新闻中心 > 新闻详情

安芯网盾:暴击Remcos远控木马

2021 年 02 月 09 日

近日,最新版Remcos远控木马被发现利用Office文档传播,已有厂商针对最新的Remcos远控木马进行了详细分析,对其传播过程我们简单的总结为以下几个步骤:

Remcos远控木马传播分析

1、发送一封钓鱼邮件作为攻击的首发方式,邮件包含一个xls文件的附件,受攻击者下载并打开恶意的xls文件即遭受到攻击。

2、受攻击者打开恶意的xls文件后会调用本地powershell执行一段命令,从远端网站“ http://aventuramotorhome.com/ ”下载一个vbs文件,存放在C:\User\用户名\AppData\Roaming下并重命名,然后执行重命名后的vbs文件。

3、执行vbs文件之后会在注册表中设置自启动,并复制到C:\User\用户名\AppData\local目录下,然后启动powershell并执行一段命令,从远端“ http://aventuramotorhome.com/ ”下载一个jpg文件。

4、将jpg里的内容解密等一系列操作得到dll,之后把dll里的加密数据解密到内存中执行,从而发动C&C攻击,主要目的是为了绕过检测。

5、木马执行后受攻击的电脑将被远程控制。

通过观察我们不难发现,步骤1是伪装成xls文件诱骗受攻击者点击,步骤2是通过powershell下载潜伏文件,步骤3是设置自启动和通过powershell下载远控木马。

其实不是,只要能在本地执行powershell命令,从远端下载jpg文件,然后将jpg里的内容解密出来等一系列操作得到dll,之后把dll里的加密数据解密到内存中执行,从而发动C&C攻击。这个攻击中使用了一类大名鼎鼎的攻击:无文件攻击,当然无文件攻击是一个很大的范畴,这个样本只使用了部分无文件攻击手段。

远控木马Remcos由来已久,在2016年开始就被公开售卖的远控工具,虽然其发布者声称该程序仅供合法使用,但多次被曝出攻击者利用该远控木马进行攻击,在漏洞攻击事件中表现非常活跃,“新冠肺炎”期间也多次发现它的身影,那么Remcos真那么难防吗?

安芯神甲智能内存保护系统近日成功拦截了最新版Remcos远控木马的无文件攻击,如下图所示

木马攻击

对启动敏感进程的检测,如下图所示:

Remcos远控木马

在信息化高速发展的今天,网络攻击的方式越来越多样和复杂,高级的攻击者懂得利用现有的安全防护方案的盲点,深知利用0day、无文件攻击来突破现有的安全防护方案。安全防护方案如果追在攻击者的后面,需要用户经常更新应用版本、安装系统补丁、并将安全软件病毒库升级等方式修补,不可避免的会越来越力不从心,从而陷入“道高一尺魔高一丈” 的局面。

安芯网盾提出了一种全新的内存保护思路,能检测到内存中的异常行为,在应用层、系统层、硬件层有机结合形成立体防护,能够帮助用户实现在未打补丁情况下,极大减少因漏洞攻击而遭受到风险,在不影响性能的情况下保护所有客户机的安全。内存保护是安芯网盾核心工程师们多年思考和研究的结晶,通过内存这一层面做防御,将复杂和多变的网络攻击化繁为简,在攻击的关键路径进行防御,对攻击者实施降维打击。

隐私政策     法律信息     Copyright©️2019-2021 ANXINSEC All Rights Reserved | 京ICP备19024522号 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24