FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

攻击者滥用合法工具实现内存驻留

安全研究人员发现，攻击者正通过多阶段内存加载器传播开源远程访问木马AsyncRAT，这种无文件技术能绕过传统基于文件的检测。LevelBlue实验室报告显示，攻击者首先入侵ScreenConnect客户端，随后执行PowerShell脚本获取两阶段载荷。

LevelBlue网络安全工程师肖恩·雪莉在博客中解释："这种技术完美诠释了无文件恶意软件的特性——没有可执行文件写入磁盘，所有恶意逻辑都在内存中运行。通过内存操作绕过传统基于磁盘的检测，使得威胁更难被发现、分析和清除。"

分析显示，该攻击极简地利用了可信管理工具、微型引导脚本和.NET加载器，在规避基于特征检测的同时，实现了完整的远程控制能力。

合法工具沦为攻击跳板

攻击时间线表明，攻击者最初通过被入侵的ConnectWise ScreenConnect部署建立中继/C2节点。雪莉指出："威胁行为者通过已知恶意域名relay.shipperzone[.]online发起交互会话，随后执行VBScript（Update.vbs）触发PowerShell命令，用于获取两个外部载荷。"

攻击者没有投放大型二进制文件，而是使用看似无害的小型代码——用于PowerShell命令的VBScript——在内存中获取并组装两阶段.NET载荷。第一阶段程序集充当混淆器/加载器，将下载内容转换为字节数组，并通过反射直接调用第二阶段程序集的Main()方法。这种方式保持文件系统"干净"，导致杀毒软件无法捕捉有效信号。

具备规避与持久化能力的RAT

加载AsyncRAT后，攻击者开始破坏Windows防御机制。报告记录了多种技术手段，包括禁用反恶意软件扫描接口（AMSI）和篡改Windows事件跟踪（ETW）——这两个都是运行时检测的关键功能。为维持持久性，攻击者创建了伪装成"Skype更新"的计划任务，确保系统重启后RAT能自动恢复。

LevelBlue还解密了AsyncRAT采用AES-256加密的配置文件，其中包含连接DuckDNS命令控制（C2）服务器的指令。C2通信采用TCP协议上的自定义数据包格式，这种方法通常用于提高灵活性和规避检测。

AsyncRAT为操作者提供了强大功能：键盘记录、浏览器凭据窃取、剪贴板监控和系统监视。LevelBlue已发布入侵指标（IoC）清单供防御者添加到扫描器中。其他通用最佳实践包括：拦截恶意域名、排查PowerShell单行命令和内存中的.NET反射加载、监控AMSI/ETW篡改行为，以及可疑计划任务创建。

威胁行为者正日益青睐无文件入侵技术，因其静默执行和可靠效果备受推崇。今年早些时候，攻击者就曾使用类似技术，通过钓鱼邮件传播恶意VBScript，最终在受害者机器内存中加载流行的Remcos RAT。

参考来源：

Stealthy AsyncRAT flees the disk for a fileless infection

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）