RAT関連の攻撃について最後に書いたのは久しぶりです. でも, これは新しいRATとして変更されようとしています, Remcos, 地下フォーラムで販売されていることが検出されました. の後半に最初に気づいた 2016, 悪意のあるツールが更新され、新しい機能が追加されました.
画像: フォーティネット
その最初のペイロードは最近野生で配布されました, フォーティネットの研究者によって明らかにされたように. Remcosの最新バージョンはv1.7.3です。, そしてそれはのために売られています $58-$389, ライセンス期間と必要なマスターとクライアントの最大数によって異なります, 研究者は言う.
関連している: 多目的AlienSpyRAT攻撃 400,000 国際的な犠牲者
Remcos RAT 2017 攻撃
フォーティネットは、マクロを含む悪意のあるMicrosoftOfficeドキュメントの助けを借りて配布されているRATを発見したと述べています (ファイル名Quotation.xlsまたはQuotation.doc). ドキュメントの構造は、MicrosoftWindowsのUACセキュリティをバイパスするために特別に作成された悪意のあるドキュメントマクロを示しています. その結果、マルウェアは高い特権で実行されます.
ドキュメントに含まれるマクロは難読化されています. 難読化は、実際の文字列にガベージ文字を追加することによって行われます. マクロは、特定のマルウェアをダウンロードして実行するシェルコマンドを実行します.
ダウンロードしたマルウェアを高いシステム権限で実行するには, 既知のUACバイパス技術を利用します. Microsoftのイベントビューアで実行しようとします (eventvwr.exe) レジストリをハイジャックすることによって (HKCU Software Classes mscfile shell open command ) Microsoft管理コンソールのパスを見つけるためにクエリを実行する (mmc.exe). イベントビューアは、そのパスにあるものをすべて実行するだけです。. マクロのシェルコマンドは、そのレジストリエントリの値をマルウェアの場所に置き換えるため, 正規のmmc.exeの代わりにマルウェアが実行されます.
関連している: マルウェアの難読化–感染を成功させる秘訣
Remcos RATは、UPXおよびMPRESS1パッカーのみを使用して、サーバーコンポーネントを圧縮および難読化します。. しかし、Fortinerによって分析されたサンプルは、余分なパッカーを明らかにしました, カスタムのもの, MPRESS1の上に. 追加の難読化は見つかりませんでした. サーバーコンポーネントについて, 最新のRemcosv1.7.3Proバリアントを使用して作成されました, 1月発売 23, 2017.
完全な技術的開示について, 公式を参照してください 分析.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: