DBatLoader 與 Remcos RAT 橫掃東歐
研究人員近日發現攻擊者使用 DBatLoader 分發 Remcos RAT,并且主要針對東歐的機構與企業進行攻擊。DBatLoader 通常會濫用公有云基礎設施來部署惡意軟件,而 Remcos RAT 也是各種網絡犯罪分子經常使用的遠控木馬。
攻擊者常常會通過釣魚郵件分發遠控木馬,也會利用存儲在壓縮文件中的 TrickGate 加載程序、惡意 ISO 文件以及嵌入圖片中的 VBScript 腳本 URL 進行傳播。最近,烏克蘭 CERT 披露了有關針對烏克蘭國家機構進行攻擊的行為,攻擊中使用了加密的壓縮文件作為電子郵件附件,最終使用 Remcos RAT 進行竊密。
釣魚郵件
分發 DBatLoader 和 Remcos 的釣魚郵件通常帶有附件,將 tar.lz 等壓縮文件偽裝成發票或投標文件等能夠讓電子郵件看起來可信的文件。釣魚郵件通常聲稱或者確實就來自與攻擊目標相關的機構或者商業組織,這使得發送發票等行為變得合理。
許多釣魚郵件是從與目標所在國家或者地區相同的頂級域名的電子郵件發送的。但這些電子郵件通常不會進行本土化,惡意附件的文本或是電子郵件文本都是使用英文表述的。
釣魚郵件示例
DBatLoader 勾結 Remcos RAT
壓縮文件 tar.lz 中可能包含 DBatLoader 的可執行文件,也可能包含 Remcos RAT。只不過,這些惡意軟件通常會使用雙擴展名或應用程序圖標偽裝成 Microsoft Office、LibreOffice 或 PDF 文檔文件。
用戶解壓縮并運行了可執行文件后,DBatLoader 會通過公有云下載后續的 Payload。根據分析,Microsoft OneDrive 和 Google Drive 的下載鏈接的生命周期不同,最長的會使用超過一個月。
調查時仍然活躍的是 DBatLoader,并且能夠定位到個人用戶。但目前尚不清楚,攻擊者使用的是自己注冊的還是竊取的 Microsoft OneDrive 和 Google Drive 賬戶來部署 DBatLoader 樣本。
隨后,在 %Public%\Libraries目錄下創建并執行 Windows 批處理腳本。該腳本使用尾部空格創建模擬受信目錄來繞過 Windows 用戶賬戶控制。這樣,攻擊者就可以在不需要用戶確認的情況下進行惡意活動。
批處理腳本
該腳本通過直接向文件系統發出請求來創建模擬可信目錄 %SystemRoot%\System32,之后將批處理腳本 KDECO.bat、合法可執行程序 easinvoker.exe 與一個惡意 DLL 文件 netutils.dll 從 %Public%\Libraries 復制到該目錄下。easinvoker.exe 很容易受到 DLL 劫持攻擊,在執行上下文加載惡意 netutils.dll 文件。easinvoker.exe 如果位于受信任的目錄中,Windows 就不會發出任何用戶賬戶控制提示。
easinvoker.exe 會加載 netutils.dll 執行 KDECO.bat 腳本:
netutils.dll 執行 KDECO.bat
為了逃避檢測,KDECO.bat 會將 C:\Users 目錄增加到 Microsoft Defender 的排除列表中,避免對其進行掃描與檢測。
powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command "Add-MpPreference -ExclusionPath 'C:\Users'"
DBatLoader 通過將自身復制到目錄 %Public%\Libraries中,并且新增注冊表 KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run為指向執行 DBatLoader 的快捷方式文件,該文件還可以通過進程注入的方式執行 Remcos 遠控木馬。
快捷方式文件示例
研究人員收集到了各種各樣的 Remcos 配置信息,大部分都啟用了鍵盤記錄與屏幕截圖竊取的功能。而用于 C&C 的域名,則使用了 Duckdns 的動態 DNS 域名。
Remcos 配置信息
給用戶與管理員的建議
為了降低風險,用戶必須對釣魚攻擊保持警惕,避免打開來源不明的附件。在處理釣魚常用的主題郵件時,一定要更加謹慎。
對于管理員來說,一共有三點注意事項:
- 對公有云的惡意網絡請求保持警惕,使用公有云就是為了使惡意通信看起來很合法,從而阻礙檢測。越來越多的攻擊者開始這樣做
- 監控 %Public%\Library 目錄中的可疑文件創建,以及帶有尾部空格的文件系統路徑操作,特別是模擬可信目錄的操作
- 將用戶賬戶控制配置為總是提醒,這樣程序要對計算機進行任何更改時用戶都會得到提醒
結論
Remcos RAT 通過使用 DBatLoader 進行分發,對東歐的組織與企業構成了重大威脅。為阻止這些攻擊,管理員必須時刻注意網絡釣魚行為,并且教育用戶提高意識避免打開來自未知發件人的附件。
