本文來自微信公眾號“嘶吼專業(yè)版”,作者/山卡拉。
近期,安全研究人員發(fā)現(xiàn)了一種分發(fā)Remcos遠程訪問木馬(RAT)的新方法。這種惡意軟件可以讓攻擊者完全控制受感染的系統(tǒng),并通過包含縮短URL的惡意Word文檔進行傳播。
這些URL會導致下載Remcos RAT,該木馬可用于數(shù)據(jù)竊取、間諜活動以及其他惡意活動。理解感染鏈條并識別此類攻擊的跡象對于減少這些威脅至關(guān)重要。
感染鏈分析
這種攻擊通常始于一封包含.docx附件的電子郵件,旨在欺騙接收者。在檢查該文件時,發(fā)現(xiàn)其中包含一個縮短的URL,顯示出惡意意圖。該URL會重定向至下載以RTF格式存在的Equation Editor惡意軟件的變種。
通過利用Equation Editor的漏洞(CVE-2017-11882),這種惡意軟件試圖下載一個由一長串連接的變量和字符串組成的VB腳本,可能經(jīng)過編碼或混淆處理。
這些字符串形成一個編碼的有效負載,可以稍后在腳本中解碼或執(zhí)行。
該VB腳本解混淆后變成PowerShell代碼,嘗試通過隱寫術(shù)圖像和反向Base64編碼的字符串下載惡意二進制文件。
盡管進行了一次命令與控制(C2)的調(diào)用,但也存在TCP重新連接,表明C2可能不可用。
被動DNS分析確認了C2域名,但它們目前處于停用狀態(tài)。
攻擊細節(jié)
該文檔(SHA1:f1d760423da2245150a931371af474dda519b6c9)包含兩個關(guān)鍵文件:settings.xml.rels和document.xml.rels,位于word/_rels/。
Settings.xml.rels文件顯示了一個縮短的URL,負責下載感染的下一階段:
在沙盒環(huán)境中運行該.docx文件發(fā)現(xiàn)它包含CVE-2017-0199漏洞。利用此漏洞后,該文檔將嘗試連接到遠程服務(wù)器以下載惡意文件。
攻擊者使用URL縮短服務(wù)來掩蓋惡意URL,使受害者難以識別風險,并幫助繞過可能會標記可疑URL的安全過濾器。
PDF文件看似無害,顯示某公司與銀行之間的交易。但真正的威脅在于通過縮短的URL下載的RTF文件(SHA1:539deaf1e61fb54fb998c54ca5791d2d4b83b58c)。
該文件利用公式編輯器漏洞下載VB腳本(SHA1:9740c008e7e7eef31644ebddf99452a014fc87b4)。
混淆和有效載荷投遞
VB腳本是一串連接變量和字符串的長字符串,可能是編碼或混淆的數(shù)據(jù)。
重要變量“remercear”由反復連接各種字符串文字構(gòu)成,表明它包含編碼信息或命令。
去混淆后,PowerShell代碼嘗試從兩個不同的URL下載惡意二進制文件。
第一個URL使用隱寫術(shù)將惡意軟件隱藏在圖像中:隱寫圖像
該圖像包含一個長的Base64編碼字符串,其中前六個字節(jié)解碼為'MZ',表明存在一個Windows可執(zhí)行文件。
第二個URL與IP地址通信以檢索包含反向Base64編碼字符串的TXT文件。
這增加了一層混淆,從而逃避了簡單的檢測機制。
使用Cyber Chef等工具,對字符串進行反轉(zhuǎn),并對Base64進行解碼以顯示惡意負載(SHA1:83505673169efb06ab3b99d525ce51b126bd2009)。
監(jiān)控這些進程發(fā)現(xiàn)與潛在C2服務(wù)器(IP:94[.]156[.]66[.]67:2409)的連接目前已關(guān)閉,導致TCP重新連接。
在Word文檔中使用縮短URL來分發(fā)Remcos RAT突顯了網(wǎng)絡(luò)犯罪分子不斷進化的策略。
通過理解感染鏈條并識別此類攻擊的跡象,個人或企業(yè)組織可以更好地保護其免受這些威脅。所以,請始終謹慎處理未經(jīng)請求的帶附件的電子郵件,并避免點擊來自未知來源的縮短URL。