Fortinet 的 FortiGuard 实验室发现了利用 Remcos RAT(远程管理工具)新变种的复杂网络钓鱼活动。该活动以一封包含恶意 Excel 文档的钓鱼电子邮件开始,该文档利用了 CVE-2017-0199 漏洞,允许攻击者在受害者的设备上远程执行代码。Fortinet 的报告指出:”Remcos 是一种商用 RAT……然而,威胁行为者滥用 Remcos 收集受害者的敏感信息,并远程控制他们的计算机以实施进一步的恶意行为。
一旦打开所附的 Excel 文件,CVE-2017-0199 漏洞就会激活,悄无声息地下载一个 HTA(HTML 应用程序)文件。“HTA文件是一个由Windows本地应用程序(mshta.exe)执行的HTML应用程序文件,”Fortinet的报告详细指出,该文件随后会下载一个名为dllhost.exe的文件到受害者的设备上。该文件用多种语言启动一系列脚本,包括 JavaScript、VBScript 和 PowerShell,以隐藏恶意代码并逃避检测。
一旦 dllhost.exe 被执行,它就会启动进程空洞化,这是一种将恶意代码注入新创建的进程 Vaccinerende.exe 的技术。该进程会隐藏代码,使其无法被标准监控工具发现。据 Fortinet 称,“恶意代码执行进程空洞化,将自己放入一个新创建的 Vaccinerende.exe 进程中”–这种技术增强了攻击的隐蔽性。为了保持持久性,恶意软件在 Windows 注册表中创建了一个自动运行条目,使其即使在系统重新启动后也能重新激活。
设置完成后,恶意软件会解密并完全在内存中运行 Remcos 有效载荷,从而避免了可能引起怀疑的传统文件存储方式。然后,Remcos RAT 会连接到一个命令与控制(C2)服务器,发送有关受害者系统的数据,如 Fortinet 所描述的 “处理器信息、内存状态、用户权限级别以及 C&C 服务器的 IP 地址”。
Remcos 的功能扩展到一系列间谍和控制功能,从键盘记录和截屏到收集运行进程列表和控制受害者设备上的程序。正如 Fortinet 指出的那样,Remcos 可以执行 “来自服务器的控制命令数据,然后在受害者的设备上执行相应的操作”,这表明了它在各种情况下的适应性。
为了保持隐蔽性,该活动采用了先进的反分析方法,包括定向异常处理、动态 API 调用和反调试技术。Fortinet 强调了 “它如何对多个 API 使用 API 挂钩技术 ”来逃避检测并阻止分析工具监控其行为。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容