针对黑产团伙使用AsyncRAT和XWorm远控木马最新攻击样本分析

1.样本一伪装成Microsoft Edge程序，如下所示：

2.编译时间为2024年5月12号，如下所示：

3.从网上下载ShellCode代码，并加载到内存中执行，如下所示：

4.远程服务器地址和端口为123.99.200.160:6428，下载的文件为160.bin，如下所示：

5.下载的shellcode代码，如下所示：

6.获取VirtualAlloc函数地址，如下所示：

7.分配内存空间，如下所示：

8.将shellcode中包含的加密数据拷贝到分配的内存空间，如下所示：

9.解密加密的数据，如下所示：

10.解密之后的数据，如下所示：

11.通过Patch AmsiScanBuffer函数来绕过AMSI内存劫持，如下所示：

12.Patch AmsiScanBuffer函数，如下所示：

13.Patch之后AmsiScanBuffer函数，如下所示：

14.通过Path WldpQueryDynamicCodeTrust等函数绕过WLDP机制，如下所示：

15.Patch WldpQueryDynamicCodeTrust函数，如下所示：

16.Patch之后WldpQueryDynamicCodeTrust函数，如下所示：

17.Patch WldpIsClassInApprovedList函数，如下所示：

18.Patch之后WldpIsClassInApprovedList函数，如下所示：

19.在内存中加载解密出来的NET程序，如下所示：

20.解密出来的NET程序，如下所示：

21.此前分析过该家族样本的，基本上一眼就能认出这是AsyncRAT远控，远程IP地址为123.99.200.160，如下所示：

22.AsyncRAT远控是一款开源的远控工具，笔者从网上下载到该远控工具，如下所示：

23.工具运行之后，如下所示：

24.笔者利用该工具生成一个服务端程序，然后反编译服务器程序，可以发现代码结构与上面解密出来的NET程序，基本一致，如下所示：

25.样本二的编译时间为2024年5月8号，如下所示：

26.样本二主体代码结构与样本一基本一致，从远程服务器上下载ShellCode代码，然后在内存中加载执行，远程服务器地址和端口为154.38.121.174:80，下载的文件为qwe1.bin，如下所示：

27.下载的shellcode代码，如下所示：

28.获取函数地址，分配相应的内存空间，如下所示：

29.与样本一类似，将ShellCode中包含的加密数据拷贝到内存空间，然后解密，解密算法也与样本一类似，应该是同一套框架生成的ShellCode，解密之后的ShellCode，如下所示：

30.解密出来的ShellCode执行过程，与样本一中解密出来的ShellCode过程一致，在内存中解密出来的NET程序，编译时间为2024年5月9号，如下所示：

31.解密出来的NET程序经过简单的混淆处理，如下所示：

32.此前分析过该家族样本的，也可以一眼看出这是XWorm远控木马，动态调试该远控木马版本为XWorm V5.6,如下所示：

33.远控服务器IP地址为154.38.121.174，如下所示：

34.笔者拿到XWorm 6.5版本的远控工具，运行之后，如下所示：

35.生成一个混淆后的服务端程序，与上面解密出来的NET程序，程序的代码结构完全一致，如下所示：