通过钓鱼邮件,传播Remcos RAT远控木马

原创
2020/06/13 19:14
阅读数 349

安全分析与研究


专注于全球恶意软件的分析与研究

样本简介

Remcos是一款远控(RAT)类型的恶意软件,攻击者可以使用它来远程控制受害者主机执行相关的操作,自2016年首次在黑暗网络上的地下黑客社区开始出售以来,非常活跃,几乎每个月都会发布更新,该恶意软件的价格仅为60美元到400多美元不等,攻击者可以用相对便宜的价格获得。


该木马是由称为Breaking Security的“企业”创建并出售给客户的。Remcos RAT为客户端提供了所有必要的功能以发起潜在的破坏性攻击。可以使用不同的加密货币购买恶意软件。该程序能够在任何Windows操作系统(包括XP和更高版本)远程控制PC。它还可以捕获屏幕截图并在受感染的计算机上进行键盘记录。


更重要的是,它配备了一个加密程序,可使恶意软件对反病毒软件保持隐藏。实际上,Breaking Security已在其YouTube频道上发布了一个视频,演示了多种杀毒软件无法检测到Remcos的情况。此外,Breaking Security还为攻击者提供了可用于远程记录受害者击键的键盘记录器,可用于执行分发活动的大规模邮件程序和DynDNS服务。连接所有其他服务后,购买者将获得创建自己的有效僵尸网络所需的一切。


负责向犯罪分子出售Remcos RAT的公司在德国注册。在所有欧盟成员国中,德国是唯一不允许在线查找公司详细信息的国家,因此,仍未确定Breaking Security的创始人。该网站本身不提供有关公司或Remcos背后团队的任何信息。网站本身的域名托管在Cloudflare上,与网站相关的所有信息均受托管组织的隐私政策保护。显然,Breaking Security背后的人们已经做了很多努力来保持匿名。


该恶意软件通过多种方式进行传播,主要通过垃圾邮件携带附件的方式进入受害者主机,然后通过网络钓鱼的技术诱骗用户下载附件文件,这些附件通常是包含恶意代码的Office文件,打开附件文件,启动恶意代码,下载执行Remcos RAT恶意软件,攻击的主要目标公司包含新闻社和与能源相关的企业。


Remcos RAT远控木马的官网,如下所示:


样本分析

1.垃圾邮件信息,如下所示:

2.邮件里面附带一个xlsm文件,里面包含恶意宏代码,如下所示:

3.提取出文档里的恶意宏代码,如下所示:

4.对恶意宏代码进行分析,自启动执行恶意函数,如下所示:

5.读取文档表格中的数据,如下所示:

表格中的数据,如下所示:

6.执行表格中的命令行数据,如下所示:

7.解密表格中的命令行数据,从远程服务器hxxp://185.205.209.166/cxwv/kol.vbs,下载恶意VBS脚本,然后执行,如下所示:

8.恶意脚本代码,如下所示:

9.设置VBS脚本设置自启动项,如下所示:

10.读取远程服务器hxxp://185.205.209.166/cxwv/Attack.jpg上的数据,然后解密执行,如下所示:

11.读取的远程服务器上的数据,解密成一个恶意脚本,如下所示:

12.脚本会解密出里面的数据为PE程序,然后执行,如下所示:

13.解密出来的PE,如下所示:

14.分析解密出来的PE程序,就是Remcos RAT后门,如下所示:

15.Remcos会从资源中读取SETTING的配置项,如下所示:

16.读取的资源配置信息数据,如下所示:

17.解密出来的Remcos RAT远控程序的配置信息,如下所示:

解密出来的服务器地址信息:eastsidebandit.myddns.rocks:6996,相关的执行命令,有截屏等操作指令

18.创建互斥变量,然后开始收集系统信息,将这些信息加密之后发送到远程黑客服务器,如下所示:

接收远程服务器的控制命令,执行文件管理、远程执行Shell、进程管理、键盘记录、截取屏幕、远程执行脚本、下载文件、弹出消息框、注册表管理、上传文件,安装卸载远控等


