黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

admin 2024年11月11日13:17:33评论26 views字数 1494阅读4分58秒阅读模式

导 

本文介绍了 Remcos RAT 的内部工作原理,这是一种危险的恶意软件,它使用高级技术感染 Windows 系统、窃取数据并获得远程控制。详细了解其攻击方法、规避策略以及对用户的潜在影响。

Fortinet 的 FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动,该活动正在传播一种新的Remcos RAT(远程访问木马)变种。这种功能强大的恶意软件在网上商业销售,针对 Microsoft Windows 用户,并允许威胁行为者远程控制受感染的计算机。

黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

Remcos RAT 正在网上销售(Fortinet 截图)

根据 Fortinet 的调查结果,此次攻击活动由伪装成订单通知(OLE Excel 文档)的欺骗性钓鱼电子邮件发起。打开附加的恶意 Excel 文档后,CVE-2017-0199漏洞就会被利用来下载并执行 HTML 应用程序 (HTA) 文件。

CVE-2017-0199 是一个远程代码执行漏洞,它利用 Microsoft Office 和 WordPad 对特制文件的解析,允许MS Excel 程序显示内容。

该 HTA 文件经过多层混淆处理,其代码以不同的脚本编写,包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell,可传递主要有效载荷。

然后,它会下载恶意可执行文件 (dllhost.exe),并通过 32 位 PowerShell 进程执行它,以提取和部署 Remcos RAT。该恶意软件会修改系统注册表,以便在系统启动时自动启动,以确保持久性。

Remcos 连接到 C&C 服务器并发送包含受感染系统的系统、用户、网络和版本信息的注册包,并接收信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。

这种新变种采用了多种持久性机制,包括向量异常处理等高级反分析技术。这会创建一个自定义异常处理程序来拦截/处理执行异常,从而阻止单步执行等调试技术。

由于不直接存储 API 名称,Remcos 使用哈希值来识别 API,通过匹配哈希值从进程环境块 (PEB) 中提取地址,这使得静态分析更具挑战性,因为工具无法轻松识别正在调用的函数。

它还通过检查调试寄存器(DR0 至 DR7)、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 向调试器隐藏当前线程来检测调试器的存在。此外,它还使用 ZwQueryInformationProcess() API 来检测调试器是否已附加到进程并采取规避措施。

进程挖空是该恶意软件用来逃避检测的另一种技术。研究人员发现,该恶意软件会暂停新创建的合法进程 (Vaccinerende.exe),将其代码注入内存,然后恢复该进程,使其成为持续威胁。

黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

整个网络钓鱼活动的工作流程

黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

钓鱼邮件

研究人员在报告中指出:“恶意代码在系统注册表中添加了新的自动运行项,以保持持久性,并在受害者设备重新启动时保持对设备的控制。”

为了保护自己,请避免点击电子邮件中合法的链接或附件,使用安全软件和防病毒软件,保持软件更新安装最新补丁。

技术报告:https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims

新闻链接:

https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/

黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日13:17:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种https://cn-sec.com/archives/3382501.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息