行業新聞與博客

在最近針對 Windows 用户的網絡釣魚活動中發現了 Remcos RAT 惡意軟件的新變種，該變種能夠完全控制受害者的設備。

該活動由 Fortinet 的 FortiGuard 實驗室發現，使用帶有惡意 Excel 附件的網絡釣魚電郵向受害者傳送惡意軟件，利用現有漏洞秘密執行其代碼。

一旦打開，Excel 文件就會利用 CVE-2017-0199 漏洞，從而下載 HTML 應用程序 (HTA) 文件。HTA 文件使用 Microsoft 的 mshta.exe 加載，然後調用各種腳本下載名為“dllhost.exe”的可執行文件。此文件加載到受害者的設備上後，便會安裝 Remcos RAT，從而使網絡犯罪分子能夠遠程控制受感染的系統。

Remcos RAT 中的混淆層

Remcos RAT 變種利用多層混淆來避免檢測。它使用各種編碼方法（包括 JavaScript、VBScript 和 PowerShell）包裝惡意代碼，從而隱藏實際負載。

一旦 dllhost.exe 運行，它就會執行 PowerShell 命令來啓動隱藏在受害者設備中的其他文件，從而進一步將惡意程序嵌入到系統中。該變體的複雜性通過反分析技術得到增強，這些技術可以將其隱藏在安全程序之外，使檢測變得困難。

這些反分析技術包括矢量異常處理程序、動態 API 檢索和抵抗靜態代碼分析的編碼常量。

該惡意軟件還執行一種稱為“進程挖空”的技術，將其惡意代碼轉移到看似無害但在後台繼續執行惡意軟件的暫停進程。

Remcos RAT 高級控制功能

Remcos RAT 使攻擊者能夠長期控制受感染的設備。該惡意軟件使用註冊表項，即使在設備重新啓動後也能保持持久性。一旦完全安裝，它就會與命令和控制 (C2) 服務器通信，接收各種操作的指令，包括鍵盤記錄、遠程截圖和錄音。

該惡意軟件使用加密的配置塊，解密後可確定其在受害者設備上的操作。此設置塊包括 C2 服務器的 IP 地址和端口，以及激活 Remcos 內特定功能的各種命令，例如監控系統進程和檢索設備數據。

每個命令都經過加密以確保安全，並且僅在需要時解密，這使得研究人員很難攔截或解碼。

除了監控之外，Remcos RAT 還會收集設備信息和用户活動，然後對其進行加密併發送回其 C2 服務器。此通信依賴於安全的 TLS，可進一步混淆數據並與攻擊者保持穩固的連接。

為了防範 Remcos RAT 等惡意軟件，公司應該使用更新的防病毒和反惡意軟件來阻止惡意簽名，採用網絡過濾來防止訪問危險的 URL，並激活垃圾郵件過濾器來捕獲網絡釣魚嘗試。

建議對所有軟件進行修補以避免已知漏洞，並使用入侵防禦系統 (IPS) 和內容解除工具 (CDR) 來提高安全性。最後，定期對所有用户進行網絡安全培訓可以幫助識別和避免網絡釣魚計劃。