Remcos RAT最新活动分析
Remcos RAT 通常通过恶意附件、偷渡式下载或社交工程进行传播,自 2016 年以来一直活跃。最初由欧洲公司BreakingSecurity提出,作为合法的远程控制工具,此后被威胁行为者用于邪恶目的,尽管声称限制合法使用的访问。
在分析 VirusTotal 中的一些样本时,我们得到了一个有趣的样本,它是一个 .vhd 文件。让我们分析一下威胁者是如何制作 VHD(虚拟硬盘)的。
提取 .vhd 文件后,我们得到了如图 1 所示的文件包。
图 1:提取的 VHD 文件
快捷方式文件在目标中有以下 powershell 命令行,指向MacOSX.ps1脚本。其解构组件如图 1 所示,
[ \localhostC$WindowsSystem32cmd.exe /c powershell.exe -ExecutionPolicy Bypass -File ".MacOSX/MacOSX.ps1" ]在分析脚本时,我们发现它有几个操作。某些功能似乎是旧 TTP 的残余。
将 PDF 文件下载为 PNG 文件(图 1)
创建一个任务来下载并执行 powershell 脚本。 (图2)
我们发现这个脚本的一些关键功能
AMSI 绕过(图 3)
下载一个 PNG 文件,它是一个 VB 脚本。 (图4)
图 2:下载 PDF
图 3:计划任务
图 4:AMSI Reaper
AMSIReaper是GitHub上提供的开源工具。
图 5:下载 PNG 文件 (elana.png)
图 6 中$ binaryData中的命令从指定的 URL ( hxxps://bitbucket.org/openheartplayercertlover/certlover2/downloads/elana.png )下载文件(elana.png ) 。 PNG 文件是一个 VB 脚本文件 base64 编码的文件,该文件被解码并保存为 %Programdata% 下的secondary.ps1。
通过进一步分析 png 文件,我们发现它实际上是一个 VB 脚本。
图 6:elana.png 中的 VB 脚本
它定义了一个函数peopaias,该函数创建 Internet Explorer (apegadas) 的实例,导航到空白页面,并等待页面完全加载。然后它设置浏览器窗口属性,包括位置和大小。该函数会一直等到页面上有用户输入元素可用,然后在退出浏览器之前检索输入值。它还定义了一个函数conversionibilidade,该函数采用包含脚本代码的字符串参数cytiso并使用ExecuteGlobal执行它。从这个URL(“hxxp://paste.ee/d/azfhe”)我们可以获得base64编码的VB脚本。
图 7:编码的 VB 脚本
解码VB脚本后,我们得到了一个使用base64编码的PowerShell脚本。
图 8:解码的 VB 脚本中的编码 PowerShell 脚本
在执行脚本并捕获输出时,我们意识到这是一个 VB 脚本。
图 9:解码的 PowerShell 脚本中的 VB 脚本
VB 脚本从特定 URL ( 'hxxps://uploaddeimagens.com.br/images/004/731/958/original/new_image.jpg?1707143673 ' ) 下载图像文件。
图 10:下载 PNG
在分析该图像文件时,我们发现它是一个 Base64 编码值。
图 11:PNG 叠加层中的 Base64 值
解码后我们发现这是一个PE文件。
图 12:.net 二进制文件
在分析 Dnspy 中的 .NET DLL 文件时,我们了解了攻击者如何使用主要负载以及在何处使用它。
该 DLL 用于执行进程空洞,即将 Remcos 有效负载注入到新创建的“ RegAsm.exe ”进程中。调用该函数后,它会从受害者设备“C:Windows\Microsoft.NETFrameworkv4.0.30319RegAsm.exe”上的以下位置找到“RegAsm.exe”。
以下 API 用于进程空洞:
具有 CREATE_SUSPENDED 标志 (0x4) 的 CreateProcess()、GetThreadContext()、ZwUnmapViewOfSection、.VirtualAllocEx()、WriteProcessMemory()、SetThreadContext()、ResumeThread()。
托管最终有效负载的 URL 以相反格式存储在 VB 脚本中,如图 13 所示。
图 13:反向 URL 字符串
主要有效负载 Remcos 是 VC8 编译的二进制文件。
图 14:C++ 二进制有效负载
它首先解密资源部分中名为“SETTINGS”的 RC4 加密 blob。
图 15:获取资源
图 16:操作资源
在 blob 中,第一个字节“3E”是 RC4 密钥的大小,其余是加密的 Remcos 配置块。
图 17:设置中解码的 RC4
从这个配置块中我们可以获取 C2、恶意软件活动等。
它设置“RUN”注册表以实现持久性。
图 18:持久性
用于记录受害者击键和剪贴板数据的指定文件名、指导 Remcos 如何在受害者设备上启动其功能的各种设置,以及用于建立与 C2 服务器的连接的身份验证详细信息都是关键组件。
图 19:键盘记录
它还创建一个互斥锁以避免该二进制文件的多个条目。 Remcos 还记录受害者麦克风的音频输入。
图 20:窃取音频
Remcos RAT 连接 URL 以收集地理位置信息。
图 21:地理位置
Remcos RAT 的另一个功能是
在启动时捕获受害者屏幕的屏幕截图。
禁用受害者设备上的用户帐户控制 (UAC)。
发送数据到C2。
攻击者总是在寻找新的策略来逃避防病毒 (AV) 和端点检测和响应 (EDR) 系统,以保护他们正在进行的攻击。
我们 K7 实验室提供 Remcos 和所有最新威胁的检测。建议用户使用可靠的安全产品,例如“K7 Total Security”,并保持最新状态以保护他们的设备。
国际奥委会
网址
hxxps://bitbucket.org/openheartplayercertlover/certlover2/downloads/S-Corp_AUELLC1.png
hxxps://bitbucket.org/openheartplayercertlover/certlover2/downloads/elana.png
hxxps://uploaddeimagens.com.br/images/004/731/958/original/new_image.jpg?1707143673
hxxps://bitbucket.org/!api/2.0/snippets/openheartplayercertlover/jqEMdz/87de249e540d810ba6df8cabeca4b0d89589a73b/files/elanaworkrem
hxxp://paste.ee/d/azfheC2
lora1.safesopkoco.com:2404
lora2.safesopkoco.com:2404
safesopkoco.com:2404
masterbotsbrothers.xyz:2404
mota1.masterbotsbrothers.xyz:2404
mota2.masterbotsbrothers.xyz:2404
lora1.safesopkoco.co:2404
lora2.safesopkoco.co:2404
lora2.safesopko.net:2404
lora1.safesopko.net:2404参考链接: https://labs.k7computing.com/index.php/unknown-ttps-of-remcos-rat/
图片来源网络侵权可联系删除
