信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，作者/山卡拉。

近期，安全研究人員發(fā)現(xiàn)了一種分發(fā)Remcos遠(yuǎn)程訪問木馬(RAT)的新方法。這種惡意軟件可以讓攻擊者完全控制受感染的系統(tǒng)，并通過包含縮短URL的惡意Word文檔進(jìn)行傳播。

這些URL會(huì)導(dǎo)致下載Remcos RAT，該木馬可用于數(shù)據(jù)竊取、間諜活動(dòng)以及其他惡意活動(dòng)。理解感染鏈條并識(shí)別此類攻擊的跡象對(duì)于減少這些威脅至關(guān)重要。

感染鏈分析

這種攻擊通常始于一封包含.docx附件的電子郵件，旨在欺騙接收者。在檢查該文件時(shí)，發(fā)現(xiàn)其中包含一個(gè)縮短的URL，顯示出惡意意圖。該URL會(huì)重定向至下載以RTF格式存在的Equation Editor惡意軟件的變種。

通過利用Equation Editor的漏洞（CVE-2017-11882），這種惡意軟件試圖下載一個(gè)由一長串連接的變量和字符串組成的VB腳本，可能經(jīng)過編碼或混淆處理。

這些字符串形成一個(gè)編碼的有效負(fù)載，可以稍后在腳本中解碼或執(zhí)行。

該VB腳本解混淆后變成PowerShell代碼，嘗試通過隱寫術(shù)圖像和反向Base64編碼的字符串下載惡意二進(jìn)制文件。

盡管進(jìn)行了一次命令與控制（C2）的調(diào)用，但也存在TCP重新連接，表明C2可能不可用。

被動(dòng)DNS分析確認(rèn)了C2域名，但它們目前處于停用狀態(tài)。

攻擊細(xì)節(jié)

該文檔（SHA1：f1d760423da2245150a931371af474dda519b6c9）包含兩個(gè)關(guān)鍵文件：settings.xml.rels和document.xml.rels，位于word/_rels/。

Settings.xml.rels文件顯示了一個(gè)縮短的URL，負(fù)責(zé)下載感染的下一階段：

在沙盒環(huán)境中運(yùn)行該.docx文件發(fā)現(xiàn)它包含CVE-2017-0199漏洞。利用此漏洞后，該文檔將嘗試連接到遠(yuǎn)程服務(wù)器以下載惡意文件。

攻擊者使用URL縮短服務(wù)來掩蓋惡意URL，使受害者難以識(shí)別風(fēng)險(xiǎn)，并幫助繞過可能會(huì)標(biāo)記可疑URL的安全過濾器。

PDF文件看似無害，顯示某公司與銀行之間的交易。但真正的威脅在于通過縮短的URL下載的RTF文件（SHA1：539deaf1e61fb54fb998c54ca5791d2d4b83b58c）。

該文件利用公式編輯器漏洞下載VB腳本（SHA1：9740c008e7e7eef31644ebddf99452a014fc87b4）。

混淆和有效載荷投遞

VB腳本是一串連接變量和字符串的長字符串，可能是編碼或混淆的數(shù)據(jù)。

重要變量“remercear”由反復(fù)連接各種字符串文字構(gòu)成，表明它包含編碼信息或命令。

去混淆后，PowerShell代碼嘗試從兩個(gè)不同的URL下載惡意二進(jìn)制文件。

第一個(gè)URL使用隱寫術(shù)將惡意軟件隱藏在圖像中：隱寫圖像

該圖像包含一個(gè)長的Base64編碼字符串，其中前六個(gè)字節(jié)解碼為'MZ'，表明存在一個(gè)Windows可執(zhí)行文件。

第二個(gè)URL與IP地址通信以檢索包含反向Base64編碼字符串的TXT文件。

這增加了一層混淆，從而逃避了簡單的檢測機(jī)制。

使用Cyber Chef等工具，對(duì)字符串進(jìn)行反轉(zhuǎn)，并對(duì)Base64進(jìn)行解碼以顯示惡意負(fù)載（SHA1：83505673169efb06ab3b99d525ce51b126bd2009）。

監(jiān)控這些進(jìn)程發(fā)現(xiàn)與潛在C2服務(wù)器（IP：94[.]156[.]66[.]67:2409）的連接目前已關(guān)閉，導(dǎo)致TCP重新連接。

在Word文檔中使用縮短URL來分發(fā)Remcos RAT突顯了網(wǎng)絡(luò)犯罪分子不斷進(jìn)化的策略。

通過理解感染鏈條并識(shí)別此類攻擊的跡象，個(gè)人或企業(yè)組織可以更好地保護(hù)其免受這些威脅。所以，請(qǐng)始終謹(jǐn)慎處理未經(jīng)請(qǐng)求的帶附件的電子郵件，并避免點(diǎn)擊來自未知來源的縮短URL。