AsyncRAT开源恶意软件：迷宫般的变种威胁全球网络安全

自2019年在GitHub上出现以来，AsyncRAT已成为开源恶意软件如何使网络犯罪民主化的典型代表，其变种足迹遍布功能谱系，形成了一个迷宫般的网络。

AsyncRAT的演变与影响

AsyncRAT是一种开源恶意软件工具，最初于2019年出现，现已演变为一种普遍存在的威胁，其代码库催生了大量分支和变种，被全球网络犯罪分子使用。

大多数传播者可能是被GitHub等平台上代码的易得性所吸引的独立行为者。根据ESET的新研究，这些变种本身涵盖了从强大的攻击平台到古怪的个性化创作，使AsyncRAT成为开源恶意软件如何民主化网络犯罪的典型代表。

现代恶意软件的基石

“AsyncRAT已经巩固了其作为现代恶意软件基石的地位，”该安全供应商写道。“虽然其能力本身并不那么令人印象深刻，但正是AsyncRAT的开源性质真正放大了其影响。”

一位使用Nyan Cat名称的个人于2019年在GitHub上发布了AsyncRAT。该恶意软件用C#编写，具有远程访问木马（RAT）的所有标准功能，包括键盘记录、屏幕抓取和凭据盗窃。其模块化设计允许不良行为者插入额外的恶意功能。

此后，该代码催生了ESET描述的迷宫般的分支和变种，其中一些极其危险，一些则不那么危险。

危险变种：DcRat与VenomRAT

这些变种中更强大的是DcRat和VenomRAT，它们是原始恶意软件中部署最广泛的两个变种。ESET的分析显示，DcRAT在数据传输机制、混淆和规避能力方面比原始AsyncRAT复杂得多。ESET发现该变种还支持更多插件，包括用于访问网络摄像头和麦克风录音、窃取Discord令牌甚至加密受损系统上数据的插件。

根据ESET的说法，VenomRAT支持许多相同的能力，并可能受到DcRAT的启发。“该恶意软件包含如此多的功能，以至于可以单独被视为一个独立的威胁，”该安全供应商指出。

新奇变种：从BoratRAT到NonEuclid RAT

在谱系的另一端是AsyncRAT变种，如BoratRAT、JasonRAT和NonEuclid RAT，它们似乎更像是新奇的分支和 curiosities，而不是可信的威胁。例如，NonEuclid RAT包括一个带有五个内置跳跃惊吓图像的插件，以及另一个播放任意WAV声音文件的插件。

区分危险与轻微变种

为了区分危险变种和较轻微的变种，ESET使用了现实世界遥测和恶意软件能力分析的组合，该安全供应商的恶意软件分析师Nikola Knežević说。“像DcRAT这样的分支被认为是严重威胁，因为它们广泛使用并具有高级功能，如AMSI/ETW绕过、勒索软件模块和反分析技术，”他说。

开源代码助长的网络攻击

Knežević将AsyncRAT的普遍性和 longevity归因于GitHub等平台，这些平台为不良行为者提供了托管源代码供他人访问的方式。尽管受到威胁行为者的广泛滥用，但这些分支通常避免被删除，因为它们被标榜为合法的远程访问工具，他说。当它们确实被删除时，它们很可能以新名称或略有变化的形式重新出现。

“此外，针对AsyncRAT实例本身就很难，部分原因是没有集中的基础设施可以拆除，”Knežević指出。“该恶意软件被全球各种行为者使用，使得协调破坏更加复杂和不切实际。”

防御策略

结合行为检测、网络监控、端点检测和响应控制的多层防御对于防范AsyncRAT等威胁至关重要。不良行为者通常通过网络钓鱼电子邮件传递AsyncRAT，并采用各种混淆和规避策略来避免检测，Knežević说。因此，安全团队的重点应放在发现恶意脚本执行、异常出站流量和异常远程访问尝试上。

关于作者

Jai Vijayan是一位经验丰富的技术记者，在IT贸易新闻领域拥有超过20年的经验。他最近是Computerworld的高级编辑，为该出版物报道信息安全和数据隐私问题。在Computerworld的20年职业生涯中，Jai还报道了各种其他技术主题，包括大数据、Hadoop、物联网、电子投票和数据分析。在加入Computerworld之前，Jai在印度班加罗尔的《经济时报》报道技术问题。Jai拥有统计学硕士学位，居住在伊利诺伊州的Naperville。