歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
改良版 Remcos RAT 鎖定 Microsoft Windows 用戶發動攻擊
2024 / 11 / 19
編輯部
Windows 用戶正面臨新興威脅:經過惡意改造的 Remcos 遠端管理工具正在進行一場持續性的攻擊活動,利用 Microsoft Office 和 WordPad 中一個已知的遠端程式碼執行(RCE)漏洞,可能導致受害者的裝置完全被駭客接管。
駭客已經對商業版的 Remcos 遠端存取工具進行惡意改造,將惡意程式碼包裝在多層不同的腳本語言中,包括 JavaScript、VBScript 和 PowerShell。目的是為了躲避偵測和分析,並最終完全控制 Microsoft Windows 裝置。
根據 Fortinet 研究員的最新發現,Windows 使用者正面臨一波新的攻擊浪潮。這次攻擊運用了改良版的 Remcos 遠端存取木馬(RAT),透過 Microsoft Office 和 WordPad 中未修補的檔案解析漏洞,執行遠端程式碼(RCE)。
此次攻擊鏈從一封釣魚電子郵件開始,意圖誘使使用者點擊偽裝成商業訂單的 Excel 檔案。一旦檔案被開啟,它會利用一個已知的資安漏洞(CVE-2017-0199)來下載惡意程式。
改良版 Remcos 強化規避分析能力
當下載的可執行檔 dllhost.exe 啟動時,會將一批檔案解壓至
%AppData%
資料夾,其中隱藏了一些關鍵資料。隨後,主機便會執行一段經過高度混淆的 PowerShell 程式碼。值得注意的是,這段程式碼僅能在 32 位元的 PowerShell 環境中運行。而這種特定的執行限制可能是駭客為了規避某些安全軟體偵測而採取的策略。
接下來,惡意程式會執行自解密程式碼。這些程式碼巧妙地隱藏在大量無用的程式碼中,以避免被分析。然而,這只是新版 Remcos RAT 採用的眾多複雜規避技術之一。根據報告,這次攻擊活動在整個攻擊鏈中設置了多重分析障礙。這些障礙包括安裝向量化例外處理程序,以及以不連貫且難以追蹤的方式獲取和呼叫系統 API。
Remcos RAT 還使用了一個名為「ZwSetInformationThread()」的 API 來檢測除錯器。
當惡意程式碼呼叫該 API 時,傳入 ThreadHideFromDebugger(0x11)參數和當前執行緒(0xFFFFFFFE)。這個 Windows 機制能隱藏執行緒,使除錯器無法察覺其存在。若有除錯器附加到當前程序,一旦呼叫此 API,程序就會立即退出。
此外,Remcos RAT 還運用了 API 掛鉤(API hooking)技術來規避偵測。當觸發任何偵測條件時,當前的處理程序(PowerShell.exe)可能會無回應、當機或意外退出。
本文轉載自 DarkReading。
Remcos RAT
RCE漏洞
API hooking
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
資安人科技網
文章推薦
俄羅斯駭客組織BlueAlpha濫用Cloudflare Tunnels發動攻擊
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
聯合情資示警:中國政府支持的網路間諜行動鎖定各國電信網路