研究人員近日發(fā)現(xiàn)攻擊者使用 DBatLoader 分發(fā) Remcos RAT，并且主要針對東歐的機(jī)構(gòu)與企業(yè)進(jìn)行攻擊。DBatLoader 通常會濫用公有云基礎(chǔ)設(shè)施來部署惡意軟件，而 Remcos RAT 也是各種網(wǎng)絡(luò)犯罪分子經(jīng)常使用的遠(yuǎn)控木馬。

攻擊者常常會通過釣魚郵件分發(fā)遠(yuǎn)控木馬，也會利用存儲在壓縮文件中的 TrickGate 加載程序、惡意 ISO 文件以及嵌入圖片中的 VBScript 腳本 URL 進(jìn)行傳播。最近，烏克蘭 CERT 披露了有關(guān)針對烏克蘭國家機(jī)構(gòu)進(jìn)行攻擊的行為，攻擊中使用了加密的壓縮文件作為電子郵件附件，最終使用 Remcos RAT 進(jìn)行竊密。

釣魚郵件

分發(fā) DBatLoader 和 Remcos 的釣魚郵件通常帶有附件，將 tar.lz 等壓縮文件偽裝成發(fā)票或投標(biāo)文件等能夠讓電子郵件看起來可信的文件。釣魚郵件通常聲稱或者確實就來自與攻擊目標(biāo)相關(guān)的機(jī)構(gòu)或者商業(yè)組織，這使得發(fā)送發(fā)票等行為變得合理。

許多釣魚郵件是從與目標(biāo)所在國家或者地區(qū)相同的頂級域名的電子郵件發(fā)送的。但這些電子郵件通常不會進(jìn)行本土化，惡意附件的文本或是電子郵件文本都是使用英文表述的。

釣魚郵件示例

DBatLoader 勾結(jié) Remcos RAT

壓縮文件 tar.lz 中可能包含 DBatLoader 的可執(zhí)行文件，也可能包含 Remcos RAT。只不過，這些惡意軟件通常會使用雙擴(kuò)展名或應(yīng)用程序圖標(biāo)偽裝成 Microsoft Office、LibreOffice 或 PDF 文檔文件。

用戶解壓縮并運(yùn)行了可執(zhí)行文件后，DBatLoader 會通過公有云下載后續(xù)的 Payload。根據(jù)分析，Microsoft OneDrive 和 Google Drive 的下載鏈接的生命周期不同，最長的會使用超過一個月。

調(diào)查時仍然活躍的是 DBatLoader，并且能夠定位到個人用戶。但目前尚不清楚，攻擊者使用的是自己注冊的還是竊取的 Microsoft OneDrive 和 Google Drive 賬戶來部署 DBatLoader 樣本。

隨后，在 %Public%\Libraries目錄下創(chuàng)建并執(zhí)行 Windows 批處理腳本。該腳本使用尾部空格創(chuàng)建模擬受信目錄來繞過 Windows 用戶賬戶控制。這樣，攻擊者就可以在不需要用戶確認(rèn)的情況下進(jìn)行惡意活動。

批處理腳本

該腳本通過直接向文件系統(tǒng)發(fā)出請求來創(chuàng)建模擬可信目錄 %SystemRoot%\System32，之后將批處理腳本 KDECO.bat、合法可執(zhí)行程序 easinvoker.exe 與一個惡意 DLL 文件 netutils.dll 從 %Public%\Libraries 復(fù)制到該目錄下。easinvoker.exe 很容易受到 DLL 劫持攻擊，在執(zhí)行上下文加載惡意 netutils.dll 文件。easinvoker.exe 如果位于受信任的目錄中，Windows 就不會發(fā)出任何用戶賬戶控制提示。

easinvoker.exe 會加載 netutils.dll 執(zhí)行 KDECO.bat 腳本：

netutils.dll 執(zhí)行 KDECO.bat

為了逃避檢測，KDECO.bat 會將 C:\Users 目錄增加到 Microsoft Defender 的排除列表中，避免對其進(jìn)行掃描與檢測：

powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command "Add-MpPreference -ExclusionPath 'C:\Users'"

DBatLoader 通過將自身復(fù)制到目錄 %Public%\Libraries中，并且新增注冊表 KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run為指向執(zhí)行 DBatLoader 的快捷方式文件，該文件還可以通過進(jìn)程注入的方式執(zhí)行 Remcos 遠(yuǎn)控木馬。

快捷方式文件示例

研究人員收集到了各種各樣的 Remcos 配置信息，大部分都啟用了鍵盤記錄與屏幕截圖竊取的功能。而用于 C&C 的域名，則使用了 Duckdns 的動態(tài) DNS 域名。

Remcos 配置信息

給用戶與管理員的建議

為了降低風(fēng)險，用戶必須對釣魚攻擊保持警惕，避免打開來源不明的附件。在處理釣魚常用的主題郵件時，一定要更加謹(jǐn)慎。

對于管理員來說，一共有三點注意事項：

• 對公有云的惡意網(wǎng)絡(luò)請求保持警惕，使用公有云就是為了使惡意通信看起來很合法，從而阻礙檢測。越來越多的攻擊者開始這樣做
• 監(jiān)控 %Public%\Library 目錄中的可疑文件創(chuàng)建，以及帶有尾部空格的文件系統(tǒng)路徑操作，特別是模擬可信目錄的操作
• 將用戶賬戶控制配置為總是提醒，這樣程序要對計算機(jī)進(jìn)行任何更改時用戶都會得到提醒

結(jié)論

Remcos RAT 通過使用 DBatLoader 進(jìn)行分發(fā)，對東歐的組織與企業(yè)構(gòu)成了重大威脅。為阻止這些攻擊，管理員必須時刻注意網(wǎng)絡(luò)釣魚行為，并且教育用戶提高意識避免打開來自未知發(fā)件人的附件。