新闻动态

News information

被伪装成“office文档”的木马:Remcos远控木马分析

<<返回

2022年05月17日 15:00

由于近两年的疫情,发生了多起利用 COVID-19 为主题的钓鱼邮件,传播Remocs远控木马的活动,该活动主要针对小型企业、制造企业、会计师事务所等。

海毒蛇(SeaViper)”黑客组织曾通过一封题为“电子转账付款账单”的恶意邮件,以“美国银行”的名义发起钓鱼邮件攻击,他们以excel表格为附件,通过多级代码跳转,最终向目标计算机植入木马Remcos,窃取目标主机的机密信息。


1.png


在2018年,RiskIQ发布了一份关于一名攻击者的报告,该攻击者攻击的目标为土耳其国防承包商、国际新闻机构、柴油机设备制造商和海事及能源部门服务提供商、能源部门的 HVAC 服务提供商等。在观察到的攻击活动中,攻击开始于土耳其语编写的特制鱼叉式钓鱼邮件,这些邮件看起来像土耳其政府部门发布,声称与受害组织的税务报告有关。下面是其中的一份邮件:


2.png


与其他鱼叉式钓鱼活动一样,恶意的Office文档被嵌于邮件中,引诱受害者点击查看文档,一旦执行,宏重构可执行文件,将其保存到系统的特殊的位置并执行它。


此外还有针对西班牙旗舰航空公司lberia的恶意发票,波兰航空公司AMC相关的大量恶意文档,都是利用Remcos木马攻击的典型事件。



01.

木马分析


Remcos木马利用社会工程技术,通过网络钓鱼电子邮件分发,具体的URL为:http://179.43.175.171/abdt/44.exe


3.png


用 ExeinfoPE 打开查看,可以看到是 C++ 写的32位程序,未加壳,所以可以直接开始调试。


4.png


通过 IDA Pro 和 x64dbg 进行调试,定位到主函数 WinMain()。

Remcos 一启动就会对加密的配置块 "SETTINGS" 进行解密计算,获取 C2 服务器信息,注册表中的子名称,木马功能的配置,互斥体名称,licence内容等信息,中间以 "丨" 分隔。


5.png


在开始调试不远处就有一个字符串比较函数 strcmp,通过分析发现可以使用命令行参数 44.exe -l 来生成一个 license_code.txt 文件。


6.png


7.png


8.png


创建互斥体fgjjvjstdsgsjbcbjshsjfkfjfkfjfhfhdjdjdbshsbgjh-OX7P8W,此外还会获取一些模块的导出函数,检索注册表中的键值,获取操作系统的信息。


9.png


创建 cmd.exe 进程:


10.png


若进入函数sub_40AAC7,会创建目录和文件并执行,创建注册表。


11.png


remcos.exe 就是目前正在分析的文件。


12.png


13.png


remcos.exe 添加到系统注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run以实现自启动,这样,当受感染机器重新启动时,木马也可以随之启动。

14.png

接着执行新创建的install.vbs脚本代码,它首先会创建FileSystemObject对象fso,然后创建wscript.shell对象调用run方法运行remcos.exe,最后fso调用DeleteFile方法删除脚本自身,最后退出调试。


WScript.Sleep1000 Set fso = CreateObject("Scripting.FileSystemObject") CreateObject("WScript.Shell").Run"cmd /c""C:\Users\xxx\AppData\Roaming\Remcos\remcos.exe""",0

fso.DeleteFile(Wscript.ScriptFullName)


继续往下走,将会新建注册表项

HKEY_CURRENT_USER\Software\fgjjvjstdsgsjbcbjshsjfkfjfkfjfhfhdjdjdbshsbgjh-OX7P8W。


15.png


在函数my_GetProcessAndInject 中进行注入


16.png


创建firefox.exe 进程,在其内存中写入代码


17.png


18.png


注册表

HKEY_CURRENT_USER\Software\fgjjvjstdsgsjbcbjshsjfkfjfkfjfhfhdjdjdbshsbgjh-OX7P8W中也会添加键值对Inj


19.png


若不进行火狐浏览器的注入,就不会有 Inj 的键值对,往下会创建键值对 licence,值为 license_code.txt 中的内容。


20.png


函数sub_419BA8 有该远控木马的版本信息及官网网址,3.4.0 版本是在今年2月份更新的。


21.png


可以从Remcos官网下载专用卸载程序来卸载该木马:

https://breakingsecurity.net/remcos/uninstaller/


22.png


若之前未创建Remcos目录

则会创建C:\Users\xxx\AppData\Roaming\remcos\logs.dat文件

并使用 APISetWindowsHookExA 创建线程设置消息钩子,记录键盘鼠标的操作。


23.png


24.png


25.png


清除浏览器登录和cookies 信息,掩盖之前的注入操作。


26.png

 

获取计算机名称和用户名。


27.png


启动看门狗守护程序。


28.png

 

获取当前登录的用户是管理员还是普通用户。


29.png


获取计算机的处理器型号。


30.png


获取计算机的时间和日期。


31.png


使用TLS协议与C2服务器建立通信,连接域名secured1.hopto.org,解析出的IP为104.215.84.159


32.png


33.png


Remcos从受害者的系统中收集信息并提交给C2服务器,通过AES加密的数据包如下所示:


34.png


前4个字节 "24 04 FF 00" 是来自解密配置块的数据包的 magic ID,紧随其后的4字节"58 05 00 00" 是后面数据的大小,之后4字节 "4B 00 00 00" 是数据包编号,最后剩余的数据就是收集到的受害者机器的基本信息,包括但不限于以上的些信息。

服务器下发的部分控制命令如下:


图层 4.png


02
. 

防护建议


针对木马的防护要做到以下几点:

1、规范上网行为,不下载安装未知的软件;

2、不点开来历不明的文档、图片、音频视频等;

3、及时安装系统补丁,修复漏洞;

4、加强密码复杂度,定期更改密码;

5、内网中的系统要通过防火墙、VLAN或网闸等进行隔离。


必要的安全防护设备:

1、网络出口位置部署六方云NGFW防火墙,并及时更新特征库;

2、终端部署六方云工业卫士,及时扫描和查杀病毒;

3、部署六方云神探产品,及时发现未知威胁。