揭秘多阶段恶意软件攻击：Cloudflare 滥用和 AsyncRAT 传播

根据 Sekoia 威胁检测与研究（TDR）团队的深度报告，一个精密且复杂的恶意软件交付基础设施被曝光。该设施非法利用 Cloudflare 隧道服务，部署 AsyncRAT 等远程访问木马（RAT）。值得警惕的是，这一恶意基础设施自 2024 年 2 月起便持续运作，通过构建错综复杂的感染链，不断迭代升级，意图绕过各类检测工具，渗透企业网络环境。研究人员强调，相关感染链步骤繁多、构造复杂，并且在不同攻击活动中呈现出差异化特征，展现出攻击者高超的技术手段与多变的攻击策略。

攻击始于一封钓鱼邮件（通常伪装成发票或采购订单），其中包含恶意的 Windows 库文件 (.ms-library)。虽然这种格式在现代环境中并不常用，但由于其不可执行的外观，可以绕过过滤系统。

钓鱼邮件中的附件是旧的‘application/windows-library+xml’文件类型……与二进制文件相比，它可能被视为一种安全的文件格式。

.ms-library 文件引用远程 WebDav 资源，打开后会启动伪装成 PDF 快捷方式（LNK 文件）的文件下载。一旦点击 LNK，就会展开一系列脚本和有效载荷：

• LNK 文件下载并执行 HTA 文件。
• HTA（用 VBScript 编写）启动 BAT 脚本。
• BAT 脚本安装 Python 并执行另一个 BAT 阶段。

最后，恶意软件注入 notepad.exe 并建立持久性。BAT 脚本的主要目标是继续执行需要 Python 的下一步……这成功触发了我们的规则ISO LNK 感染链。

攻击者使用 Python 脚本将下一个有效负载注入多个记事本进程并通过 Windows 启动文件夹建立持久性，删除两个 .vbs 文件和另一个 .bat。

最终的有效载荷 AsyncRAT 采用 base64 编码，并隐藏在从公共网站下载的 .jpg 图像中。该图像使用 PowerShell 进行反射加载，并在内存中执行，以规避磁盘检测。

下一阶段使用 PowerShell 通过 [System.Reflection.Assembly]::Load() 调用反射加载从 JPEG 图像下载的有效载荷。

C2 通信是通过动态 DNS 域建立的，通常利用 dyndns.org，并使用 TryCloudflare 隐藏在 Cloudflare 隧道后面的基础设施。

该恶意软件链配备了多种逃避技术：

• 检查开发环境以避免在沙盒中触发
• Python 安装后通过 attrib.exe 隐藏文件夹
• 检测感知的 LNK 和 HTA 滥用
• 用于弹性 C2 轮换的动态 DNS