由于近两年的疫情,发生了多起利用 COVID-19 为主题的钓鱼邮件,传播Remocs远控木马的活动,该活动主要针对小型企业、制造企业、会计师事务所等。
“海毒蛇(SeaViper)”黑客组织曾通过一封题为“电子转账付款账单”的恶意邮件,以“美国银行”的名义发起钓鱼邮件攻击,他们以excel表格为附件,通过多级代码跳转,最终向目标计算机植入木马Remcos,窃取目标主机的机密信息。
![1.png 1.png](https://www.6cloudtech.com/upload/default/20220517/524302c7d27693928161b87f8b33a967.png)
在2018年,RiskIQ发布了一份关于一名攻击者的报告,该攻击者攻击的目标为土耳其国防承包商、国际新闻机构、柴油机设备制造商和海事及能源部门服务提供商、能源部门的 HVAC 服务提供商等。在观察到的攻击活动中,攻击开始于土耳其语编写的特制鱼叉式钓鱼邮件,这些邮件看起来像土耳其政府部门发布,声称与受害组织的税务报告有关。下面是其中的一份邮件:
![2.png 2.png](https://www.6cloudtech.com/upload/default/20220517/2137e1bbe2947399358fa111006e5731.png)
与其他鱼叉式钓鱼活动一样,恶意的Office文档被嵌于邮件中,引诱受害者点击查看文档,一旦执行,宏重构可执行文件,将其保存到系统的特殊的位置并执行它。
此外还有针对西班牙旗舰航空公司lberia的恶意发票,波兰航空公司AMC相关的大量恶意文档,都是利用Remcos木马攻击的典型事件。
Remcos木马利用社会工程技术,通过网络钓鱼电子邮件分发,具体的URL为:http://179.43.175.171/abdt/44.exe
![3.png 3.png](https://www.6cloudtech.com/upload/default/20220517/f21f523244b714ba871622c37a2fa85b.png)
用 ExeinfoPE 打开查看,可以看到是 C++ 写的32位程序,未加壳,所以可以直接开始调试。
![4.png 4.png](https://www.6cloudtech.com/upload/default/20220517/7f222b43c7a95895ce820c90132f3538.png)
通过 IDA Pro 和 x64dbg 进行调试,定位到主函数 WinMain()。
Remcos 一启动就会对加密的配置块 "SETTINGS" 进行解密计算,获取 C2 服务器信息,注册表中的子键名称,木马功能的配置,互斥体名称,licence内容等信息,中间以 "丨" 分隔。
![5.png 5.png](https://www.6cloudtech.com/upload/default/20220517/0153fff2490bc91c9e57c3d035ed6c07.png)
在开始调试不远处就有一个字符串比较函数 strcmp,通过分析发现可以使用命令行参数 44.exe -l 来生成一个 license_code.txt 文件。
![6.png 6.png](https://www.6cloudtech.com/upload/default/20220517/ada73c248794638ed56cb82b70c5683b.png)
![7.png 7.png](https://www.6cloudtech.com/upload/default/20220517/8799727e2d375f3b124c1f0be0c94700.png)
![8.png 8.png](https://www.6cloudtech.com/upload/default/20220517/a89c5ac42a8e9d1090b33b5a1eaf1c17.png)
创建互斥体fgjjvjstdsgsjbcbjshsjfkfjfkfjfhfhdjdjdbshsbgjh-OX7P8W,此外还会获取一些模块的导出函数,检索注册表中的键值,获取操作系统的信息。
![9.png 9.png](https://www.6cloudtech.com/upload/default/20220517/e9c5bf8ad29846bd6c5a0f52cdebf968.png)
创建 cmd.exe 进程:
![10.png 10.png](https://www.6cloudtech.com/upload/default/20220517/97e1c552e3296a8bc39b81d152ba120d.png)
若进入函数sub_40AAC7,会创建目录和文件并执行,创建注册表。
![11.png 11.png](https://www.6cloudtech.com/upload/default/20220517/53e18cb2cc638e4c7b0fd0a17ccf0ac4.png)
remcos.exe 就是目前正在分析的文件。
![12.png 12.png](https://www.6cloudtech.com/upload/default/20220517/77606d76d4aaf0539e149c9f90651863.png)
![13.png 13.png](https://www.6cloudtech.com/upload/default/20220517/d78d1883b3042e4a935f07e5fab95918.png)
将remcos.exe 添加到系统注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run以实现自启动,这样,当受感染机器重新启动时,木马也可以随之启动。
![14.png 14.png](https://www.6cloudtech.com/upload/default/20220517/a7b288f7db965691aad10996ffdfd9e7.png)
接着执行新创建的install.vbs脚本代码,它首先会创建FileSystemObject对象fso,然后创建wscript.shell对象调用run方法运行remcos.exe,最后fso调用DeleteFile方法删除脚本自身,最后退出调试。
WScript.Sleep1000 Set fso = CreateObject("Scripting.FileSystemObject") CreateObject("WScript.Shell").Run"cmd /c""C:\Users\xxx\AppData\Roaming\Remcos\remcos.exe""",0
fso.DeleteFile(Wscript.ScriptFullName)
继续往下走,将会新建注册表项
HKEY_CURRENT_USER\Software\fgjjvjstdsgsjbcbjshsjfkfjfkfjfhfhdjdjdbshsbgjh-OX7P8W。
![15.png 15.png](https://www.6cloudtech.com/upload/default/20220517/2bdaac8c6c538015ecb7f57823739cf1.png)
在函数my_GetProcessAndInject 中进行注入
