Det har været et stykke tid siden vi sidst skrev om RAT-relaterede angreb. Men, dette er ved at ændre sig som а ny RAT, Remcos, Der er registreret bliver solgt på underjordiske fora. Først bemærket i anden halvdel af 2016, ondsindet værktøj er nu blevet opdateret, og nye funktioner er blevet tilføjet.
Billede: Fortinet
Dens første nyttelast blev for nylig uddelt i naturen, som afsløret af Fortinet forskere. Den seneste version af Remcos er v1.7.3, og det bliver solgt til $58-$389, afhængigt af den periode, licens og det maksimale antal mestre og klienter behov, siger forskerne.
Relaterede: Multi-Purpose AlienSpy RAT angreb 400,000 Internationale ofre
Remcos RAT 2017 angreb
Fortinet siger det opdagede RAT fordeles ved hjælp af ondsindede Microsoft Office-dokumenter, der indeholder makroer (filnavne Quotation.xls eller Quotation.doc). Strukturen af dokumenterne viser en ondsindet dokument makro specielt fremstillet til at omgå Microsoft Windows 'UAC sikkerhed. Som et resultat malware udføres med høj privilegium.
Makroen er indeholdt i dokumenterne er korrumperet. Formørkelse gøres ved at tilføje skrald tegn til selve strengen. Makroen udfører en shell kommando der downloader og kører den særlige malware.
For at udføre den downloadede malware med høj systemet privilegium, det udnytter en allerede kendt UAC-bypass teknik. Den forsøger at udføre den under Microsofts Logbog (eventvwr.exe) ved at kapre et register (HKCU Software Classes mscfile shell open command ) at det forespørgsler at finde stien til den Microsoft Management Console (mmc.exe). Den Logbog simpelthen udfører hvad der er i den pågældende sti. Da makroens shell kommando erstatter værdien fra denne post i registreringsdatabasen til malware placering, malware udføres i stedet for den legitime mmc.exe.
Relaterede: Formørkelse i Malware - nøglen til en vellykket infektion
Den Remcos RAT bruger kun UPX og MPRESS1 pakkere til at komprimere og obfuscate sin server komponent. Men den analyseret af Fortiner prøve afslørede en ekstra pakker, en brugerdefineret én, oven på MPRESS1. Ingen yderligere formørkelse blev fundet. Som for serverkomponent, det blev skabt ved hjælp af den nyeste Remcos v1.7.3 Pro variant, udgivet i januar 23, 2017.
For fuld teknisk videregivelse, henvise til den officielle analyse.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: