DBatLoader 与 Remcos RAT 横扫东欧

FB客服

发布于 2023-03-29 16:06:41

8940

发布于 2023-03-29 16:06:41

文章被收录于专栏：FreeBuf

研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT，并且主要针对东欧的机构与企业进行攻击。DBatLoader 通常会滥用公有云基础设施来部署恶意软件，而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。

攻击者常常会通过钓鱼邮件分发远控木马，也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本 URL 进行传播。最近，乌克兰 CERT 披露了有关针对乌克兰国家机构进行攻击的行为，攻击中使用了加密的压缩文件作为电子邮件附件，最终使用 Remcos RAT 进行窃密。

钓鱼邮件

分发 DBatLoader 和 Remcos 的钓鱼邮件通常带有附件，将 tar.lz 等压缩文件伪装成发票或投标文件等能够让电子邮件看起来可信的文件。钓鱼邮件通常声称或者确实就来自与攻击目标相关的机构或者商业组织，这使得发送发票等行为变得合理。

许多钓鱼邮件是从与目标所在国家或者地区相同的顶级域名的电子邮件发送的。但这些电子邮件通常不会进行本土化，恶意附件的文本或是电子邮件文本都是使用英文表述的。

钓鱼邮件示例

DBatLoader 勾结 Remcos RAT

压缩文件 tar.lz 中可能包含 DBatLoader 的可执行文件，也可能包含 Remcos RAT。只不过，这些恶意软件通常会使用双扩展名或应用程序图标伪装成 Microsoft Office、LibreOffice 或 PDF 文档文件。

用户解压缩并运行了可执行文件后，DBatLoader 会通过公有云下载后续的 Payload。根据分析，Microsoft OneDrive 和 Google Drive 的下载链接的生命周期不同，最长的会使用超过一个月。

调查时仍然活跃的是 DBatLoader，并且能够定位到个人用户。但目前尚不清楚，攻击者使用的是自己注册的还是窃取的 Microsoft OneDrive 和 Google Drive 账户来部署 DBatLoader 样本。

随后，在 %Public%\Libraries目录下创建并执行 Windows 批处理脚本。该脚本使用尾部空格创建模拟受信目录来绕过 Windows 用户账户控制。这样，攻击者就可以在不需要用户确认的情况下进行恶意活动。

批处理脚本

该脚本通过直接向文件系统发出请求来创建模拟可信目录 %SystemRoot%\System32，之后将批处理脚本 KDECO.bat、合法可执行程序 easinvoker.exe 与一个恶意 DLL 文件 netutils.dll 从 %Public%\Libraries 复制到该目录下。easinvoker.exe 很容易受到 DLL 劫持攻击，在执行上下文加载恶意 netutils.dll 文件。easinvoker.exe 如果位于受信任的目录中，Windows 就不会发出任何用户账户控制提示。

easinvoker.exe 会加载 netutils.dll 执行 KDECO.bat 脚本：

netutils.dll 执行 KDECO.bat

为了逃避检测，KDECO.bat 会将 C:\Users 目录增加到 Microsoft Defender 的排除列表中，避免对其进行扫描与检测。

powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command "Add-MpPreference -ExclusionPath 'C:\Users'"

DBatLoader 通过将自身复制到目录 %Public%\Libraries中，并新增注册表 KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run为指向执行 DBatLoader 的快捷方式文件，该文件还可以通过进程注入的方式执行 Remcos 远控木马。