在当今复杂的网络安全威胁环境中,攻击者不断更新其手段和工具,以逃避安全防护和检测。近期,Fortinet 研究员张晓鹏揭示了一项新的恶意活动,其中威胁行为者对市售的 Remcos 远程访问工具(RAT) 进行了改造,利用多层脚本包装与漏洞利用来对 Microsoft Windows 设备进行全面接管。这一发现提醒我们,即使是相对老旧的恶意软件,也能够通过新技术手段重新威胁企业和用户的安全。
攻击链概述:从钓鱼邮件到设备接管
这次攻击活动始于一封 钓鱼电子邮件。攻击者通过伪装成商业订单的 Excel 文件引诱用户点击。当用户打开文件时,攻击者利用 Microsoft Office 和 WordPad 中的 远程代码执行(RCE)漏洞(CVE-2017-0199)下载并激活恶意软件负载。以下是攻击链的分步解析:
- 钓鱼邮件诱饵:用户收到一封声称包含商业订单的电子邮件,附件为 Excel 文件。
- 漏洞利用:当用户打开附件时,利用未修补的漏洞(CVE-2017-0199)启动恶意代码。
- 恶意软件下载与执行:恶意文件
dllhost.exe
被下载到受害者设备并启动,解压一批文件到%AppData%
文件夹中。 - 多层脚本包装:使用 JavaScript、VBScript 和 PowerShell 等多层脚本语言和编码方法隐藏恶意活动,以规避检测和分析。
多层脚本包装与规避检测技术
新的 Remcos 版本不仅通过使用多层脚本语言(如 JavaScript 和 PowerShell)进行代码包装,还采用了一系列规避技术,避免被安全软件检测。根据 Fortinet 的报告,恶意软件使用以下手段来隐藏其活动:
- 编码混淆:恶意代码通过 Base64 编码、URL 编码 进行多层包装。
- PowerShell 混淆:仅在 32 位 PowerShell 进程中执行高度混淆的代码,进一步避免分析。
- 反调试技术:利用
ZwSetInformationThread()
API 调用隐藏线程的存在,防止调试器检测。 - API 挂钩与规避:通过 API 模拟和异常处理跳过检测。例如,执行多个 API 指令后跳转至后续指令,从而绕过安全监控。
隐藏与加密的 Remcos RAT
一旦恶意代码完成初始化,攻击者会下载一个加密文件,该文件包含在内存中执行的 Remcos RAT 版本。这意味着整个恶意负载可以在内存中运行,无需将文件写入磁盘,从而实现无文件攻击。这种攻击手法不仅提高了隐蔽性,还使传统的基于文件的防病毒软件难以检测。
攻击目标与危害
Remcos RAT 被广泛用于 全面远程控制受感染的设备。一旦成功植入,攻击者能够:
- 远程访问和控制目标系统。
- 收集设备信息(如系统配置、用户数据)。
- 通过 C2(指挥控制)服务器发送加密的设备信息,以便进一步控制。
这些功能使 Remcos 成为一种强大的工具,既适合信息窃取,又可用于长期的网络间谍活动。
企业防御措施:补丁管理与员工安全意识培训
针对这类攻击活动,企业和用户可以采取以下多层次的安全防护措施:
1. 及时更新系统与软件
确保 Microsoft Office 和其他常用软件的 安全补丁及时更新。CVE-2017-0199 是一个早已披露的漏洞,但许多系统仍未修补,成为攻击者的目标。
2. 部署强大的端点安全防护
现代的端点保护解决方案能够检测无文件攻击和高度混淆的脚本。建议启用 行为分析和内存保护功能,有效防范高级恶意软件。
3. 增强员工安全意识
企业应定期为员工提供 网络安全培训,帮助他们识别钓鱼邮件和其他社交工程攻击的信号。以下是一些关键提示:
- 核查发件人信息:小心识别伪装成合法邮件的钓鱼信息。
- 警惕异常请求:尤其是带有紧急语言和可疑附件的邮件。
- 定期开展安全演练:模拟钓鱼攻击,测试员工的反应能力。
4. 应用多因素身份验证(MFA)
启用多因素身份验证,以增加登录系统的安全性。即使攻击者获取了凭证,MFA 也能有效阻止未经授权的访问。
5. 启用电子邮件过滤与威胁检测
使用高级电子邮件安全网关,通过 内容过滤 和 行为分析 来识别潜在的钓鱼和恶意邮件。
结论:应对不断演变的恶意软件威胁
Remcos RAT 的最新变种表明,威胁行为者正在不断演进其技术,以避开安全防护并扩大攻击影响。企业应密切关注安全公告,定期更新补丁,并投资于现代化的安全解决方案。同时,通过强化员工的安全意识培训,可以有效减少网络钓鱼和社会工程攻击带来的风险。
通过技术与培训的结合,企业可以在面对复杂威胁时保持更强的防御能力。对于网络安全团队而言,这意味着不仅要关注新兴的攻击工具和技术,还要不断提升自身的防御手段,以应对未来更具挑战性的安全威胁。