网络安全公司趋势科技（Trend Micro）于近日发文称，他们在上个月捕获到了一封伪装成新订单通知的钓鱼电子邮件，包含在其中的恶意附件携带了一种名为“Remcos”的远程访问木马（RAT，Remote Access Trojan）。

趋势科技表示，Remcos RAT于2016年首次出现，在当时被其开发者作为即服务在暗网黑客论坛上出售。在2017年，Remcos RAT主要通过恶意PowerPoint幻灯片传播，其中包含了针对CVE-2017-0199的漏洞利用程序。

最新捕获的样本表明，攻击者似乎已经更换了Remcos RAT的传播媒介——开始使用网络钓鱼电子邮件。

趋势科技捕获的钓鱼电子邮件样本使用了电子邮箱地址“rud-division@alkuhaimi[.]com”以及主题“RE: NEW ORDER 573923”，恶意附件的文件名为“Purchase order201900512.ace”，一个ACE压缩文件，其中包含了AutoIt加载程序/打包器Boom.exe。

分析加载程序/打包器Boom.exe

将可执行文件转换为AutoIt脚本后，趋势科技发现恶意代码经过了多层混淆，核心函数如下图1所示：

图1.经过混淆处理的核心函数

图2.用于去混淆的函数

Boom.exe文件主要负责在受感染系统上实现持久性、执行反分析检测以及释放并执行Remcos RAT。图2中的代码段首先会计算出数组中的值，然后使用函数“ChrW()”将Unicode码转换成字符。

图3.字符串解码示例

在某些情况下，恶意软件在解密后会使用名为“BinaryToString()”的AutoIt函数对下一层进行去混淆处理，如图4所示：

图4. AutoIt代码解码为字符串

在去混淆后，可以看到AutoIt代码包含了大量用于阻碍分析的垃圾代码。

图5.垃圾代码示例

接下来，恶意软件将在“%AppData%RoamingappidapiUevTemplateBaselineGenerator.exe”中创建自己的副本，并从其资源部分加载主有效载荷（Remcos RAT）。

然后，恶意软件将准备环境来执行主有效载荷——通过执行以下Shellcode（frenchy_shellcode version 1）来实现这一点：

图6.Frenchy_ShellCode_001

图7.执行并解码Frenchy Shellcode

图8. Frenchy Shellcode变种

Remcos RAT的解码和加载由函数“DecData()”负责，它首先会从其资源部分加载数据，然后反转所有数据并将“%$=”替换为“/”。

图9. AutoIt解码主有效载荷：代码+编码资源（Remcos RAT）

图10. AutoIt解码主有效载荷：仅限代码

然后，它将使用如下代码解码base64 PE文件，即主有效载荷：

$a_call = DllCall(“Crypt32.dll”, “int”, “CryptStringToBinary”, “str”, $sData, “int”, 0, “int”, 1, “ptr”, 0, “ptr”, DllStructGetPtr($struct, 1), “ptr”, 0, “ptr”, 0)

图11.从AutoIt解码Remcos RAT

加载程序的功能

1.反虚拟机

通过检查正在运行的进程列表中的vmtoolsd.exe和vbox.exe，这个AutoIt加载程序能够检测虚拟机环境。

图12.用于实现反虚拟机功能的函数

2.UAC绕过

根据windows版本，恶意软件会使用内置的事件查看器实用程序（eventvwr）或fodhelper来绕过用户帐户控制（User Account Contro，UAC）。

图13.用于实现UAC绕过功能的函数

3.反调试

如果加载程序在系统中检测到IsdebuggerPresent，它将显示消息“This is a third-party compiled AutoIt script（这是第三方编译的AutoIt脚本）”并退出程序。

图14.AutoIt加载程序检查调试器

主有效载荷Remcos RAT

Remcos RAT最初被作为一种合法的远程访问工具出售，允许用户远程控制某个系统，后来才遭到了网络犯罪分子的滥用。

Remcos RAT具有多种功能，包括接收并执行命令、按键记录、屏幕截图以及使用麦克风和网络摄像头录制音频和视频等。

Remcos RAT支持的命令也有很多，其中一部分如下图所示：

图15.Remcos RAT的命令列表

还有一个命令是值得注意的，那就是“consolecmd”，用于在受感染系统上执行shell命令：

图16. Remcos RAT命令示例

趋势科技表示，最新捕获的这个Remcos RAT变种与之前的版本（Backdoor.Win32.Remcosrat.A）有很多相似之处，主要的区别就是使用了AutoIt打包器以及包含了不同的混淆和反调试技术。

安全建议

鉴于最新的Remcos RAT变种是通过网络钓鱼电子邮件传播的，因此建议大家平时不要打开未知来源的电子邮件，尤其是那些带有附件的电子邮件。

另外，不明链接也一定不要点击，以免感染恶意软件。再者就是定期更新系统和已安装的软件，以及应用白名单、关闭无用的端口、禁用无用的组件。