LOGO 首页 OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 技术文档 其他文档  
 
网站管理员

[点晴永久免费OA]开源远控木马AsyncRAT:一个GitHub项目如何变成全球最大僵尸网络之一

admin
2026年7月18日 1:8 本文热度 31
AsyncRAT不是某个神秘组织的作品。它2019年公开在GitHub上,代码任何人可见,文档任何人可查。三年后,它成了全球最常见的远控木马家族之一,被几十个不同的攻击组织使用——从个人黑客到国家级攻击者都在用。

这是开源安全工具被滥用的最典型案例。



AsyncRAT是什么


简单说:一个写得很干净、支持插件扩展、功能齐全的Windows远控木马,用C#开发,通信走TLS 1.3加密。

核心架构:

控制端(C2 Panel):攻击者操作的Web界面,部署在云服务器上
客户端(Stub):运行在受害者主机上的后门程序,由攻击者编译生成
通信协议:MessagePack序列化的二进制协议,走TLS 1.3加密,443端口
它的设计思路是"模块化":基础框架负责通信和持久化,功能以插件形式加载。想加个键盘记录?写个DLL插进去。想加个屏幕截图?同理。没有的功能,GitHub上有人已经写好了。

版本演变(已知):

0.3.x - 早期版本,功能简单,只有基础远控
0.5.x - 加入插件系统,加密增强
0.7.x - 支持TLS 1.3,添加反分析检测(VM检测、沙箱检测)
后续变种:各种修改版和分支,包括NanoRAT、Darkness RAT等均受其影响



攻击链拆解


典型感染路径:

第一步:投递
钓鱼邮件(含恶意附件:.zip、.iso、.img、.exe)
恶意广告(流量分发平台)
捆绑下载(破解软件、游戏外挂)
漏洞利用(近年来多通过CVE-2021-26411、Office漏洞投递)
第二步:落地
投递物通常是一个多层打包的载荷。以常见的.zip → WSF → VBS → PowerShell → AsyncRAT为例:
用户打开ZIP,运行里面的WSF脚本
WSF解码内嵌的VBS,释放到临时目录
VBS启动PowerShell,下载第二阶段脚本
PowerShell从C2拉取AsyncRAT stub,内存加载
也有更直接的:.exe → 解压 → 内存注入。AsyncRAT的stub经常通过aspnet_compiler.exe(.NET编译工具)等合法进程注入,伪装成系统进程。
第三步:上线
stub首次启动后,会向C2发送本机信息(操作系统、CPU、内存、IP、已安装杀软等)。C2确认是新机器后,下发配置:上线间隔、持久化方式、加载哪些插件。
第四步:持久化
创建计划任务(schtasks /create)
修改注册表Run键
修改服务配置
部分变种使用WMI订阅实现持久化
第五步:等待指令
AsyncRAT默认的"心跳"间隔是30-60秒。C2随时可以下发指令:执行命令、键盘记录、屏幕截图、文件外传、下载新payload、建立SOCKS代理——甚至让受害机器成为僵尸网络的跳板节点。



为什么开源木马更危险


没有技术门槛

传统木马需要攻击者自己写C2、写协议、解决检测免杀。AsyncRAT把这些全做好了,攻击者只需要三步:下载源码 → 修改C2地址 → 编译。任何人,30分钟上线。

检测特征难以固定

传统木马有固定二进制特征,安全厂商可以特征码查杀。AsyncRAT每次编译结果不同(变量名、类名、字符串都会被编译器改变),加上攻击者会进一步混淆和加壳,导致静态查杀效果很差。

变种难以穷举

GitHub上曾经有很多AsyncRAT的fork,即使原始仓库被删除,fork依然存在。更不用说在此基础上衍生的Darkness RAT、NanoRAT、Colossus RAT等几十个变种——它们的通信协议相似,但二进制完全不同。

攻击者众,难以溯源

LockBit只属于一个组织,攻击手法可以关联。AsyncRAT被几十个互不相关的攻击者使用,溯源时无法判断"这是哪个APT组织",因为可能只是某个个人黑客用开源工具干的。



AsyncRAT的加密通信是怎么工作的


理解它的通信设计有助于检测:

握手阶段:
stub向C2发送ClientHello,伪装成正常HTTPS流量
C2返回证书,stub验证后建立TLS 1.3连接
stub发送MessagePack序列化的注册包:{ hostname, username, os_version, camount, ram, video, country }
C2返回配置:心跳间隔、持久化命令、要加载的插件列表
心跳阶段:
每30-60秒,stub向C2发送心跳包,包含:上线时间、当前状态、屏幕是否锁定、是否有新任务。MessagePack格式,AES-256加密后通过TLS发送。
指令下发:
攻击者通过C2面板下发命令,命令经过AES-256加密后下发到stub,stub解密后执行,结果同样加密上传。
这种设计让流量检测非常困难——它看起来就是普通HTTPS通信。



防御建议


立即做:检查内网异常TLS连接和计划任务

AsyncRAT上线的网络特征是:短时间大量内网机器同时连接某个外部IP的443端口,且连接频率固定(每30-60秒一次)。在内网防火墙或IDS上监控这个模式:同一源IP → 同一目标IP → 固定间隔 → 固定端口。
同时检查所有Windows计划任务,看是否有来历不明的:
schtasks /query /fo LIST /v
重点关注:创建时间最近、运行用户是SYSTEM、触发器是"登录时"或"启动时"的条目。

中期做:限制白名单外的进程执行,盯住aspnet_compiler.exe

AsyncRAT经常通过合法.NET工具进程注入执行。Windows Defender的"攻击面减少规则"(ASR)可以阻止未签名脚本执行:
通过组策略开启ASR规则:阻止Office应用程序创建可执行内容、阻止JavaScript/VBScript执行下载的可执行文件。
另外,aspnet_compiler.exe不应该主动联网。如果发现它在连外网443端口,大概率是异常。

长期做:TLS流量深度检测,而不是只查域名/IP

AsyncRAT用TLS 1.3,传统的SSL黑名单没用。要做的是:
JA3指纹检测:AsyncRAT的TLS握手JA3指纹是固定的,监控内网机器的外向TLS连接JA3是否匹配已知恶意指纹
TLS证书指纹关联:监控内网主机TLS连接是否与已知的AsyncRAT C2证书指纹重合
元数据监控:AsyncRAT的心跳包大小有特征(通常在200-400字节),可作为行为检测启发条件


​AsyncRAT的可怕之处不是它多先进,而是它开源——让任何人都能用国家级后门的技术去黑一台普通电脑,而这个开源项目至今还有几十个活跃分支在演化。


阅读原文:点击这里


该文章在 2026/7/18 1:08:06 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2026 ClickSun All Rights Reserved  粤ICP备13012886号-1  粤公网安备44030602007207号