Remcos僵尸软件技术深度剖析

Remcos僵尸软件技术深度剖析

概要:

思科Talos安全研究团队最近观察到使用Remcos远程访问工具(RAT)的多个活动,该工具由一家名为Breaking Security的公司出售。虽然该公司表示它只为合法用途出售该软件,并且将撤销不遵守其EULA的用户的使用许可证,RAT为攻击者建立和运行潜在非法僵尸网络提供了便利。

Remcos的许可证单价在58欧元到389欧元不等,Breaking Security公司还为客户提供了使用各种数字货币进行支付的途径。此RAT可用于完全控制和监视所有Windows操作系统,包括Windows XP及其后的所有版本。

除了Remcos之外,Breaking Security还提供Octopus Protector——一种加密器,它允许恶意软件通过对磁盘上的软件进行加密来绕过反恶意软件产品的检测。YouTube 里Breaking Security频道上的一段视频显示了该工具能够帮助绕过几个防病毒保护。

该公司提供的其他产品包括

(1)键盘记录器,可用于记录和发送在受感染系统上进行的击键操作;

(2)大规模邮件发送程序,可用于发送大量垃圾邮件;

(3)DynDNS服务,可用于妥协后命令和控制(C2)通信。

这些工具与Remcos结合使用,为构建和维护僵尸网络提供了所需的所有基础架构。

在思科公司的高级恶意软件防护(AMP)遥测系统中,我们观察到了几次企图在各个端点上安装这种RAT的实例。如下所述,我们还看到了多个恶意活动分发了Remcos,其中许多活动使用了不同的方法来避免检测。

为了帮助Remcos的受害者,Talos提供了一个解码器脚本,可以从Remcos二进制文件中提取C2服务器地址和其他信息。有关详细信息,请参阅下面的技术详细信息部分。

技术细节

Remcos全球范围内的传播:

Talos观察到一些恶意软件活动试图将Remcos传播给各种受害者。由于在众多与黑客相关的论坛上都有Remcos的广告宣传和销售,很多不相关的参与者可能会利用这种恶意软件通过不同的方法去攻击感染系统。今年早些时候,RiskIQ公司发布了一份报告,报道了一名据称是针对土耳其国防承包商的攻击者。从那时起,他就以某些特定类项的组织为攻击对象进行攻击。Talos确认,除了国防承包商外,这名攻击者还针对其他组织,如:

(1)国际新闻机构;

(2)海事和能源部门运营的柴油设备制造商和服务提供商;

(3)能源部门内运营的暖通空调(HVAC)服务提供商。

在已知的攻击活动中,攻击始于用土耳其语精心编写的鱼叉式钓鱼电子邮件。这些电子邮件看起来好像是从土耳其政府机构发出的,并且与受害者所在组织的纳税申报有关。下面是其中一封电子邮件:

Remcos僵尸软件技术深度剖析

攻击者努力使这些电子邮件看起来像是来自土耳其税务局Gelir İdaresi Başkanlığı(GIB)的官方通信,GIB隶属于财政部,负责处理土耳其的税务问题。攻击者甚至还在其中添加了官方GIB图片和标志性文字:“感谢您使用[税务局]电子邮件服务的通知系统,此消息已由GIB邮件通知系统发送给您。请不要回复此邮件。”

与许多鱼叉式网络钓鱼活动一样,电子邮件中附加了恶意Microsoft Office文档。虽然这些文档大部分都是Excel电子表格,但我们也观察到利用Word文档的攻击者。在许多情况下,文档的内容故意显示的比较模糊,以吸引受害者启用宏命令来查看内容。下面是其中一个Word文档,看起来就好像是一份税单:

Remcos僵尸软件技术深度剖析

而许多这样的Excel电子表格大多是空白的,只包含以下图像和警告,以土耳其语提示受害者启用宏命令:

Remcos僵尸软件技术深度剖析

我们还观察到一些似乎是针对英语人群的受害者的攻击活动。下面其中一个恶意附件,看起来好像是与西班牙的旗舰航空公司Iberia相关的信笺发票:

