您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

时间:2019-08-22 14:02:01  来源:  作者:
远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

 

网络安全公司趋势科技(Trend Micro)于近日发文称,他们在上个月捕获到了一封伪装成新订单通知的钓鱼电子邮件,包含在其中的恶意附件携带了一种名为“Remcos”的远程访问木马(RAT,Remote Access Trojan)。

趋势科技表示,Remcos RAT于2016年首次出现,在当时被其开发者作为即服务在暗网黑客论坛上出售。在2017年,Remcos RAT主要通过恶意PowerPoint幻灯片传播,其中包含了针对CVE-2017-0199的漏洞利用程序。

最新捕获的样本表明,攻击者似乎已经更换了Remcos RAT的传播媒介——开始使用网络钓鱼电子邮件。

趋势科技捕获的钓鱼电子邮件样本使用了电子邮箱地址“rud-division@alkuhaimi[.]com”以及主题“RE: NEW ORDER 573923”,恶意附件的文件名为“Purchase order201900512.ace”,一个ACE压缩文件,其中包含了AutoIt加载程序/打包器Boom.exe。

分析加载程序/打包器Boom.exe

将可执行文件转换为AutoIt脚本后,趋势科技发现恶意代码经过了多层混淆,核心函数如下图1所示:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图1.经过混淆处理的核心函数


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图2.用于去混淆的函数

Boom.exe文件主要负责在受感染系统上实现持久性、执行反分析检测以及释放并执行Remcos RAT。图2中的代码段首先会计算出数组中的值,然后使用函数“ChrW()”将Unicode码转换成字符。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图3.字符串解码示例

在某些情况下,恶意软件在解密后会使用名为“BinaryToString()”的AutoIt函数对下一层进行去混淆处理,如图4所示:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图4. AutoIt代码解码为字符串

在去混淆后,可以看到AutoIt代码包含了大量用于阻碍分析的垃圾代码。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图5.垃圾代码示例

接下来,恶意软件将在“%AppData%RoamingappidapiUevTemplateBaselineGenerator.exe”中创建自己的副本,并从其资源部分加载主有效载荷(Remcos RAT)。

然后,恶意软件将准备环境来执行主有效载荷——通过执行以下Shellcode(frenchy_shellcode version 1)来实现这一点:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图6.Frenchy_ShellCode_001


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图7.执行并解码Frenchy Shellcode


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图8. Frenchy Shellcode变种

Remcos RAT的解码和加载由函数“DecData()”负责,它首先会从其资源部分加载数据,然后反转所有数据并将“%$=”替换为“/”。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图9. AutoIt解码主有效载荷:代码+编码资源(Remcos RAT)


远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图10. AutoIt解码主有效载荷:仅限代码

然后,它将使用如下代码解码base64 PE文件,即主有效载荷:

$a_call = DllCall(“Crypt32.dll”, “int”, “CryptStringToBinary”, “str”, $sData, “int”, 0, “int”, 1, “ptr”, 0, “ptr”, DllStructGetPtr($struct, 1), “ptr”, 0, “ptr”, 0)

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图11.从AutoIt解码Remcos RAT

加载程序的功能

1.反虚拟机

通过检查正在运行的进程列表中的vmtoolsd.exe和vbox.exe,这个AutoIt加载程序能够检测虚拟机环境。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图12.用于实现反虚拟机功能的函数

2.UAC绕过

根据windows版本,恶意软件会使用内置的事件查看器实用程序(eventvwr)或fodhelper来绕过用户帐户控制(User Account Contro,UAC)。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图13.用于实现UAC绕过功能的函数

3.反调试

如果加载程序在系统中检测到IsdebuggerPresent,它将显示消息“This is a third-party compiled AutoIt script(这是第三方编译的AutoIt脚本)”并退出程序。

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图14.AutoIt加载程序检查调试器

主有效载荷Remcos RAT

Remcos RAT最初被作为一种合法的远程访问工具出售,允许用户远程控制某个系统,后来才遭到了网络犯罪分子的滥用。

Remcos RAT具有多种功能,包括接收并执行命令、按键记录、屏幕截图以及使用麦克风和网络摄像头录制音频和视频等。

Remcos RAT支持的命令也有很多,其中一部分如下图所示:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图15.Remcos RAT的命令列表

还有一个命令是值得注意的,那就是“consolecmd”,用于在受感染系统上执行shell命令:

远控木马Remcos新变种改变传播策略,开始走网络钓鱼电子邮件路线

图16. Remcos RAT命令示例

趋势科技表示,最新捕获的这个Remcos RAT变种与之前的版本(Backdoor.Win32.Remcosrat.A)有很多相似之处,主要的区别就是使用了AutoIt打包器以及包含了不同的混淆和反调试技术。

安全建议

鉴于最新的Remcos RAT变种是通过网络钓鱼电子邮件传播的,因此建议大家平时不要打开未知来源的电子邮件,尤其是那些带有附件的电子邮件。

另外,不明链接也一定不要点击,以免感染恶意软件。再者就是定期更新系统和已安装的软件,以及应用白名单、关闭无用的端口、禁用无用的组件。



Tags:Remcos   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
网络安全公司趋势科技(Trend Micro)于近日发文称,他们在上个月捕获到了一封伪装成新订单通知的钓鱼电子邮件,包含在其中的恶意附件携带了一种名为“Remcos”的远程访问木马(RAT,R...【详细内容】
2019-08-22  Tags: Remcos  点击:(384)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(10)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(15)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(189)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(186)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(156)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(137)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(562)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条