本文介绍了Remcos RAT的内部工作原理，这是一种危险的恶意软件，它使用高级技术感染Windows系统、窃取数据并获得远程控制。详细了解其攻击方法、规避策略以及对用户的潜在影响。

Fortinet的FortiGuard实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动正在传播一种新的Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上商业销售，针对Microsoft Windows用户，并允许威胁行为者远程控制受感染的计算机。

根据Fortinet分享的调查结果，此次攻击活动以伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起。打开附加的恶意Excel文档后，CVE-2017-0199漏洞就会被利用来下载并执行HTML应用程序(HTA)文件。

CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。

该HTA文件经过多层混淆处理，其代码以不同的脚本编写，包括JavaScript、VBScript、Base64编码、URL编码和PowerShell，可传递主要有效载荷。

然后，它会下载恶意可执行文件(dllhost.exe)，并通过32位PowerShell进程执行它，以提取和部署Remcos RAT。该恶意软件会修改系统注册表，以便在系统启动时自动启动，以确保持久性。

Remcos连接到C＆C服务器并发送包含受感染系统的系统、用户、网络和版本信息的注册包，并接收信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。

这种新变种采用了多种持久性机制，包括向量异常处理等高级反分析技术。这会创建一个自定义异常处理程序来拦截/处理执行异常，从而阻止单步执行等调试技术。

由于不直接存储API名称，Remcos使用哈希值来识别API，通过匹配哈希值从进程环境块(PEB)中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别正在调用的函数。

它还通过检查调试寄存器（DR0至DR7）、监控调试器常用的API调用以及使用ZwSetInformationThread()API向调试器隐藏当前线程来检测调试器的存在。此外，它还使用ZwQueryInformationProcess()API来检测调试器是否已附加到进程并采取规避措施。

进程挖空是该恶意软件用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停新创建的合法进程(Vaccinerende.exe)，将其代码注入内存，然后恢复该进程，使其成为持续威胁。

研究人员在报告中指出：“恶意代码在系统注册表中添加了新的自动运行项，以保持持久性，并在受害者设备重新启动时保持对设备的控制。”

为了保护自己，请避免点击电子邮件中合法的链接或附件，使用安全软件和防病毒软件，保持软件更新最新补丁，并考虑使用内容解除和重建(CDR)服务在打开文档之前从文档中删除嵌入的恶意对象。