AhnLab 安全紧急响应中心 (ASEC) 发现通过电子邮件伪装成工资单的 Remcos 远程控制恶意软件的传播。
已确认的 Remcos RAT 恶意软件是通过电子邮件主题行“这是工资转移确认证书”欺骗收件人来分发的,如图 1 所示。在附加的cab压缩文件中,附加了一个伪装成PDF文件图标的EXE文件(Remcos RAT),如图2所示。
【图1】钓鱼邮件正文
【图2】附带的cab压缩文件内的Remcos RAT(.exe)
如图3所示,Remcos RAT恶意软件能够进行恶意远程控制,例如键盘记录、屏幕截图、网络摄像头和麦克风控制,以及已安装系统上存在的网络浏览器的历史记录和密码提取功能,按照攻击者的命令去做。
由于执行远程控制功能的 Ramcos RAT 恶意软件的性质,它具有在从攻击者服务器 (C2) 收到命令之前不会执行任何恶意操作的特性。然而,也可以通过沙箱设备通过离线键盘记录器的键盘记录行为进行检测,该行为在感染发生的同时启动,无需来自 C2 的命令。
【图3】Remcos远程控制服务器的各种控制功能(Remcos v2.6.0)
[图4]是Remcos RAT的离线键盘记录功能,无需C2命令即可运行。具体来说,如图5所示,使用SetWindowHookExA API安装一个钩子过程,通过WH_KEYBOARD_LL参数监视键盘输入事件。
【图4】Remcos RAT的离线键盘记录功能
【图5】Remcos RAT键盘输入挂钩代码(SetWindowsHookExA)
【MDS产品检测】
[图6]是AhnLab MDS在沙箱环境中检测上述Remcos RAT的离线键盘记录功能的屏幕。如图7所示,可以确认检测到了hook键盘输入的恶意行为。
【图6】使用AhnLab MDS的Remcos RAT恶意软件检测屏幕(1)
【图7】使用AhnLab MDS的Remcos RAT恶意软件检测屏幕(2)
RAT 恶意软件通过攻击者的命令执行重大恶意操作。因此,只有通过与服务器的通信执行攻击者的命令,才能识别感染。因此,除了使用MDS等APT解决方案外,安全人员还需要通过EDR等产品监控端点发生的异常行为,为企业安全事件做好准备,并在发生违规事件时快速响应。
IOC
[MD5]
– 1e378b5dc586175e1b5e5931b8727ae3 (Remcos RAT v3.8.0 Pro)[文件检测]
– Trojan/Win.Generic.R611702 (2023.10.14.00)[行为检测]
– SystemManipulation/MDP.Hooking.M10055
– Execution/MDP.Remcos.M11099
– DefenseEvasion/MDP.AntiAnalysis.M912转载来源:https://asec.ahnlab.com/ko/58004/
图片来源网络目标可联系删除
