 .NET 組件,負責啟動惡意程式碼、停用安全控制並建立持續性。它透過修補 AMSI(反惡意程式掃描介面)與 ETW(事件追蹤)來繞過 Windows 日誌記錄,並使用動態 API 解析技術,避免靜態分析偵測。攻擊者還建立了一個偽裝成「Skype Updater」的排程任務,以維持程式持續執行。
  • 第二階段:AsyncClient.exe 此階段負責與指揮控制伺服器(C2)進行通訊。程式使用 AES-256 解密其設定檔,揭露 C2 伺服器位址為 3osch20.duckdns.org,並包含感染標記與持續性設定。通訊透過 TCP socket 並使用自訂封包格式進行,難以被標準網路監控工具識別。

AsyncRAT 的功能與滲透能力
AsyncRAT 是一款功能強大的遠端存取木馬程式,其在此次攻擊中展現了多項滲透能力,包括:
  • 掃描與偵察受感染系統;
  • 記錄鍵盤輸入(keylogging);
  • 收集瀏覽器資料與擴充功能;
  • 擷取剪貼簿內容;
  • 透過排程任務維持持續性;
  • 將敏感資料回傳至攻擊者伺服器。
這些功能使攻擊者能夠長期控制受害系統,並持續蒐集憑證與機密資訊,對企業造成深遠影響。

無檔案攻擊的挑戰與警訊
與傳統惡意程式不同,無檔案攻擊完全在記憶體中執行,不會在硬碟留下可供掃描的檔案。這種手法使得許多資安工具難以偵測,尤其是依賴簽章或靜態分析的防毒軟體。LevelBlue Labs 警告,攻擊者正日益採用此類無檔案技術,結合合法工具(如 ScreenConnect、PowerShell)與模糊化技術,打造難以追蹤的滲透路徑。企業若未加強行為分析與記憶體監控,將面臨更高風險。

防禦的下一步
這起事件凸顯了現代資安防禦的挑戰:攻擊者不再依賴傳統惡意程式,而是利用合法工具與無檔案技術,悄悄滲透系統。企業應強化以下幾點:
  • 建立記憶體層級的行為監控;
  • 限制高權限工具的使用與存取;
  • 定期審查排程任務與系統異常行為;
  • 對遠端支援工具進行安全性控管與稽核。
在這場看不見的資安戰爭中,唯有提升可視性與反應速度,才能真正守住企業的數位防線。

資料來源:https://hackread.com/fileless-malware-attack-asyncrat-credential-theft/
 
最新研究揭露攻擊者利用無檔案載入器部署AsyncRAT,透過PowerShell與記憶體執行技術繞過防毒偵測,竊取使用者憑證並建立持續滲透。