导 读
本文介绍了 Remcos RAT 的内部工作原理,这是一种危险的恶意软件,它使用高级技术感染 Windows 系统、窃取数据并获得远程控制。详细了解其攻击方法、规避策略以及对用户的潜在影响。
Fortinet 的 FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动,该活动正在传播一种新的Remcos RAT(远程访问木马)变种。这种功能强大的恶意软件在网上商业销售,针对 Microsoft Windows 用户,并允许威胁行为者远程控制受感染的计算机。
Remcos RAT 正在网上销售(Fortinet 截图)
根据 Fortinet 的调查结果,此次攻击活动由伪装成订单通知(OLE Excel 文档)的欺骗性钓鱼电子邮件发起。打开附加的恶意 Excel 文档后,CVE-2017-0199漏洞就会被利用来下载并执行 HTML 应用程序 (HTA) 文件。
CVE-2017-0199 是一个远程代码执行漏洞,它利用 Microsoft Office 和 WordPad 对特制文件的解析,允许MS Excel 程序显示内容。
该 HTA 文件经过多层混淆处理,其代码以不同的脚本编写,包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell,可传递主要有效载荷。
然后,它会下载恶意可执行文件 (dllhost.exe),并通过 32 位 PowerShell 进程执行它,以提取和部署 Remcos RAT。该恶意软件会修改系统注册表,以便在系统启动时自动启动,以确保持久性。
Remcos 连接到 C&C 服务器并发送包含受感染系统的系统、用户、网络和版本信息的注册包,并接收信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。
这种新变种采用了多种持久性机制,包括向量异常处理等高级反分析技术。这会创建一个自定义异常处理程序来拦截/处理执行异常,从而阻止单步执行等调试技术。
由于不直接存储 API 名称,Remcos 使用哈希值来识别 API,通过匹配哈希值从进程环境块 (PEB) 中提取地址,这使得静态分析更具挑战性,因为工具无法轻松识别正在调用的函数。
它还通过检查调试寄存器(DR0 至 DR7)、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 向调试器隐藏当前线程来检测调试器的存在。此外,它还使用 ZwQueryInformationProcess() API 来检测调试器是否已附加到进程并采取规避措施。
进程挖空是该恶意软件用来逃避检测的另一种技术。研究人员发现,该恶意软件会暂停新创建的合法进程 (Vaccinerende.exe),将其代码注入内存,然后恢复该进程,使其成为持续威胁。
整个网络钓鱼活动的工作流程
钓鱼邮件
研究人员在报告中指出:“恶意代码在系统注册表中添加了新的自动运行项,以保持持久性,并在受害者设备重新启动时保持对设备的控制。”
为了保护自己,请避免点击电子邮件中合法的链接或附件,使用安全软件和防病毒软件,保持软件更新安装最新补丁。
技术报告:https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims
新闻链接:
https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论