首页 >> 网络安全 >>病毒分析 >> 分析:新的Remcos RAT通过网络钓鱼电子邮件到达
详细内容

分析:新的Remcos RAT通过网络钓鱼电子邮件到达

7月份,我们遇到了一个网上诱骗电子邮件,声称是一个新订单通知,其中包含一个恶意附件,该附件通向远程访问工具Remcos RAT(趋势科技检测为BKDR_SOCMER.SM)。此攻击使用AutoIt包装器提供Remcos,该包装器结合了各种混淆和反调试技术来逃避检测,这是分发已知恶意软件的常用方法。


2016年出现了Remcos RAT作为黑客论坛中的服务 - 广告,销售和提供在各种网站和论坛上破解。RAT似乎仍然受到网络犯罪分子的积极推动。2017年,我们曾报道点滴Remcos被传递通过一个恶意的PowerPoint幻灯片,与利用为CVE-2017-0199嵌入式。最近,RAT已经成为网络钓鱼电子邮件的一部分。


网络钓鱼电子邮件背后的恶意行为者似乎使用电子邮件地址rud-division @ alkuhaimi [。] com(带有合法域名)和主题“RE:NEW ORDER 573923”。该电子邮件包含使用ACE压缩文件格式的恶意附件,Purchase order201900512.ace,其中包含加载程序/包装器Boom.exe。


分析包装器/装载器

在将可执行文件转换为AutoIt脚本后,我们发现恶意代码被多层混淆,可能会逃避检测并使研究人员难以逆转。混淆的顶层如下所示:

1.png

图1.混淆的核心功能

2.png

图2.用于反混淆的函数

Boom.exe文件的主要目标是在受影响的系统上实现持久性,执行反分析检测以及删除/执行Remcos RAT。上面的代码段首先计算数组中的值,然后使用ChrW()函数将Unicode数转换为字符。

3.png

在某些情况下,解密后,恶意软件使用名为BinaryToString()的AutoIt函数对下一层进行反混淆处理。以下代码段演示了此行为:

4.png

图4. AutoIt二进制到字符串解码

在反混淆之后,可以看到AutoIt代码包含大量垃圾代码,意味着将分析师抛到轨道上。

5.png

图5.垃圾代码示例

然后恶意软件在%AppData%\ Roaming \ appidapi \ UevTemplateBaselineGenerator.exe中创建自身的副本,并从其资源部分加载主要负载(Remcos RAT)。然后恶意软件准备环境以执行主有效负载。它通过执行以下Shellcode(frenchy_shellcode版本1)来实现此目的。

6.png

图6. Frenchy_ShellCode_001

7.png

图7.执行和解码Frenchy Shellcode

8.png


图8. Frenchy Shellcode突变体

从资源中解码和加载Remcos

DecData()函数从其资源加载数据然后反转所有数据并用“/”替换“%$ =”。

9.png

图9. AutoIt解码主要负载:代码+编码资源(Remcos RAT)

10.png

图10. AutoIt解码主要有效负载:仅限代码

然后它使用以下内容解码base64 PE文件,它是主要的有效负载:

11.png

12.png

图11.从AutoIt解码Remcos

装载机功能

反-VM

此AutoIt加载程序能够通过检查正在运行的进程列表中的vmtoolsd.exe和vbox.exe来检测虚拟机环境。但是,应该注意,此示例中未调用此功能。

13.png

图12. AutoIt加载器的Anti-VM

绕过UAC

根据Windows版本,恶意软件使用内置的事件查看器实用程序(eventvwr)或fodhelper来绕过用户帐户控制(UAC)。

14.png

图13. UAC旁路

反调试

如果加载程序在系统中检测到IsdebuggerPresent,它将显示消息“这是第三方编译的AutoIt脚本。”并退出程序。

16.png

图14. AutoIt加载程序检查调试器

检查主要有效载荷,Remcos RAT

Remcos RAT最初作为远程访问工具销售,合法地允许用户远程控制系统,后来被网络犯罪分子使用。一旦执行RAT,犯罪者就能够在用户的系统上运行远程命令。例如,在过去的活动中,该工具具有多种功能,包括下载和执行命令,记录密钥,记录屏幕以及使用麦克风和网络摄像头捕获音频和视频。


