日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
DBatLoader 與 Remcos RAT 橫掃東歐

研究人員近日發(fā)現(xiàn)攻擊者使用 DBatLoader 分發(fā) Remcos RAT,并且主要針對(duì)東歐的機(jī)構(gòu)與企業(yè)進(jìn)行攻擊。DBatLoader 通常會(huì)濫用公有云基礎(chǔ)設(shè)施來(lái)部署惡意軟件,而 Remcos RAT 也是各種網(wǎng)絡(luò)犯罪分子經(jīng)常使用的遠(yuǎn)控木馬。

攻擊者常常會(huì)通過(guò)釣魚(yú)郵件分發(fā)遠(yuǎn)控木馬,也會(huì)利用存儲(chǔ)在壓縮文件中的 TrickGate 加載程序、惡意 ISO 文件以及嵌入圖片中的 VBScript 腳本 URL 進(jìn)行傳播。最近,烏克蘭 CERT 披露了有關(guān)針對(duì)烏克蘭國(guó)家機(jī)構(gòu)進(jìn)行攻擊的行為,攻擊中使用了加密的壓縮文件作為電子郵件附件,最終使用 Remcos RAT 進(jìn)行竊密。

釣魚(yú)郵件

分發(fā) DBatLoader 和 Remcos 的釣魚(yú)郵件通常帶有附件,將 tar.lz 等壓縮文件偽裝成發(fā)票或投標(biāo)文件等能夠讓電子郵件看起來(lái)可信的文件。釣魚(yú)郵件通常聲稱(chēng)或者確實(shí)就來(lái)自與攻擊目標(biāo)相關(guān)的機(jī)構(gòu)或者商業(yè)組織,這使得發(fā)送發(fā)票等行為變得合理。

許多釣魚(yú)郵件是從與目標(biāo)所在國(guó)家或者地區(qū)相同的頂級(jí)域名的電子郵件發(fā)送的。但這些電子郵件通常不會(huì)進(jìn)行本土化,惡意附件的文本或是電子郵件文本都是使用英文表述的。

釣魚(yú)郵件示例

DBatLoader 勾結(jié) Remcos RAT

壓縮文件 tar.lz 中可能包含 DBatLoader 的可執(zhí)行文件,也可能包含 Remcos RAT。只不過(guò),這些惡意軟件通常會(huì)使用雙擴(kuò)展名或應(yīng)用程序圖標(biāo)偽裝成 Microsoft Office、LibreOffice 或 PDF 文檔文件。

用戶(hù)解壓縮并運(yùn)行了可執(zhí)行文件后,DBatLoader 會(huì)通過(guò)公有云下載后續(xù)的 Payload。根據(jù)分析,Microsoft OneDrive 和 Google Drive 的下載鏈接的生命周期不同,最長(zhǎng)的會(huì)使用超過(guò)一個(gè)月。

調(diào)查時(shí)仍然活躍的是 DBatLoader,并且能夠定位到個(gè)人用戶(hù)。但目前尚不清楚,攻擊者使用的是自己注冊(cè)的還是竊取的 Microsoft OneDrive 和 Google Drive 賬戶(hù)來(lái)部署 DBatLoader 樣本。

隨后,在 %Public%\Libraries目錄下創(chuàng)建并執(zhí)行 Windows 批處理腳本。該腳本使用尾部空格創(chuàng)建模擬受信目錄來(lái)繞過(guò) Windows 用戶(hù)賬戶(hù)控制。這樣,攻擊者就可以在不需要用戶(hù)確認(rèn)的情況下進(jìn)行惡意活動(dòng)。

批處理腳本

該腳本通過(guò)直接向文件系統(tǒng)發(fā)出請(qǐng)求來(lái)創(chuàng)建模擬可信目錄 %SystemRoot%\System32,之后將批處理腳本 KDECO.bat、合法可執(zhí)行程序 easinvoker.exe 與一個(gè)惡意 DLL 文件 netutils.dll 從 %Public%\Libraries 復(fù)制到該目錄下。easinvoker.exe 很容易受到 DLL 劫持攻擊,在執(zhí)行上下文加載惡意 netutils.dll 文件。easinvoker.exe 如果位于受信任的目錄中,Windows 就不會(huì)發(fā)出任何用戶(hù)賬戶(hù)控制提示。

easinvoker.exe 會(huì)加載 netutils.dll 執(zhí)行 KDECO.bat 腳本:

netutils.dll 執(zhí)行 KDECO.bat

為了逃避檢測(cè),KDECO.bat 會(huì)將 C:\Users 目錄增加到 Microsoft Defender 的排除列表中,避免對(duì)其進(jìn)行掃描與檢測(cè):

powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command "Add-MpPreference -ExclusionPath 'C:\Users'"

DBatLoader 通過(guò)將自身復(fù)制到目錄 %Public%\Libraries中,并且新增注冊(cè)表 KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run為指向執(zhí)行 DBatLoader 的快捷方式文件,該文件還可以通過(guò)進(jìn)程注入的方式執(zhí)行 Remcos 遠(yuǎn)控木馬。

快捷方式文件示例

研究人員收集到了各種各樣的 Remcos 配置信息,大部分都啟用了鍵盤(pán)記錄與屏幕截圖竊取的功能。而用于 C&C 的域名,則使用了 Duckdns 的動(dòng)態(tài) DNS 域名。

Remcos 配置信息

給用戶(hù)與管理員的建議

為了降低風(fēng)險(xiǎn),用戶(hù)必須對(duì)釣魚(yú)攻擊保持警惕,避免打開(kāi)來(lái)源不明的附件。在處理釣魚(yú)常用的主題郵件時(shí),一定要更加謹(jǐn)慎。

對(duì)于管理員來(lái)說(shuō),一共有三點(diǎn)注意事項(xiàng):

  • 對(duì)公有云的惡意網(wǎng)絡(luò)請(qǐng)求保持警惕,使用公有云就是為了使惡意通信看起來(lái)很合法,從而阻礙檢測(cè)。越來(lái)越多的攻擊者開(kāi)始這樣做
  • 監(jiān)控 %Public%\Library 目錄中的可疑文件創(chuàng)建,以及帶有尾部空格的文件系統(tǒng)路徑操作,特別是模擬可信目錄的操作
  • 將用戶(hù)賬戶(hù)控制配置為總是提醒,這樣程序要對(duì)計(jì)算機(jī)進(jìn)行任何更改時(shí)用戶(hù)都會(huì)得到提醒

結(jié)論

Remcos RAT 通過(guò)使用 DBatLoader 進(jìn)行分發(fā),對(duì)東歐的組織與企業(yè)構(gòu)成了重大威脅。為阻止這些攻擊,管理員必須時(shí)刻注意網(wǎng)絡(luò)釣魚(yú)行為,并且教育用戶(hù)提高意識(shí)避免打開(kāi)來(lái)自未知發(fā)件人的附件。


網(wǎng)站名稱(chēng):DBatLoader 與 Remcos RAT 橫掃東歐
轉(zhuǎn)載來(lái)源:http://m.5511xx.com/article/djpghpp.html