改良版 Remcos RAT 鎖定 Microsoft Windows 用戶發動攻擊

Windows 用戶正面臨新興威脅：經過惡意改造的 Remcos 遠端管理工具正在進行一場持續性的攻擊活動，利用 Microsoft Office 和 WordPad 中一個已知的遠端程式碼執行（RCE）漏洞，可能導致受害者的裝置完全被駭客接管。

駭客已經對商業版的 Remcos 遠端存取工具進行惡意改造，將惡意程式碼包裝在多層不同的腳本語言中，包括 JavaScript、VBScript 和 PowerShell。目的是為了躲避偵測和分析，並最終完全控制 Microsoft Windows 裝置。

根據 Fortinet 研究員的最新發現，Windows 使用者正面臨一波新的攻擊浪潮。這次攻擊運用了改良版的 Remcos 遠端存取木馬（RAT），透過 Microsoft Office 和 WordPad 中未修補的檔案解析漏洞，執行遠端程式碼（RCE）。

此次攻擊鏈從一封釣魚電子郵件開始，意圖誘使使用者點擊偽裝成商業訂單的 Excel 檔案。一旦檔案被開啟，它會利用一個已知的資安漏洞（CVE-2017-0199）來下載惡意程式。

改良版 Remcos 強化規避分析能力

當下載的可執行檔 dllhost.exe 啟動時，會將一批檔案解壓至 %AppData% 資料夾，其中隱藏了一些關鍵資料。隨後，主機便會執行一段經過高度混淆的 PowerShell 程式碼。值得注意的是，這段程式碼僅能在 32 位元的 PowerShell 環境中運行。而這種特定的執行限制可能是駭客為了規避某些安全軟體偵測而採取的策略。

接下來，惡意程式會執行自解密程式碼。這些程式碼巧妙地隱藏在大量無用的程式碼中，以避免被分析。然而，這只是新版 Remcos RAT 採用的眾多複雜規避技術之一。根據報告，這次攻擊活動在整個攻擊鏈中設置了多重分析障礙。這些障礙包括安裝向量化例外處理程序，以及以不連貫且難以追蹤的方式獲取和呼叫系統 API。

Remcos RAT 還使用了一個名為「ZwSetInformationThread()」的 API 來檢測除錯器。當惡意程式碼呼叫該 API 時，傳入 ThreadHideFromDebugger（0x11）參數和當前執行緒（0xFFFFFFFE）。這個 Windows 機制能隱藏執行緒，使除錯器無法察覺其存在。若有除錯器附加到當前程序，一旦呼叫此 API，程序就會立即退出。

此外，Remcos RAT 還運用了 API 掛鉤（API hooking）技術來規避偵測。當觸發任何偵測條件時，當前的處理程序（PowerShell.exe）可能會無回應、當機或意外退出。

本文轉載自 DarkReading。