游客发表
来源:工业和信息化部网络安全威胁和漏洞信息共享平台
近日,工业共享工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测到一种活跃的和信Remcos恶意软件新变种。该变种创新性地结合了DonutLoader内存加载技术与AutoIt自动化脚本中间层调度,息化胁和信息新变显著提升了隐蔽性与对抗能力。部网
Remcos(Remote Control System)是络安漏洞一种自2016年起便广泛存在的远程访问木马(RAT)。其主要攻击目标为Windows操作系统,全威一旦感染,平台攻击者可完全控制受害主机,防范导致系统失陷、恶意敏感数据泄露、软件业务中断等严重后果。工业共享
此次发现的和信 Remcos RAT 7.2.1 Pro版本,是息化胁和信息新变Remcos家族中首个实现“DonutLoader + AutoIt”全链路融合的变种。其攻击链条复杂,部网主要包含以下阶段:
Bestellung.CMD的络安漏洞批处理文件。SyncAppvPublishingServer.vbs作为执行代理,规避传统杀软对恶意可执行文件的检测。colorcpl.exe(颜色配置程序)中执行,实现“白加黑”隐蔽驻留。部署成功后,该恶意软件具备强大的远程控制能力,包括但不限于:
* 远程监控:实时截屏、键盘记录。
* 凭证窃取:窃取浏览器保存的密码及系统登录凭证。
* 硬件控制:远程激活摄像头与麦克风,进行窃听或偷拍。
* 文件管理:上传、下载、删除或加密文件。
该变种通过多重技术手段大幅提升了防御拦截难度:
1. 全工具链合法化:全面借用PowerShell、VBScript、JavaScript等系统原生工具,替代传统恶意组件。
2. 多层编码混淆:融合三层脚本编码,结合Base64加垃圾数据混淆、XOR单字节解密。
3. 强加密保护:使用密码保护的压缩包传输载荷。
4. 内存注入技术:利用DonutLoader实现无文件落地攻击,绕过基于文件的静态查杀。
针对此类高级威胁,建议相关单位和用户立即采取以下措施:
.cmd、.vbs、.js等脚本文件。随机阅读
热门排行
友情链接