黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种

本文介绍了 Remcos RAT 的内部工作原理，这是一种危险的恶意软件，它使用高级技术感染 Windows 系统、窃取数据并获得远程控制。详细了解其攻击方法、规避策略以及对用户的潜在影响。

Fortinet 的 FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动正在传播一种新的Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上商业销售，针对 Microsoft Windows 用户，并允许威胁行为者远程控制受感染的计算机。

Remcos RAT 正在网上销售（Fortinet 截图）

根据 Fortinet 的调查结果，此次攻击活动由伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起。打开附加的恶意 Excel 文档后，CVE-2017-0199漏洞就会被利用来下载并执行 HTML 应用程序 (HTA) 文件。

CVE-2017-0199 是一个远程代码执行漏洞，它利用 Microsoft Office 和 WordPad 对特制文件的解析，允许MS Excel 程序显示内容。

该 HTA 文件经过多层混淆处理，其代码以不同的脚本编写，包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell，可传递主要有效载荷。

然后，它会下载恶意可执行文件 (dllhost.exe)，并通过 32 位 PowerShell 进程执行它，以提取和部署 Remcos RAT。该恶意软件会修改系统注册表，以便在系统启动时自动启动，以确保持久性。

Remcos 连接到 C＆C 服务器并发送包含受感染系统的系统、用户、网络和版本信息的注册包，并接收信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。

这种新变种采用了多种持久性机制，包括向量异常处理等高级反分析技术。这会创建一个自定义异常处理程序来拦截/处理执行异常，从而阻止单步执行等调试技术。

由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块 (PEB) 中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别正在调用的函数。

它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 向调试器隐藏当前线程来检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测调试器是否已附加到进程并采取规避措施。

进程挖空是该恶意软件用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停新创建的合法进程 (Vaccinerende.exe)，将其代码注入内存，然后恢复该进程，使其成为持续威胁。

整个网络钓鱼活动的工作流程

钓鱼邮件

研究人员在报告中指出：“恶意代码在系统注册表中添加了新的自动运行项，以保持持久性，并在受害者设备重新启动时保持对设备的控制。”

为了保护自己，请避免点击电子邮件中合法的链接或附件，使用安全软件和防病毒软件，保持软件更新安装最新补丁。

技术报告：https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims

新闻链接：

https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/

讲述普通人能听懂的安全故事