近年来,随着远程办公和远程管理需求的激增,远程监控和管理(RMM)工具在企业IT环境中变得尤为重要。其中,ConnectWise ScreenConnect作为一款广泛部署的合法远程控制软件,因其稳定性和操作便捷性而备受青睐。然而,正因其信任度和普及性,一些攻击者开始利用ScreenConnect作为载体,悄无声息地植入恶意软件,实现对目标机器的全面控制和数据窃取。最新的网络安全研究揭示了AsyncRAT - - 一种功能强大的远程访问木马(RAT) - - 正是借助这种手法入侵受害者系统的典型代表。通过滥用ScreenConnect,攻击者能够绕过传统防护措施,展开高度隐蔽且效率极高的攻击,威胁企业信息安全及加密资产保护。攻击的起点通常源自钓鱼邮件,这些邮件伪装成财务文件或者商业文档,诱导受害者点击看似无害的附件或链接。
一旦受害者在目标环境中开启了看似合法的ScreenConnect客户端,攻击者便可借此建立远程会话,实施"真人操作"攻击。攻击者通过屏幕共享或远程桌面,启动由Visual Basic Script(VBScript)和PowerShell脚本组成的分层加载器。该加载器开始时会从远程攻击者控制的服务器检索加密和混淆过的.NET组件文件,随后这些组件被解密和装载成AsyncRAT主程序。AsyncRAT具有全面的遥控和数据窃取功能,能够记录键盘输入,盗取存储在浏览器内的各类凭证,甚至针对常见的加密货币钱包程序及浏览器扩展进行扫描和信息搜集。值得注意的是,AsyncRAT采用了文件无痕策略(Fileless Malware),即恶意代码大多在内存中执行,最大限度地减少磁盘写入痕迹,使得传统的基于文件扫描的安全工具难以检测。这种方式不仅提升了隐蔽性,还助长了持久化的难度增加。
为保证长久潜伏,攻击者创建了伪装成"Skype Updater"的计划任务。受害系统每次重启或用户登录时,该计划任务都会被触发,自动执行预置的VBScript和PowerShell代码,重新加载AsyncRAT,确保木马持续保持激活状态。在与命令与控制服务器(C2)通信方面,AsyncRAT主要通过TCP套接字与域名为3osch20.duckdns[.]org的C2服务器建立连接。连接参数除了被硬编码在木马程序中外,有时攻击者还会通过第三方公共资源如Pastebin获取最新配置,以动态调整攻击策略和指令。通过C2通道,攻击者能够下发新的命令,执行后期渗透操作,进而扩大攻击面,盗取更多敏感信息,甚至在企业内部横向移动。AsyncRAT针对加密货币钱包的攻击表现尤为突出。
目前市面主流的桌面加密货币钱包以及浏览器端扩展,包括Google Chrome、Brave、Microsoft Edge、Opera和Mozilla Firefox均在其扫描范围内。攻击者试图收集私钥、助记词及钱包验证信息,试图将目标用户的数字资产纳入囊中。此次异动充分暴露了现代文件无恶意软件攻击所带来的复杂挑战。传统签名检测、沙箱分析难以覆盖运行时内存中的恶意代码行为,且利用系统工具如PowerShell和VBScript执行攻击脚本,也使得防护系统误判为正常行为的概率大大提高。因此,企业安全团队在面对类似威胁时需采取更为先进的防御思路。强化员工安全意识,警惕钓鱼邮件,非常关键。
此类攻击往往始于社交工程手法,通过伪装诱导点击而成功入侵。严控和监控远程访问工具的使用,确保ScreenConnect和其他RMM软件的安装和更新严格受控,不留操作和配置的安全漏洞。实施多因素认证(MFA)能够阻止未经授权的远程会话创建,增强账户安全。部署具备内存行为检测能力的安全解决方案,监控脚本执行以及未知代码运行的异常现象,有利于及时发现文件无痕攻击迹象。定期审计系统内计划任务及注册表,排查是否存在异常恶意的持久化机制。最后,网络安全的攻防态势正不断演进。
AsyncRAT借助ConnectWise ScreenConnect和文件无痕攻击技术成功绕过多重防御提醒我们,单一防护措施难以应对复杂威胁。唯有结合多层次的威胁情报、行为分析与强化用户安全文化,才能真正筑牢数字资产及敏感数据的保护屏障。未来企业应注重建设零信任架构,限制远程访问权限,持续更新防御策略,并借助人工智能与自动化工具提升检测能力,降低因远程管理软件带来的潜在风险。关注AsyncRAT及类似远程访问木马的动态变化,是每家网络安全防护队伍义不容辞的责任。通过持续研究与合作,共同应对这类高级持续威胁,方能保障互联网环境日益复杂的安全生态。 。
