milos-petrovic-cs/asyncrat-malware-analysis

# AsyncRAT 恶意软件分析 ## 概述 -威胁等级：高 (HIGH) -恶意软件类型：远程访问木马 (RAT) -分析师：Milos Petrovic -日期：2026年2月8日 -平台：Any.run 交互式恶意软件沙箱 -Any.run 任务：[查看分析](https://app.any.run/tasks/2d9b2964-ba70-4dbf-a96f-d3d717d831a8) ## 分析统计数据 -分析时长：60 秒 -进程总数：23 -修改文件数：199 -HTTP 连接数：115 -网络连接数：74 -DNS 请求数：58 -网络威胁数：3 -识别出的 IOC 总数：92 ## 关键发现 -在 Microsoft Edge 用户数据目录中修改了 199 个文件以实现持久化 -主要 C2 服务器：download.cyberlearn.academy -60 秒内进行了 58 次 DNS 查询，表明存在活跃的 C2 通信 -mDNS 扫描 (224.0.0.251:5353) 暗示正在进行本地网络侦察 -恶意软件将流量伪装为合法的 Microsoft/Bing 活动 ## 持久化机制 恶意软件劫持 Microsoft Edge 浏览器文件，而不是使用传统的注册表 Run 键——这使得检测变得更加困难。 被修改的文件包括： -'load_statistics.db-wal' -'Last Browser' -'CdmStorage.db' ## IOC 摘要 **主要 C2 域名：** -download.cyberlearn.academy **恶意 URL：** `https://download.cyberlearn.academy/download/download?url=https://files-ld.s3.us-east-2.amazonaws.com/59cbd215-76ea-434d-93ca-4d6aec3bac98-free-coffee.zip` **文件哈希 (SHA-256)：** - `456d64c8e15aff3af9e60eb95d2c91fb14ec2ca43bd147c0f20664f63dce15eb` - `9c70f766d3b84fc2bb298efa37cc9191f28bec336329cc11468cfadbc3b137f4` - `68590788b1ba533d2f2ca85f81dc711238a37a095722823f5651177b38fc2b61` **可疑 IP：** - 224.0.0.251 (端口 5353 UDP — mDNS 本地网络扫描) ## 网络基础设施 | 域名 | 用途 | | --- | --- | | download.cyberlearn.academy | 主要 C2 服务器 | | th.bing.com | 被滥用于 C2 伪装的合法服务 | | ocsp.digicert.com | 证书验证 / C2 掩护 | | oneocsp.microsoft.com | 用作掩护的 Microsoft 流量 | ## 使用的工具 -Any.run 交互式恶意软件沙箱 -SHA256 哈希分析 -网络流量分析 -DNS 查询分析 ## 完整分析 请参阅 'LAB_3_MALWARE_ANALYSIS_Petrovic.txt' 以获取完整的分析，包括涵盖持久化、存档策略、网络通信、DNS 活动、检测特征码和完整 IOC 列表的所有 6 个问题。 ## 分析师 **Milos Petrovic** | CS 学生 | Evangel University [LinkedIn](https://www.linkedin.com/in/milos-petrovic-cs) | [GitHub](https://github.com/milos-petrovic-cs)

标签：Any.run, AsyncRAT, C2通信, DAST, DNS请求, IOC, IP 地址批量处理, mDNS, RAT, SHA-256, 云资产清单, 威胁情报, 开发者工具, 微软Edge, 恶意软件分析, 插件系统, 样本分析, 沙箱分析, 流量伪装, 浏览器劫持, 网络安全, 远程访问木马, 逆向工程, 防御绕过, 隐私保护