開源木馬程式AsyncRAT衍生逾30款分支惡意軟體

許多自由軟體採用開放原始碼的方式，賦與使用者高度自由，不僅能夠使用，甚至能進一步修改、複製，以及散布，從而促使有能力開發的使用者加入改良的行列，而能夠帶來創新、降低成本、提升軟體的品質，然而這種開源的做法若是用於惡意軟體，就有可能加速這類工具的散布，導致造成的威脅變得更加廣泛。

例如，最近資安業者ESET公布對於惡意軟體AsyncRAT的身世調查，就是典型的例子。AsyncRAT是非同步遠端存取木馬程式的縮寫，以C#開發而成，於2019年在GitHub儲存庫發表，如今至少衍生出超過30款惡意程式，其中最廣泛受到利用的變種是DCRat和VenomRAT。

根據2024年第二季ESET的統計資料，AsyncRAT與各式衍生家族的惡意程式檔案數量，最多的仍是AsyncRAT，占48%，DCRat和VenomRAT分別有24%、8%。

ESET特別提及，惡意程式數量居次的DCRat，其開發團隊對於AsyncRAT改良多項功能，其中一項是用於傳輸的資料結構，他們導入了另一個開源程式庫MessagePack，使得二進位資料序列化處理更有效率。

另一個則是過往資安專家較常提及的特點，就是DCRat能夠迴避反惡意程式碼掃描介面（AMSI）、Windows事件記錄追蹤（ETW）兩項作業系統安全防護機制。此外，開發團隊也防範特定名稱的處理程序運作，包括：Taskmgr.exe、ProcessHacker.exe、MsMpEng.exe、Taskkill.exe。

附帶一提的是，DCRat的外掛程式支援，主要也是源自AsyncRAT的基礎而來，並擴充功能。有些外掛程式能夠存取視訊鏡頭、麥克風錄音內容、竊取Discord的Token，但也有惡作劇成份居多的外掛程式，例如開啟或關閉光碟機托盤、封鎖鍵盤與滑鼠輸入的功能。值得留意的是，DCRat還實作了勒索軟體外掛，此模組以AES-256演算法加密檔案。

不過，ESET也提到並非所有的AsyncRAT分支都會引發更嚴重的威脅，他們舉出SantaRAT、BoratRAT，大致上就是複製其他AsyncRAT衍生版本的程式碼，其中SantaRAT的開發者更是直接表明就是複製DCRat。僅管他們幾乎只有複製他人的開發成果改名而成，但這兩款惡意程式還是有被用於真實攻擊的情況。