最近,FortiGuard威脅研究與響應實驗室捕獲到了幾封垃圾電子郵件。初步分析表面,它們都旨在傳播Remcos遠控木馬的一個新變種。
2016年下半年,Remcos遠控木馬開始在暗網交易市場公開售賣,並且支持定製服務。在過去的幾年裡,它經常被用作信息竊取器和鍵盤記錄器。
通過在線搜索,我們可以看到Remcos到目前為止仍在出售。
圖1. Remcos在線訂購頁面
垃圾電子郵件概述
垃圾電子郵件以“付款通知”為主題,旨在誘使收件人使用正文中的密碼解壓縮附件中的ZIP文件。
圖2.垃圾電子郵件示例
ZIP文件包含一個Windows快捷方式(.lnk)文件,但它實際上是一個.txt文件,用於獲取並執行一個PowerShell腳本。
圖3. ZIP文件所包含的文件
第一階段:充當Launcher和Downloader的payment-advice.txt.lnk
一旦收件人執行了“payment-advice.txt.lnk”,它就將使用臨時跳過當前PowerShell執行策略的參數調用PowerShell解釋器(PowerShell .exe),然後隱藏其窗口,以確保執行正常進行並保持隱蔽性。
圖4.傳遞給PowerShell解釋器的命令參數
第二階段:充當Dropper的achremittance.ps1
下載的PowerShell腳本“achremittance.ps1”由6個函數組成,具體如下:
圖5.組成“achremittance.ps1”的6個函數
一旦執行,它將執行如下操作:
1.將字符串“.exe”存儲在一個以Base64編碼的變量中,它最終將被解碼並存儲在變量中;
2.使用先前接收到的參數(“.exe”文件擴展名)、系統公用(%PUBLIC%)文件夾和一個隨機字符串,生成可執行文件的絕對路徑(C:\\Users\\Public\\.exe);
3.解碼存儲在變量中的Base64編碼可執行文件,然後將所有字節寫入可執行文件;
4.執行文件擴展名檢查(.exe或.dll);
5.通過調用“Start-Process”PowerShell cmdlet啟動釋放的文件。
圖6. Base64編碼的可執行文件
第三階段:可執行文件(Remcos)
一旦釋放的可執行文件開始執行,它首先會休眠一段時間(20秒),以此來繞過沙箱檢測。
接下來,可執行文件將被移動到%LocalAppdata%文件夾,並在首次運行時被重命名為“sysclient.exe”。
sysclient.exe將以掛起狀態啟動其自身子進程,然後用從父進程提取的惡意代碼覆蓋其代碼。
最後,惡意代碼將在子進程中執行,這種技術被稱為“Process Hollowing”。
圖7.首次運行Remcos時的流程樹
sysclient.exe是採用NET Framework語言編寫,所有代碼都經過了混淆處理。
它會將自身添加到系統註冊表的“自啟動”組中。如此一來,當受感染設備重新啟動時,它便可以隨之啟動。
圖8. sysclient.exe將自身添加到系統註冊表的“自啟動”組中
子進程分析
FortiGuard威脅研究與響應實驗室此次捕獲的Remcos的版本為“2.5.0 Pro”,於2019年9月20日發佈。
與先前的版本一樣,它包含一個名為“SETTINGS”的加密資源文件夾。
圖9.解密後的“SETTINGS”文件夾
如上圖所示,資源文件夾包含有Remcos的所有配置數據,如C&C服務器主機、許可證編號、加密數據的密碼、RAT功能的默認開關(“0”禁用、“1”啟用)、在系統註冊表中的主鍵名稱等。
分析表明,Remcos會通過啟動三個線程來啟動鍵盤記錄程序,日誌數據保存在本地文件“%Appdata%\\remcos\\ logs.dat”中。
圖10. logs.dat所包含的內容
Remcos支持的命令
Remcos支持許多控制命令,以便在受感染設備上執行各種任務,具體如下:
01-獲取頂層窗口的標題;
03-收集所有已安裝軟件的信息;
04-從指定網址下載可執行文件並運行;
05-將數據包中的數據保存到本地文件中並執行;
06-收集所有正在運行進程的信息;
07-通過給定的PID終止正在運行的進程;
08-枚舉所有窗口並獲取標題;
09-根據給定的窗口句柄關閉窗口;
0A、0B、AD-根據給定的窗口句柄顯示/隱藏窗口;
0C-通過給定的窗口句柄獲取PID;
0D-執行給定的命令行命令;
10-處理jpeg流,並與C&C服務器通信;
11-關閉命令“10”中使用的套接字;
12-收集按鍵信息;
13-啟動按鍵記錄程序;
14-關閉按鍵記錄程序;
15、16-通過給定的文件路徑讀取本地文件,然後上傳到C&C服務器;
17-刪除給定的文件或文件夾;
18-每5秒清除一次瀏覽器歷史記錄,如IE、Firefox、Chrome;
1B-與指定的C&C服務器通信,以控制受感染設備的攝像頭;
1C-關閉受感染設備的攝像頭;
1D-錄音並上傳到C&C服務器;
1E-停止錄音;
20-刪除指定文件;
21-退出Remcos進程;
22-卸載Remcos,並刪除Remcos創建的所有註冊表項;
23-執行vbs腳本“restart.vbs”,以實現Remcos的重啟;
24、25-從指定網址下載文件,並以vbs腳本“update.vbs”執行該文件,以實現Remcos的更新;
26-在受感染設備上顯示警告消息;
27-重啟受感染設備;
28-獲取受感染設備的剪貼板數據;
29、2A-清空受感染設備的剪貼板;
2B-在Remcos地址空間中創建一個共享內存,並將數據放入其中;
2C-從指定網址下載數據,並在Remcos地址空間中創建一個共享內存,然後將下載的數據放在上面;
30-連接到指定服務器並與之通信;
31-將一個名稱保存在其主鍵下(“HKCU\\Software\\Remcos-CN7LIG\\”);
34-對指定服務執行服務控制(更改、暫停、停止或啟動服務配置),然後將狀態告知C&C服務器;
8F-枚舉指定文件夾下的文件,並將文件名上傳到C&C服務器;
92-使用指定文件修改受感染設備的桌面壁紙;
94-通過給定的窗口句柄修改窗口文本;
95-獲取實時物理內存狀態,並報告給C&C服務器;
98-從指定的C&C服務器下載文件,或上傳文件到指定的C&C服務器;
9E、A2-在受感染設備上播放警報聲;
A3-關閉受感染設備的聲音;
AB-提升權限等級,並將結果告知C&C服務器;
AC-顯示彈出菜單。
閱讀更多 黑客視界 的文章