Remcos僵尸软件技术深度剖析

除了以Iberia为主题的恶意文件外,我们还发现了多个似乎与波兰航空公司AMC Aviation相关的发票。Talos观察到用于这些Excel和Word文档的钓鱼图片大都比较类似:

Remcos僵尸软件技术深度剖析

如RiskIQ报告中所述,这些文件中的宏命令包含一个小的可执行文件,它以一系列数组的形式嵌入到文档中。执行时,宏命令重构这一文件,将其保存到系统上的特定位置并执行。指定的文件位置会在恶意文档中发生更改,包括恶意软件作者常用的目录,例如%APPDATA%和%TEMP%。另外,可执行文件名也会在文档中更改。提取的可执行文件很简单,可以作为Remcos恶意软件的下载程序。它是一个非常基本的程序,用于从攻击者控制的服务器检索出Remcos并执行它,从而感染系统。下面是一个示例:

Remcos僵尸软件技术深度剖析

Remcos是一款强大的RAT工具,可用于监视击键操作、远程屏幕捕获、管理文件以及在受感染系统上执行命令等。在某些情况下,除了Remcos之外,还观察到与这些活动相关联的分发服务器托管了其他几个恶意二进制文件。

谁是Remcos的幕后推手?

如前所述,一家名为Breaking Security的公司已在其网站上提供Remcos和其他可疑软件。网站上没有列出相关公司或人员的详细信息,但是该网站列出的一个增值税(VAT)编号(DE 308884780),表明该公司是在德国注册的。有趣的是,你可以在这个网站上查找除德国以外的几乎所有欧盟国家的公司名称和地址。由于隐私问题,德国不会共享这一信息。Breaking Security公司是在德国注册的,因此我们无法确定该公司背后的个人姓名和地址。尽管如此,还是能够找出几个产品,让我们了解谁可能是公司背后的人。

Remcos僵尸软件技术深度剖析

公共和私人增值税项目对比

Breaking Security公司的域名目前在Cloudflare后面托管,隐私权保护了注册人的信息。为了掩盖这家公司和相关软件背后操作者,我们付出了相当大的努力。在我们的分析过程中,能够发现一些疑似该组织幕后推手的线索,这些线索要么是由于操作失误,要么就是精心编造的虚假信息。

我们确定的第一件事是Viotto键盘记录器屏幕截图中的电子邮件地址和域名:

logs@viotto[.]it

viotto-security[.]net

Remcos僵尸软件技术深度剖析

虽然viotto-security[.]net域名服务器和注册人信息收到类似于breaking-security[.]net一样的保护,但是列入“发件人的电子邮件”文本字段中的viotto[.]it域名却不是这样。与此域名相关联的隐私信息可在以下屏幕截图中看到:

Remcos僵尸软件技术深度剖析

通常Talos会对这些数据进行模糊处理,但是这次由于这些内容已经随处可见,我们选择公开。我们还通过利用我们从网站收集的数据以及其他来源发现了疑似Remcos作者使用的其他电子邮件,Jabber和XMPP地址:

viotto@null[.]pm

viotto24@hotmail[.]it

viotto@xmpp[.]ru

在多个案例中,所调查的域名都在利用Cloudflare服务。这通常会掩盖托管域的服务器地址,因为DNS配置通常将名称解析指向Cloudflare IP而不是Web服务器本身的IP。一个常见的错误是,虽然域本身可能受到Cloudflare的保护,但在许多情况下,存在一个不指向Cloudflare服务器的子域,允许公开服务器IP地址。

这是breaking-security[.]net 域名的情况。虽然Cloudflare屏蔽了域名,但它们的邮件子域不受保护。为邮件子域配置的A记录如下:

mail[.]breaking-security[.]net. A 146.66.84[.]79

webmail[.]breaking-security[.]net A 146.66.84[.]79

IP地址146.66.84[.]79在SiteGround Amsterdam托管。经过各种测试,我们相信这也是托管breaking-security[.]net主网站的IP地址。

