DBatLoader 与 Remcos RAT 横扫东欧

网络安全淼叔

于 2024-06-20 15:15:00 发布

阅读量1k

点赞数 20

文章标签：安全 tcp/ip 网络协议网安入门网络网络安全

本文链接：https://blog.csdn.net/2401_84488537/article/details/139823984

版权

研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT，并且主要针对东欧的机构与企业进行攻击。DBatLoader 通常会滥用公有云基础设施来部署恶意软件，而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。

攻击者常常会通过钓鱼邮件分发远控木马，也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本 URL 进行传播。最近，乌克兰 CERT 披露了有关针对乌克兰国家机构进行攻击的行为，攻击中使用了加密的压缩文件作为电子邮件附件，最终使用 Remcos RAT 进行窃密。

钓鱼邮件

分发 DBatLoader 和 Remcos 的钓鱼邮件通常带有附件，将 tar.lz 等压缩文件伪装成发票或投标文件等能够让电子邮件看起来可信的文件。钓鱼邮件通常声称或者确实就来自与攻击目标相关的机构或者商业组织，这使得发送发票等行为变得合理。

许多钓鱼邮件是从与目标所在国家或者地区相同的顶级域名的电子邮件发送的。但这些电子邮件通常不会进行本土化，恶意附件的文本或是电子邮件文本都是使用英文表述的。

钓鱼邮件示例

DBatLoader 勾结 Remcos RAT

压缩文件 tar.lz 中可能包含 DBatLoader 的可执行文件，也可能包含 Remcos RAT。只不过，这些恶意软件通常会使用双扩展名或应用程序图标伪装成 Microsoft Office、LibreOffice 或 PDF 文档文件。

用户解压缩并运行了可执行文件后，DBatLoader 会通过公有云下载后续的 Payload。根据分析，Microsoft OneDrive 和 Google Drive 的下载链接的生命周期不同，最长的会使用超过一个月。

调查时仍然活跃的是 DBatLoader，并且能够定位到个人用户。但目前尚不清楚，攻击者使用的是自己注册的还是窃取的 Microsoft OneDrive 和 Google Drive 账户来部署 DBatLoader 样本。

随后，在 %Public%\Libraries目录下创建并执行 Windows 批处理脚本。该脚本使用尾部空格创建模拟受信目录来绕过 Windows 用户账户控制。这样，攻击者就可以在不需要用户确认的情况下进行恶意活动。

image.png-185.3kB

批处理脚本

该脚本通过直接向文件系统发出请求来创建模拟可信目录 %SystemRoot%\System32，之后将批处理脚本 KDECO.bat、合法可执行程序 easinvoker.exe 与一个恶意 DLL 文件 netutils.dll 从 %Public%\Libraries 复制到该目录下。easinvoker.exe 很容易受到 DLL 劫持攻击，在执行上下文加载恶意 netutils.dll 文件。easinvoker.exe 如果位于受信任的目录中，Windows 就不会发出任何用户账户控制提示。

easinvoker.exe 会加载 netutils.dll 执行 KDECO.bat 脚本：

netutils.dll 执行 KDECO.bat

为了逃避检测，KDECO.bat 会将 C:\Users 目录增加到 Microsoft Defender 的排除列表中，避免对其进行扫描与检测。

powershell -WindowStyle Hidden -inputformat none -outputformat none -NonInteractive -Command "Add-MpPreference -ExclusionPath 'C:\Users'"

DBatLoader 通过将自身复制到目录 %Public%\Libraries中，并且新增注册表 KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run为指向执行 DBatLoader 的快捷方式文件，该文件还可以通过进程注入的方式执行 Remcos 远控木马。

快捷方式文件示例

研究人员收集到了各种各样的 Remcos 配置信息，大部分都启用了键盘记录与屏幕截图窃取的功能。而用于 C&C 的域名，则使用了 Duckdns 的动态 DNS 域名。

Remcos 配置信息

给用户与管理员的建议

为了降低风险，用户必须对钓鱼攻击保持警惕，避免打开来源不明的附件。在处理钓鱼常用的主题邮件时，一定要更加谨慎。

对于管理员来说，一共有三点注意事项：

对公有云的恶意网络请求保持警惕，使用公有云就是为了使恶意通信看起来很合法，从而阻碍检测。越来越多的攻击者开始这样做
监控 %Public%\Library 目录中的可疑文件创建，以及带有尾部空格的文件系统路径操作，特别是模拟可信目录的操作
将用户账户控制配置为总是提醒，这样程序要对计算机进行任何更改时用户都会得到提醒

结论

Remcos RAT 通过使用 DBatLoader 进行分发，对东欧的组织与企业构成了重大威胁。为阻止这些攻击，管理员必须时刻注意网络钓鱼行为，并且教育用户提高意识避免打开来自未知发件人的附件。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。