近期,安全研究人员发现了一种分发 Remcos 远程访问木马 (RAT) 的新方法。这种恶意软件可以让攻击者完全控制受感染的系统,并通过包含缩短URL 的恶意 Word 文档进行传播。
这些URL会导致下载Remcos RAT,该木马可用于数据窃取、间谍活动以及其他恶意活动。理解感染链条并识别此类攻击的迹象对于减少这些威胁至关重要。
感染链分析
=========
这种攻击通常始于一封包含.docx附件的电子邮件,旨在欺骗接收者。在检查该文件时,发现其中包含一个缩短的URL,显示出恶意意图。该URL会重定向至下载以RTF格式存在的Equation Editor恶意软件的变种。
通过利用Equation Editor的漏洞(CVE-2017-11882),这种恶意软件试图下载一个由一长串连接的变量和字符串组成的VB脚本,可能经过编码或混淆处理。
这些字符串形成一个编码的有效负载,可以稍后在脚本中解码或执行。
该VB脚本解混淆后变成PowerShell代码,尝试通过隐写术图像和反向Base64编码的字符串下载恶意二进制文件。
尽管进行了一次命令与控制(C2)的调用,但也存在TCP重新连接,表明C2可能不可用。
被动DNS分析确认了C2域名,但它们目前处于停用状态。
攻击细节
========
该文档(SHA1:f1d760423da2245150a931371af474dda519b6c9)包含两个关键文件:settings.xml.rels 和 document.xml.rels,位于 word/_rels/。
Settings.xml.rels 文件显示了一个缩短的 URL,负责下载感染的下一阶段:
在沙盒环境中运行该.docx文件发现它包含CVE-2017-0199漏洞。利用此漏洞后,该文档将尝试连接到远程服务器以下载恶意文件。
攻击者使用URL缩短服务来掩盖恶意URL,使受害者难以识别风险,并帮助绕过可能会标记可疑URL的安全过滤器。
PDF 文件看似无害,显示某公司与银行之间的交易。但真正的威胁在于通过缩短的URL 下载的 RTF 文件(SHA1:539deaf1e61fb54fb998c54ca5791d2d4b83b58c)。
该文件利用公式编辑器漏洞下载 VB 脚本(SHA1:9740c008e7e7eef31644ebddf99452a014fc87b4)。
混淆和有效载荷投递
=============
VB 脚本是一串连接变量和字符串的长字符串,可能是编码或混淆的数据。
重要变量“remercear”由反复连接各种字符串文字构成,表明它包含编码信息或命令。
去混淆后,PowerShell 代码尝试从两个不同的 URL 下载恶意二进制文件。
第一个 URL 使用隐写术将恶意软件隐藏在图像中:隐写图像
该图像包含一个长的Base64编码字符串,其中前六个字节解码为'MZ',表明存在一个Windows可执行文件。
第二个 URL 与 IP 地址通信以检索包含反向 Base64 编码字符串的 TXT 文件。
这增加了一层混淆,从而逃避了简单的检测机制。
使用 Cyber Chef 等工具,对字符串进行反转,并对 Base64 进行解码以显示恶意负载(SHA1:83505673169efb06ab3b99d525ce51b126bd2009)。
监控这些进程发现与潜在 C2 服务器(IP:94[.]156[.]66[.]67:2409)的连接目前已关闭,导致 TCP 重新连接。
在Word文档中使用缩短URL来分发Remcos RAT突显了网络犯罪分子不断进化的策略。
通过理解感染链条并识别此类攻击的迹象,个人或企业组织可以更好地保护其免受这些威胁。所以,请始终谨慎处理未经请求的带附件的电子邮件,并避免点击来自未知来源的缩短URL。
