恶意软件分析——Remcos RAT

Ramcos RAT 是一种复杂的恶意软件，称为远程访问木马 (RAT)。它可以逃避防病毒检测，并使网络犯罪分子能够远程访问和控制受感染的系统。通常，它用于窃取信息、安装更多恶意软件或在僵尸网络中使用受感染的系统。

恶意软件集市样本

阶段1：

像往常一样，我下载了该文件并使用密码“infected”将其解压。

原始CMD文件

提取文件并检查其内容后，我注意到它由两大块代码以及集合和循环组成。该代码冗长且严重混乱。为了更好地理解它的行为，我运行它并监视原始文件启动的任何新进程。

PowerShell 正在原始文件下执行

第二阶段：

混淆的 PowerShell

此 PowerShell 代码更容易反混淆，它使用简单的替换来创建单词列表，然后在隐藏的 PowerShell 代码中使用这些单词。

反混淆 PS — 重点介绍 AES 解密和解压缩

在重命名变量和反混淆之后，我很清楚为什么原始文件无法理解和反混淆——它被加密和压缩了。使用上面的代码，我拥有了解密原始文件所需的所有内容；使用 AES 密钥和 IV。

CyberChef — 从原始文件中提取 EXE

首先，我从 Base64 转换为 Hex，然后使用 AES 以及上一部分中找到的 Key 和 IV 进行解密。最后，我使用 Gunzip 解压缩输出。本质上，我按照预期遵循了解码步骤。当我看到 MZ 头（EXE 文件的文件格式）时，我就知道我走在正确的道路上。实际上有两块代码，说明里面有两个文件，如下图所示。

使用 DIE，我确定了编写这些文件的语言 (.NET)

我选择在 DNSPY 中调试这些文件，因为它们是用 .NET 编写的。一旦我打开它们，程序想要做什么就很清楚了。攻击者没有混淆这个最终样本。

如下图所示，我能够准确地看到函数的名称以及它们应该做什么。

禁用防御者功能

持久化功能

查找正在用作持久性的文件

需要注意的是，保存在启动路径中的文件是分析的原始 cmd 文件。

此外，在分析该样本时，我监视了网络连接并发现了其他 IOC。

IOCs:

lods.cmd — 194118c43c65faad06bf5ff6cd9b52a2

IxsqpAscrubb.exe — 3ca5a8e1e0217d89b4926ca68e5f41c8

MAEmka.tmp(exe) — e60e82df05c02ec173655dd9c41dd829

Domain — api[.]ipify[.]org

Domain — ads[.]hostloads[.]xyz

总之，对 Ramcos RAT 的分析凸显了网络犯罪分子用来逃避检测并远程访问受感染系统的复杂技术。该恶意软件的多阶段方法，从混淆的 CMD 和 PowerShell 脚本到加密和压缩的有效负载，展示了现代恶意软件威胁的复杂性。