为了分析这个有效载荷,我们查看了Remcos Professional 1.7版的示例。

17.png

图15. Remcos版本

执行时,根据配置,恶意软件会在%AppData%\ remcos \ remcos.exe中创建自身的副本,使用install.bat  从%APPDATA%目录执行remcos.ex $,最后删除自身。然后,它在注册表中创建以下Run键以维持系统上的持久性。

18.png

图16. INSTALL.BAT 下降Remcos

19.png

图17. Remcos RAT更改Registry条目以保持持久性

20.png

图18.注册表中反映的Remcos RAT更改

恶意软件从其资源部分检索名为“SETTING”的配置。

21.png

图19. Remcos从其资源加载加密设置

使用RC4算法对配置内容进行加密,如下所示:

22.png

图20. Remcos加密配置

另一方面,以下是用于解密上述配置的RC4算法:

23.png

图21.用于解密配置的RC4算法

24.png

图22.解密配置

然后,恶意软件会创建以下互斥锁以标记其在系统上的存在:

25.png

图23. Remcos RAT互斥锁

然后它开始收集系统信息,例如用户名,计算机名,Windows版等,并将其发送到命令和控制(C&C)服务器。恶意软件使用RC4算法对收集的数据进行加密,密码为“pass”,来自配置数据。

26.png

图24. Remcos收集系统信息

27.png

图25. Remcos收集的明文数据,其中“| cmd |”是分隔符

28.png

图26.数据已加密并发送到C&C服务器

29.png

图27.加密数据

以下列表显示了恶意软件支持的一些命令:

11111.png

222222.png

3333.png

表1. Remcos RAT命令

例如,下图中显示的“consolecmd”命令用于在受感染的系统上执行shell命令:

444444.png

图28. Remcos RAT命令的一些示例

66666666.png


图29.浏览器/ cookie窃取功能

在分析了这个Remcos变体 - 它的配置数据,通信机制和功能之后 - 我们看到它与它的旧变体(检测为Backdoor.Win32.Remcosrat.A)有许多相似之处。但是,此特定活动使用AutoIt包装器提供Remcos,它包含不同的混淆和反调试技术以避免检测。


预防和趋势科技解决方案

为了抵御使用基于电子邮件的攻击的Remcos RAT等威胁,我们建议用户不要打开来自未知来源的未经请求的电子邮件 - 特别是那些带有附件的电子邮件。用户在点击URL之前也应该小心谨慎,以免感染恶意软件。对于企业,如果系统中怀疑存在异常,请立即向网络管理员报告该活动。我们还建议这些最佳实践以增加保护:

  • 了解如何识别网络钓鱼电子邮件并发现不需要的电子邮件的指示符(即拼写错误,奇怪的词汇)

  • 定期更新应用程序和系统

  • 应用白名单,阻止未使用的端口,并禁用未使用的组件

  • 监控系统中的流量是否存在任何可疑行为

使用反垃圾邮件过滤实施安全解决方案应该清除垃圾邮件,例如此处讨论的垃圾邮件。使用趋势科技™Deep Discovery™等多层解决方案将有助于对当今的隐形恶意软件(如Remcos RAT)和实时针对性攻击提供检测,深入分析和主动响应。它提供全面的防御,以通过专用引擎,自定义沙盒以及整个攻击生命周期内的无缝关联来保护组织免受目标攻击和高级威胁。趋势科技™Deep Discovery™电子邮件检查器可防止恶意软件到达最终用户。对于更全面的安全套件,组织可以考虑使用趋势科技™Cloud App Security™解决方案,在Web信誉和URL动态分析中使用机器学习(ML)。该解决方案还可以检测邮件正文和附件中的可疑内容,以及提供沙箱恶意软件分析和文档漏洞检测。

————————————————————————————————————————
作者:Aliakbar Zahravi(恶意软件研究员)

技术支持: 建站ABC | 管理登录