威胁情报追踪

1.IP地址185.205.209.166,位于保加利亚 索非亚,如下所示:

2.域名eastsidebandit.myddns.rocks,基本查不到啥信息,如下所示:

3.发现微步在线在6月11号,关联了一个URL样本信息,如下所示:

URL链接:hxxp://185.205.209.166/wext/bin_hKjyTFAIZm90.bin,把样本下载回来,发现是一段加密的数据,可能是GuLoader需要加载解密的数据,如下所示:

4.通过IP:185.205.209.166,发现hxxp://185.205.209.166/pftp/chrad.exe这条URL恶意链接包含在ExecuteMalware在6月4号提交的恶意软件IOC威胁情报中,如下所示:

恶意软件威胁情报的内容,如下所示:

这个黑客服务器前几天就用来传播GuLoader恶意软件,GuLoader是一款新型的恶意软件下载器,使用VB语言编写,2019年12月,网络安全公司Proofpoint的安全研究人员发现此恶意软件并命令为GuLoader,2020年GuLoader变得非常活跃,并借助Google Drive、Microsoft OneDrive、MediaFire等云服务器/托管站点来下载传播恶意软件,通过云驱动传播恶意软件是2020年新出现的一种攻击趋势,这种方式变的越来越流行,GuLoader被大量黑客组织用于传播远程控制木马以及间谍窃密木马,包含AgentTesla、FormBook、LokiBot、NanoCore RAT、Remcos RAT、Warzone RAT、Netwire RAT等,2020年5月,黑客组织攻击者使用伪装成“顺丰速运”的恶意钓鱼邮件发起攻击。

5.通过IP:185.205.209.166,关联到的URL列表信息,这个黑客服务器主要用于传播GuLoader下载器和Remcos RAT远控,如下所示:


威胁情报IOC

HASH

0FBEB5912517B97C4A4831B42F0D30FE

A1B45B47B603BAE6290559D1BB12F31E


C2

eastsidebandit.myddns.rocks:6996


URL

hxxp://185.205.209.166/cxwv/kol.vbs

hxxp://185.205.209.166/cxwv/Attack.jpg

hxxp://185.205.209.166/pftp/chrad.exe

hxxp://185.205.209.166/wext/bin_hKjyTFAIZm90.bin

hxxp://185.205.209.166/dkkp/jrityzjn.csk.exe

hxxp://185.205.209.166/wext/wa_QJcktGBeYu118.bin

hxxp://185.205.209.166/wext/net-N_oCAkzZdgp45.bin

hxxp://185.205.209.166/cxwv/ms.exe

hxxp://185.205.209.166/wext/ori-2_vQiXO168.bin

hxxp://185.205.209.166/dkkp/qlyzbsuu.a12.exe

hxxp://185.205.209.166/wext/Rem-Stub23_tkxlq56.bin

hxxp://185.205.209.166/wext/net-x_SVsddcSkXN90.bin

hxxp://185.205.209.166/wext/n-bin_GuMUo43.bin

hxxp://185.205.209.166/wext/Rem-Stub23_lNdKRpB81.bin

hxxp://185.205.209.166/dkkp/8bdrkkf5.wjx.exe

威胁情报收集

常常有读者朋友通过微信或其他方式给我发送一些新的恶意软件或遇到的一些网络攻击案例,非常感谢这些朋友或公众号读者给我提供这些最新的攻击样本,同时也欢迎各位读者朋友,不管是你的企业,还是你个人遇到了一些网络安全攻击事件,都可以通过微信或邮件给我提供各种相关的威胁情报,这些威胁情报包含:

样本

域名

IP地址

钓鱼邮件

钓鱼网站

笔者花名:熊猫正正


 

笔者简介:熊猫正正,恶意软件研究员,长期专注于全球各种流行恶意软件的分析与研究,追踪全球流行黑客组织的攻击活动,擅长恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!

如果喜欢本篇内容请点在看,多谢支持

本文分享自微信公众号 - 安全分析与研究(MalwareAnalysis)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部