我们发现与Remcos相关的其他域名之一是viotto-security[.]net。此域目前配置为将访问重定向到主要的breaking-security[.]net域名。然而,情况并非总是如此。在Wayback Machine中搜索与该域相关联的网页,出现了一份个人简介如下所示。这个人与公司销售的各种工具的开发者之间存在多种明显的信息重叠:

Remcos僵尸软件技术深度剖析

我们还发现了Viotto在各种黑客论坛(包括自2016年以来的HackForums)上做广告、销售和支持Remcos服务的几个例子,这使得他们的意图受到怀疑。下面是其中一个例子:

Remcos僵尸软件技术深度剖析

Remcos僵尸软件技术深度剖析

虽然该公司声称如果用户使用Remcos进行非法活动,将撤销他们的用户许可证,但是即使有人举报那些非法用户正在正在使用该软件来控制200台“机器人”,Remcos的官方经销商对此似乎也不在意。

Remcos僵尸软件技术深度剖析

Remcos僵尸软件技术深度剖析

Remcos僵尸软件技术深度剖析

Viotto似乎也积极参与其他黑客论坛,包括他担任主持人的OpenSC。以下是该用户宣传Remcos和Octopus Protector的线索:

Remcos僵尸软件技术深度剖析 Remcos僵尸软件技术深度剖析

Remcos技术细节:
如其他博客文章所述,Remcos似乎是用C ++开发的:

Remcos僵尸软件技术深度剖析

正如发行说明所示,该软件一直在积极维护。开发者几乎每个月都会发布新版本:

v2.0.5 – 2018年7月14日

v2.0.4 – 2018 年4月6日

v2.0.3 – 2018 年3月29日

v2.0.1 – 2018 年2月10日

v2.0.0 – 2018年2月2日

v1.9.9 – 2017年12月17日

Remcos具有典型的RAT的功能。它能够隐藏在系统中并通过恶意软件使用户难以检测到Remcos的存在。几个例子看起来像是刚刚被复制的,只是从公开来源中略做修改。一个很好的例子是反分析部分:

Remcos僵尸软件技术深度剖析

如图所示,正在检查一个过时的工件——“SbieDll.dll”。我们认为,现在使用Sandboxie的分析师不多了。但仔细观察其他函数,也会发现这与公开可用的项目具有很高的代码相似性。可以在下面看到Remcos VMware的检测代码:

Remcos僵尸软件技术深度剖析

以下是来自aldeid.com的代码示例 :

Remcos僵尸软件技术深度剖析

上面引用的博客已经详细描述了Remcos的几个功能。我们想把重点放在rmcos的加密实现上。当需要对任何数据进行解码或编码时,几乎在任何地方都使用RC4。例如注册表条目、C2服务器网络通信或文件路径,如下所示:

Remcos僵尸软件技术深度剖析

exepath注册表数据是base64编码的RC4加密数据。解码后,它是可执行文件的路径:

C:\TEMP\1cc8f8b1487893b2b0ff118faa2333e1826ae1495b626e206ef108460d4f0fe7.exe

这是标准的RC4实现,可以在互联网上的许多代码示例中找到。他们首先在00402F01建立密钥调度算法 (KSA) S_array。

这可以转换为典型的RC4伪代码:

Remcos僵尸软件技术深度剖析

其后是00402F5B处的RC4伪随机生成算法(PRGA)。

Remcos僵尸软件技术深度剖析

哪个看起来像这样的伪代码:

Remcos僵尸软件技术深度剖析

如上面的屏幕截图所示,Remcos使用RC4加密和解密其数据,并使用PE资源部分将初始加密密钥存储在“SETTINGS”资源中。这个密钥的长度可变—-我们已经看到有40个字节的短密钥,也有超过250个字节的密钥。

Remcos僵尸软件技术深度剖析

它们按以下格式存储数据:

[Length of key]

[Encryption Key]

[Encrypted configuration data]

此加密配置数据部分包含命令和控制服务器,要执行的RAT命令和其他数据。解码后,它看起来像这样:

Remcos僵尸软件技术深度剖析

解码数据包含C2服务器,例如ejiroprecious[.]ddns[.]net,以及相应的端口号,后跟密码。此密码用于为RC4加密的C2通信生成单独的S_array。图为上面的RC4密钥调度算法(KSA)的相关部分。