![16.png 16.png](https://www.6cloudtech.com/upload/default/20220517/c8e040f7461608efd8fdac64d78065b2.png)
创建firefox.exe 进程,在其内存中写入代码
![17.png 17.png](https://www.6cloudtech.com/upload/default/20220517/f9b36ae1490bee5ec9a1ed7af40fc0ce.png)
![18.png 18.png](https://www.6cloudtech.com/upload/default/20220517/da81900456afe101609db1449d12f716.png)
注册表
HKEY_CURRENT_USER\Software\fgjjvjstdsgsjbcbjshsjfkfjfkfjfhfhdjdjdbshsbgjh-OX7P8W中也会添加键值对Inj
![19.png 19.png](https://www.6cloudtech.com/upload/default/20220517/c216d96940bce56105f4e7cc98f31ebf.png)
若不进行火狐浏览器的注入,就不会有 Inj 的键值对,往下会创建键值对 licence,值为 license_code.txt 中的内容。
![20.png 20.png](https://www.6cloudtech.com/upload/default/20220517/d2fec502aa2a4eba6c02f27f2df25f41.png)
函数sub_419BA8 有该远控木马的版本信息及官网网址,3.4.0 版本是在今年2月份更新的。
![21.png 21.png](https://www.6cloudtech.com/upload/default/20220517/eb75886ab64facd8c7e9a952afbd2fcc.png)
可以从Remcos官网下载专用卸载程序来卸载该木马:
https://breakingsecurity.net/remcos/uninstaller/
![22.png 22.png](https://www.6cloudtech.com/upload/default/20220517/65fa7620ab531ffdeefe9256d2910f19.png)
若之前未创建Remcos目录
则会创建C:\Users\xxx\AppData\Roaming\remcos\logs.dat文件
并使用 APISetWindowsHookExA 创建线程设置消息钩子,记录键盘鼠标的操作。
![23.png 23.png](https://www.6cloudtech.com/upload/default/20220517/58fb664061af1e82101533867079161a.png)
![24.png 24.png](https://www.6cloudtech.com/upload/default/20220517/9b548b67ff1729c1a145203f807d66a7.png)
![25.png 25.png](https://www.6cloudtech.com/upload/default/20220517/6cc7be67eca4ba3a98f7eceecef6ee99.png)
清除浏览器登录和cookies 信息,掩盖之前的注入操作。
![26.png 26.png](https://www.6cloudtech.com/upload/default/20220517/357405ab718c628eeb4ebd9b5b88f5f9.png)
获取计算机名称和用户名。
![27.png 27.png](https://www.6cloudtech.com/upload/default/20220517/3eb9df12216ce82dc453720088d4c3c5.png)
启动看门狗守护程序。
![28.png 28.png](https://www.6cloudtech.com/upload/default/20220517/f045f5c4eea56b3b0e4b2d79822d020b.png)
获取当前登录的用户是管理员还是普通用户。
![29.png 29.png](https://www.6cloudtech.com/upload/default/20220517/555ee7ac3a7ce387280123e0d3c9a819.png)
获取计算机的处理器型号。
![30.png 30.png](https://www.6cloudtech.com/upload/default/20220517/b3a73b82b6f119fe894b985353aec3e5.png)
获取计算机的时间和日期。
![31.png 31.png](https://www.6cloudtech.com/upload/default/20220517/bb2d1338d6635d4b962fde2ab317d442.png)
使用TLS协议与C2服务器建立通信,连接域名secured1.hopto.org,解析出的IP为104.215.84.159
![32.png 32.png](https://www.6cloudtech.com/upload/default/20220517/d481613f65cc051178b8872789612a51.png)
![33.png 33.png](https://www.6cloudtech.com/upload/default/20220517/89ee28d105c1180f61ea6e7d713d7193.png)
Remcos从受害者的系统中收集信息并提交给C2服务器,通过AES加密的数据包如下所示:
![34.png 34.png](https://www.6cloudtech.com/upload/default/20220517/a01aabf11e006b54d98a525f547d003d.png)
前4个字节 "24 04 FF 00" 是来自解密配置块的数据包的 magic ID,紧随其后的4字节"58 05 00 00" 是后面数据的大小,之后4字节 "4B 00 00 00" 是数据包编号,最后剩余的数据就是收集到的受害者机器的基本信息,包括但不限于以上的那些信息。
服务器下发的部分控制命令如下:
![图层 4.png 图层 4.png](https://www.6cloudtech.com/upload/default/20220517/f7f2342a19c2cf68bf816c00b3665eee.png)
02.
针对木马的防护要做到以下几点:
1、规范上网行为,不下载安装未知的软件;
2、不点开来历不明的文档、图片、音频视频等;
3、及时安装系统补丁,修复漏洞;
4、加强密码复杂度,定期更改密码;
5、内网中的系统要通过防火墙、VLAN或网闸等进行隔离。
必要的安全防护设备:
1、网络出口位置部署六方云NGFW防火墙,并及时更新特征库;
2、终端部署六方云工业卫士,及时扫描和查杀病毒;
3、部署六方云神探产品,及时发现未知威胁。