DEAD#VAX恶意软件活动通过IPFS托管VHD钓鱼文件部署AsyncRAT

威胁猎人披露了一个名为DEAD#VAX的新型隐秘恶意软件活动详情，该活动采用"严格的技术手段和巧妙滥用合法系统功能"的混合方式来绕过传统检测机制，部署名为AsyncRAT的远程访问木马。

Securonix研究人员Akshay Gaikwad、Shikha Sangwan和Aaron Beardslee在与The Hacker News分享的报告中表示："这种攻击利用IPFS托管的VHD文件、极端脚本混淆、运行时解密以及在可信Windows进程中进行内存shellcode注入，永远不会将解密的二进制文件投放到磁盘上。"

AsyncRAT是一个开源恶意软件，为攻击者提供对受感染端点的广泛控制能力，通过键盘记录、屏幕和网络摄像头捕获、剪贴板监控、文件系统访问、远程命令执行以及重启后的持久性来实现监视和数据收集。

感染序列的起始点是一封钓鱼邮件，传递托管在去中心化星际文件系统（IPFS）网络上的虚拟硬盘（VHD）。VHD文件伪装成采购订单的PDF文件来欺骗目标。

这个多阶段活动被发现利用Windows脚本文件（WSF）、高度混淆的批处理脚本和自解析PowerShell加载器来传递加密的x64 shellcode。该shellcode实际上是AsyncRAT，它被直接注入到可信的Windows进程中并完全在内存中执行，有效地最小化磁盘上的任何取证痕迹。

研究人员解释说："下载后，当用户简单地尝试打开这个看起来像PDF的文件并双击它时，它会挂载为虚拟硬盘。使用VHD文件是现代恶意软件活动中使用的一种高度特定且有效的规避技术。这种行为显示了VHD文件如何绕过某些安全控制。"

在新挂载的驱动器"E:\"中显示的是一个WSF脚本，当受害者执行它时（假设它是PDF文档），会投放并运行一个模糊的批处理脚本，该脚本首先运行一系列检查以确定它不是在虚拟化或沙盒环境中运行，并且具有进一步处理所需的权限。

一旦满足所有条件，脚本就会释放一个基于PowerShell的进程注入器和持久性模块，该模块旨在验证执行环境、解密嵌入的载荷、使用计划任务设置持久性，并将最终恶意软件注入Microsoft签名的Windows进程（例如RuntimeBroker.exe、OneDrive.exe、taskhostw.exe和sihost.exe）中，以避免将痕迹写入磁盘。

PowerShell组件为"隐秘、弹性的执行引擎"奠定了基础，允许木马完全在内存中运行并融入合法的系统活动，从而实现对受感染环境的长期访问。

为了进一步增强隐秘性，恶意软件控制执行时间，并使用睡眠间隔来节制执行，以减少CPU使用，避免可疑的快速Win32 API活动，并使运行时行为变得不那么异常。

研究人员说："现代恶意软件活动越来越依赖可信文件格式、脚本滥用和内存驻留执行来绕过传统安全控制。攻击者不再传递单一恶意二进制文件，而是构建多阶段执行管道，其中每个单独组件在孤立分析时都显得无害。这种转变使检测、分析和事件响应对防御者来说变得更加困难。"

"在这个特定的感染链中，将AsyncRAT作为加密的内存驻留shellcode传递的决定显著增加了其隐秘性。载荷永远不会以可识别的可执行形式出现在磁盘上，而是在可信Windows进程的上下文中运行。这种无文件执行模型使检测和取证重建变得更加困难，允许AsyncRAT在传统端点安全控制发现风险降低的情况下运行。"

Q&A

Q1：DEAD#VAX恶意软件活动是什么？它有什么特点？

A：DEAD#VAX是一个新型隐秘恶意软件活动，它采用严格的技术手段和巧妙滥用合法系统功能的混合方式来绕过传统检测机制。该活动利用IPFS托管的VHD文件、极端脚本混淆、运行时解密以及在可信Windows进程中进行内存shellcode注入，永远不会将解密的二进制文件投放到磁盘上。

Q2：AsyncRAT木马有哪些功能和危害？

A：AsyncRAT是一个开源恶意软件，为攻击者提供对受感染端点的广泛控制能力。它能够进行键盘记录、屏幕和网络摄像头捕获、剪贴板监控、文件系统访问、远程命令执行，并且可以在重启后保持持久性，实现对目标设备的全面监视和数据收集。

Q3：VHD文件在这次攻击中起什么作用？为什么选择这种方式？

A：VHD文件作为攻击的起始载体，伪装成采购订单的PDF文件来欺骗目标。当用户双击这个看似PDF的文件时，它会挂载为虚拟硬盘。使用VHD文件是现代恶意软件活动中的一种高度特定且有效的规避技术，能够绕过某些安全控制，提高攻击的隐蔽性和成功率。