Remcos僵尸软件技术深度剖析

即使使用比上例更强的密码,使用这种弱加密算法意味着每个人都可以提取密码并解密C2流量或将自己的命令注入C2通道控制RAT。好消息是,成为Remcos受害者的公司很有可能在存储网络流量和Remcos二进制文件时分析了威胁。

为了使调查人员更轻松,我们提供了一个小的解码器Python脚本,可以解码资源部分的配置数据:

Remcos僵尸软件技术深度剖析

如上所述,Remcos也对各种其他功能使用相同的加密流程。因此,解码器程序还提供了手动切换加密字节的选项。这可以用于解码像exepath之类的注册表项。

我们使用此工具提取下面的所有IOC。它使用最新的2.0.4和2.0.5版本的Remcos进行测试,但也可能适用于其他版本。

Remcos僵尸软件技术深度剖析

用户还可以将字节从网络嗅探器复制到二进制文件,并将其交给来自C2通信解密后的字节,以查看C2服务器已发送给受害者的命令。请记住使用提取的密码,例如“pass”。

结论

虽然销售Remcos的组织声称该应用程序仅供合法使用,但我们的研究表明它仍然被恶意攻击者广泛使用。在某些情况下,攻击者战略性地攻击受害者来进入作为各种关键基础设施部门供应链一部分的组织。组织应确保他们实施安全控制以对抗Remcos以及其他被恶意使用的软件。Remcos是一个在开发中的强大工具,包括增加攻击者访问权限的新功能。为了解决这个问题,组织应该继续对这种威胁以及可能在互联网上流传的此类威胁保持警惕。

覆盖范围

我们的客户可以检测和阻止此威胁的其他方法如下所示。

Remcos僵尸软件技术深度剖析

AMP非常适合防止黑客执行这些恶意软件。

思科云网络安全(CWS)或网络安全设备(WSA)Web扫描可阻止用户访问恶意网站并检测这些攻击中使用的恶意软件。

Email Security可以阻止黑客运动发送的恶意电子邮件。一代防火墙(NGFW),下一代入侵防御系统(NGIPS)和Meraki MX等网络安全设备可以检测与此威胁相关的恶意活动。

AMP威胁网格可以识别恶意二进制文件并保护所有思科安全产品。

Umbrella,我们的安全互联网网关(SIG),阻止用户连接到恶意域,IP和URL,不管用户在公司网络上还是不在公司网络。

开源Snort订阅者规则集客户可以通过下载可在Snort.org上购买的最新规则包来保持更新。

IOC

以下IOC与在分析Remcos活动期间观察到的各种恶意软件分发活动相关联。

恶意Office文件:

