行业新闻与博客

在最近针对 Windows 用户的网络钓鱼活动中发现了 Remcos RAT 恶意软件的新变种，该变种能够完全控制受害者的设备。

该活动由 Fortinet 的 FortiGuard 实验室发现，使用带有恶意 Excel 附件的网络钓鱼电子邮件向受害者传送恶意软件，利用现有漏洞秘密执行其代码。

一旦打开，Excel 文件就会利用 CVE-2017-0199 漏洞，从而下载 HTML 应用程序 (HTA) 文件。HTA 文件使用 Microsoft 的 mshta.exe 加载，然后调用各种脚本下载名为“dllhost.exe”的可执行文件。此文件加载到受害者的设备上后，便会安装 Remcos RAT，从而使网络犯罪分子能够远程控制受感染的系统。

Remcos RAT 中的混淆层

Remcos RAT 变种利用多层混淆来避免检测。它使用各种编码方法（包括 JavaScript、VBScript 和 PowerShell）包装恶意代码，从而隐藏实际负载。

一旦 dllhost.exe 运行，它就会执行 PowerShell 命令来启动隐藏在受害者设备中的其他文件，从而进一步将恶意程序嵌入到系统中。该变体的复杂性通过反分析技术得到增强，这些技术可以将其隐藏在安全程序之外，使检测变得困难。

这些反分析技术包括矢量异常处理程序、动态 API 检索和抵抗静态代码分析的编码常量。

该恶意软件还执行一种称为“进程挖空”的技术，将其恶意代码转移到看似无害但在后台继续执行恶意软件的暂停进程。

Remcos RAT 高级控制功能

Remcos RAT 使攻击者能够长期控制受感染的设备。该恶意软件使用注册表项，即使在设备重新启动后也能保持持久性。一旦完全安装，它就会与命令和控制 (C2) 服务器通信，接收各种操作的指令，包括键盘记录、远程截图和录音。

该恶意软件使用加密的配置块，解密后可确定其在受害者设备上的操作。此设置块包括 C2 服务器的 IP 地址和端口，以及激活 Remcos 内特定功能的各种命令，例如监控系统进程和检索设备数据。

每个命令都经过加密以确保安全，并且仅在需要时解密，这使得研究人员很难拦截或解码。

除了监控之外，Remcos RAT 还会收集设备信息和用户活动，然后对其进行加密并发送回其 C2 服务器。此通信依赖于安全的 TLS，可进一步混淆数据并与攻击者保持稳固的连接。

为了防范 Remcos RAT 等恶意软件，公司应该使用更新的防病毒和反恶意软件来阻止恶意签名，采用网络过滤来防止访问危险的 URL，并激活垃圾邮件过滤器来捕获网络钓鱼尝试。

建议对所有软件进行修补以避免已知漏洞，并使用入侵防御系统 (IPS) 和内容解除工具 (CDR) 来提高安全性。最后，定期对所有用户进行网络安全培训可以帮助识别和避免网络钓鱼计划。