<返回更多

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

2019-08-22    
加入收藏
远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

 

网络安全公司趋势科技(Trend Micro)于近日发文称,他们在上个月捕获到了一封伪装成新订单通知的钓鱼电子邮件,包含在其中的恶意附件携带了一种名为“Remcos”的远程访问木马(RAT,Remote Access Trojan)。

趋势科技表示,Remcos RAT于2016年首次出现,在当时被其开发者作为即服务在暗网黑客论坛上出售。在2017年,Remcos RAT主要通过恶意PowerPoint幻灯片传播,其中包含了针对CVE-2017-0199的漏洞利用程序。

最新捕获的样本表明,攻击者似乎已经更换了Remcos RAT的传播媒介——开始使用网络钓鱼电子邮件。

趋势科技捕获的钓鱼电子邮件样本使用了电子邮箱地址“rud-division@alkuhaimi[.]com”以及主题“RE: NEW ORDER 573923”,恶意附件的文件名为“Purchase order201900512.ace”,一个ACE压缩文件,其中包含了AutoIt加载程序/打包器Boom.exe。

分析加载程序/打包器Boom.exe

将可执行文件转换为AutoIt脚本后,趋势科技发现恶意代码经过了多层混淆,核心函数如下图1所示:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图1.经过混淆处理的核心函数


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图2.用于去混淆的函数

Boom.exe文件主要负责在受感染系统上实现持久性、执行反分析检测以及释放并执行Remcos RAT。图2中的代码段首先会计算出数组中的值,然后使用函数“ChrW()”将Unicode码转换成字符。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图3.字符串解码示例

在某些情况下,恶意软件在解密后会使用名为“BinaryToString()”的AutoIt函数对下一层进行去混淆处理,如图4所示:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图4. AutoIt代码解码为字符串

在去混淆后,可以看到AutoIt代码包含了大量用于阻碍分析的垃圾代码。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图5.垃圾代码示例

接下来,恶意软件将在“%AppData%RoamingappidapiUevTemplateBaselineGenerator.exe”中创建自己的副本,并从其资源部分加载主有效载荷(Remcos RAT)。

然后,恶意软件将准备环境来执行主有效载荷——通过执行以下Shellcode(frenchy_shellcode version 1)来实现这一点:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图6.Frenchy_ShellCode_001


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图7.执行并解码Frenchy Shellcode


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图8. Frenchy Shellcode变种

Remcos RAT的解码和加载由函数“DecData()”负责,它首先会从其资源部分加载数据,然后反转所有数据并将“%$=”替换为“/”。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图9. AutoIt解码主有效载荷:代码+编码资源(Remcos RAT)


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图10. AutoIt解码主有效载荷:仅限代码

然后,它将使用如下代码解码base64 PE文件,即主有效载荷:

$a_call = DllCall(“Crypt32.dll”, “int”, “CryptStringToBinary”, “str”, $sData, “int”, 0, “int”, 1, “ptr”, 0, “ptr”, DllStructGetPtr($struct, 1), “ptr”, 0, “ptr”, 0)

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图11.从AutoIt解码Remcos RAT

加载程序的功能

1.反虚拟机

通过检查正在运行的进程列表中的vmtoolsd.exe和vbox.exe,这个AutoIt加载程序能够检测虚拟机环境。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图12.用于实现反虚拟机功能的函数

2.UAC绕过

根据windows版本,恶意软件会使用内置的事件查看器实用程序(eventvwr)或fodhelper来绕过用户帐户控制(User Account Contro,UAC)。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图13.用于实现UAC绕过功能的函数

3.反调试

如果加载程序在系统中检测到IsdebuggerPresent,它将显示消息“This is a third-party compiled AutoIt script(这是第三方编译的AutoIt脚本)”并退出程序。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图14.AutoIt加载程序检查调试器

主有效载荷Remcos RAT

Remcos RAT最初被作为一种合法的远程访问工具出售,允许用户远程控制某个系统,后来才遭到了网络犯罪分子的滥用。

Remcos RAT具有多种功能,包括接收并执行命令、按键记录、屏幕截图以及使用麦克风和网络摄像头录制音频和视频等。

Remcos RAT支持的命令也有很多,其中一部分如下图所示:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图15.Remcos RAT的命令列表

还有一个命令是值得注意的,那就是“consolecmd”,用于在受感染系统上执行shell命令:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图16. Remcos RAT命令示例

趋势科技表示,最新捕获的这个Remcos RAT变种与之前的版本(Backdoor.Win32.Remcosrat.A)有很多相似之处,主要的区别就是使用了AutoIt打包器以及包含了不同的混淆和反调试技术。

安全建议

鉴于最新的Remcos RAT变种是通过网络钓鱼电子邮件传播的,因此建议大家平时不要打开未知来源的电子邮件,尤其是那些带有附件的电子邮件。

另外,不明链接也一定不要点击,以免感染恶意软件。再者就是定期更新系统和已安装的软件,以及应用白名单、关闭无用的端口、禁用无用的组件。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>