0409e5a5a78bfe510576b516069d4119b45a717728edb1cd346f65cfb53b2de2

0ebfbcbf8c35ff8cbf36e38799b5129c7b70c6895d5f11d1ab562a511a2ec76e

18f461b274aa21fc27491173968ebe87517795f24732ce977ccea5f627b116f9

2f81f5483bbdd78d3f6c23ea164830ae263993f349842dd1d1e6e6d055822720

3772fcfbb09ec55b4e701a5e5b4c5c9182656949e6bd96bbd758947dfdfeba62

43282cb81e28bd2b7d4086f9ba4a3c538c3d875871bdcf881e58c6b0da017824

48dec6683bd806a79493c7d9fc3a1b720d24ad8c6db4141bbec77e2aebad1396

4938f6b52e34768e2834dfacbc6f1d577f7ab0136b01c6160dd120364a1f9e1a

4e0bcef2b9251e2aaecbf6501c8df706bf449b0e12434873833c6091deb94f0e

72578440a76e491e7f6c53e39b02bd041383ecf293c90538dda82e5d1417cad1

77cf87134a04f759be3543708f0664b80a05bb8315acb19d39aaa519d1da8e92

8abcb3084bb72c1cb49aebaf0a0c221a40538a062a1b8830c1b48d913211a403

94ff6d708820dda59738401ea10eb1b0d7d98d104a998ba6cee70e728eb5f29f

9cccdb290dbbedfe54beb36d6359e711aee1b20f6b2b1563b32fb459a92d4b95

aa7a3655dc5d9e0d69137cb8ba7cc18137eff290fde8c060ac678aa938f16ec7

ad78​​b68616b803243d56593e0fdd6adeb07bfc43d0715710a2c14417bba90033

bb3e5959a76a82db52840c4c03ae2d1e766b834553cfb53ff6123331f0be5d12

c5b9c3a3bbfa89c83e1fb3955492044fd8bf61f7061ce1a0722a393e974cec7c

d3612813abf81d0911d0d9147a5fe09629af515bdb361bd42bc5a79d845f928f

e302fb178314aa574b89da065204bc6007d16c29f1dfcddcb3b1c90026cdd130

e7c3c8195ff950b0d3f7e9c23c25bb757668b9c131b141528183541fc125d613

ef5e1af8b3e0f7f6658a513a6008cbfb83710f54d8327423db4bb65fa03d3813

f2c4e058a29c213c7283be382a2e0ad97d649d02275f3c53b67a99b262e48dd2

第一阶段可执行文件:

07380d9df664ef6f998ff887129ad2ac7b11d0aba15f0d72b6e150a776c6a1ef

1e5d5226acaeac5cbcadba1faab4567b4e46b2e6724b61f8c705d99af80ca410

224009a766eef638333fa49bb85e2bb9f5428d2e61e83425204547440bb6f58d

27dd5a3466e4bade2238aa7f6d5cb7015110ceb10ba00c1769e4bc44fe80bcb8

502c4c424c8f435254953c1d32a1f7ae1e67fb88ebd7a31594afc7278dcafde3

5a9fa1448bc90a7d8f5e6ae49284cd99120c2cad714e47c65192d339dad2fc59

91032c5ddbb0447e1c772ccbe22c7966174ee014df8ada5f01085136426a0d20

9114a31330bb389fa242512ae4fd1ba0c9956f9bf9f33606d9d3561cc1b54722

9fe46627164c0858ab72a7553cba32d2240f323d54961f77b5f4f59fe18be8fa

c2307a9f18335967b3771028100021bbcf26cc66a0e47cd46b21aba4218b6f90

c51677bed0c3cfd27df7ee801da88241b659b2fa59e1c246be6db277ce8844d6

da352ba8731afee3fdbca199ce8c8916a31283c07b2f4ebaec504bda2966892b

PE32可执行文件:

可以在此处找到包含Remcos PE32可执行散列列表的文本文件。(https://alln-extcloud-storage.cisco.com/ciscoblogs/5b7d854a894cb.txt)

IP地址:

109.232.227[.]138

54.36.251[.]117

86.127.159[.]17

195.154.242[.]51

51.15.229[.]127

212.47.250[.]222

191.101.22[.]136

185.209.20[.]221

92.38.86[.]175

139.60.162[.]153

192.0.2[.]2

185.209.85[.]185

82.221.105[.]125

185.125.205[.]74

77.48.28[.]223

79.172.242[.]28

79.172.242[.]28

192.185.119[.]103

181.52.113[.]172

213.152.161[.]165

域:

dboynyz[.]pdns[.]cz

streetz[.]club

mdformo[.]ddns[.]net

mdformo1[.]ddns[.]net

vitlop[.]ddns[.]net

ns1[.]madeinserverwick[.]club

uploadtops[.]is

prince[.]jumpingcrab[.]com

timmason2[.]com

lenovoscanner[.]duckdns[.]org

lenovoscannertwo[.]duckdns[.]org

lenovoscannerone[.]duckdns[.]org

google[.]airdns[.]org

civita2[.]no-ip[.]biz

www[.]pimmas[.]com[.]tr

www[.]mervinsaat[.]com.tr

samurmakina[.]com[.]tr

www[.]paulocamarao[.]com

midatacreditoexperian[.]com[.]co

www[.]lebontour[.]com

businesslisting[.]igg[.]biz

unifscon[.]com

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/112717.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code