行業新聞與部落格

在最近針對 Windows 使用者的網路釣魚活動中發現了 Remcos RAT 惡意軟體的新變種，該變種能夠完全控制受害者的裝置。

該活動由 Fortinet 的 FortiGuard 實驗室發現，使用帶有惡意 Excel 附件的網路釣魚電子信箱向受害者傳送惡意軟體，利用現有漏洞秘密執行其程式碼。

一旦開啟，Excel 檔案就會利用 CVE-2017-0199 漏洞，從而下載 HTML 應用程式 (HTA) 檔案。HTA 檔案使用 Microsoft 的 mshta.exe 載入，然後呼叫各種指令碼下載名為“dllhost.exe”的可執行檔案。此檔案載入到受害者的裝置上後，便會安裝 Remcos RAT，從而使網路犯罪分子能夠遠端控制受感染的系統。

Remcos RAT 中的混淆層

Remcos RAT 變種利用多層混淆來避免檢測。它使用各種編碼方法（包括 JavaScript、VBScript 和 PowerShell）包裝惡意程式碼，從而隱藏實際負載。

一旦 dllhost.exe 執行，它就會執行 PowerShell 命令來啟動隱藏在受害者裝置中的其他檔案，從而進一步將惡意程式嵌入到系統中。該變體的複雜性透過反分析技術得到增強，這些技術可以將其隱藏在安全程式之外，使檢測變得困難。

這些反分析技術包括向量異常處理程式、動態 API 檢索和抵抗靜態程式碼分析的編碼常量。

該惡意軟體還執行一種稱為“程序挖空”的技術，將其惡意程式碼轉移到看似無害但在後臺繼續執行惡意軟體的暫停程序。

Remcos RAT 高階控制功能

Remcos RAT 使攻擊者能夠長期控制受感染的裝置。該惡意軟體使用登錄檔項，即使在裝置重新啟動後也能保持永續性。一旦完全安裝，它就會與命令和控制 (C2) 伺服器通訊，接收各種操作的指令，包括鍵盤記錄、遠端截圖和錄音。

該惡意軟體使用加密的配置塊，解密後可確定其在受害者裝置上的操作。此設定塊包括 C2 伺服器的 IP 地址和埠，以及啟用 Remcos 內特定功能的各種命令，例如監控系統程序和檢索裝置資料。

每個命令都經過加密以確保安全，並且僅在需要時解密，這使得研究人員很難攔截或解碼。

除了監控之外，Remcos RAT 還會收集裝置資訊和使用者活動，然後對其進行加密併發送回其 C2 伺服器。此通訊依賴於安全的 TLS，可進一步混淆資料並與攻擊者保持穩固的連線。

為了防範 Remcos RAT 等惡意軟體，公司應該使用更新的防病毒和反惡意軟體來阻止惡意簽名，採用網路過濾來防止訪問危險的 URL，並激活垃圾郵件過濾器來捕獲網路釣魚嘗試。

建議對所有軟體進行修補以避免已知漏洞，並使用入侵防禦系統 (IPS) 和內容解除工具 (CDR) 來提高安全性。最後，定期對所有使用者進行網路安全培訓可以幫助識別和避免網路釣魚計劃。