本文介绍了Remcos RAT的内部工作原理,这是一种危险的恶意软件,它使用高级技术感染Windows系统、窃取数据并获得远程控制。详细了解其攻击方法、规避策略以及对用户的潜在影响。
Fortinet的FortiGuard实验室的网络安全研究人员发现了一个危险的网络钓鱼活动,该活动正在传播一种新的Remcos RAT(远程访问木马)变种。这种功能强大的恶意软件在网上商业销售,针对Microsoft Windows用户,并允许威胁行为者远程控制受感染的计算机。
根据Fortinet分享的调查结果,此次攻击活动以伪装成订单通知(OLE Excel 文档)的欺骗性钓鱼电子邮件发起。打开附加的恶意Excel文档后,CVE-2017-0199漏洞就会被利用来下载并执行HTML应用程序(HTA)文件。
CVE-2017-0199是一个远程代码执行漏洞,它利用Microsoft Office和WordPad对特制文件的解析,允许MS Excel程序显示内容。
该HTA文件经过多层混淆处理,其代码以不同的脚本编写,包括JavaScript、VBScript、Base64编码、URL编码和PowerShell,可传递主要有效载荷。
然后,它会下载恶意可执行文件(dllhost.exe),并通过32位PowerShell进程执行它,以提取和部署Remcos RAT。该恶意软件会修改系统注册表,以便在系统启动时自动启动,以确保持久性。
Remcos连接到C&C服务器并发送包含受感染系统的系统、用户、网络和版本信息的注册包,并接收信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。
这种新变种采用了多种持久性机制,包括向量异常处理等高级反分析技术。这会创建一个自定义异常处理程序来拦截/处理执行异常,从而阻止单步执行等调试技术。
由于不直接存储API名称,Remcos使用哈希值来识别API,通过匹配哈希值从进程环境块(PEB)中提取地址,这使得静态分析更具挑战性,因为工具无法轻松识别正在调用的函数。
它还通过检查调试寄存器(DR0至DR7)、监控调试器常用的API调用以及使用ZwSetInformationThread()API向调试器隐藏当前线程来检测调试器的存在。此外,它还使用ZwQueryInformationProcess()API来检测调试器是否已附加到进程并采取规避措施。
进程挖空是该恶意软件用来逃避检测的另一种技术。研究人员发现,该恶意软件会暂停新创建的合法进程(Vaccinerende.exe),将其代码注入内存,然后恢复该进程,使其成为持续威胁。
研究人员在报告中指出:“恶意代码在系统注册表中添加了新的自动运行项,以保持持久性,并在受害者设备重新启动时保持对设备的控制。”
为了保护自己,请避免点击电子邮件中合法的链接或附件,使用安全软件和防病毒软件,保持软件更新最新补丁,并考虑使用内容解除和重建(CDR)服务在打开文档之前从文档中删除嵌入的恶意对象。
评论已关闭。