一個有趣的利用Equation對象的Remcos RAT變種

FortiGuard實驗室捕獲了一個利用微軟去年11月修補的Microsoft Office漏洞CVE-2017-11882的惡意軟體樣本。

該樣本是一個包含Equation對象的RTF文檔，目前分析看來是Remcos RAT版本「2.0.4 Pro」的新變種，感染後能夠控制受害者的個人電腦。

樣本名稱「RFQ File.doc」，RTF文件。公式對象（攻擊數據）包含在「 * objdata」目標中。

它為了避免被網路安全產品（如防火牆設備和Anti-AV軟體）檢測，攻擊者在實際的方程對象前添加了大量填充數據，甚至使用ASCII控制字元將實際的方程對象數據拆分為很多部分，如空格（0x20），製表符（0x09），回車符（0x0D）或換行符（0x0A）。這些控制字元被解析器MS Office Word忽略。這是避免安全產品的一種逃避方法。

圖1.部分原始RTF示例內容

為了清楚地看到真實的公式對象數據，在刪除了無用的填充數據，並恢復了拆分的數據後，可以在圖2中看到整個數據，惡意shellcode就在其中。

圖2.恢復的Equation對象數據

當這個RTF在MS Office Word中打開時，會發生緩衝區溢出，並執行shellcode。由於核心shellcode和數據是加密的，數據首先被解密，然後跳轉到執行核心shellcode。圖3提供了解密的核心shellcode和字元串內容的局部視圖。

該shellcode是一個下載器。 它的唯一目的是將文件從「hxxp：//persianlegals.com/wp-includes/js/gist.exe」下載到「％APPDATA％ namegh.exe」中，然後運行下載的文件。

圖4顯示它調用API CreateProcessW來運行下載的文件，並調用API ExitProcess來終止EQNEDT32.EXE的運行。

下載的文件是一個自解壓文件，這意味著它包含壓縮存檔和一個小程序，將其解壓縮到指定的文件夾中，然後執行其中一個文件。

對於這個實例，它將文件提取到「％temp％ 01644247 」文件夾中，將整個文件夾設置為Hidden屬性，然後使用參數「％temp」運行文件「％temp％ 01644247 enj.exe」 ％ 01644247 cgj = agr「。 圖5顯示了測試環境中該文件夾的屏幕截圖。

文件「enj.exe」毫無疑問是一個AutoIt腳本解釋程序。 程序版本是3.3.8.1，雖然它的官方網站顯示最新版本為3.3.14.5。 文件「cgj = agr」是惡意的AutoIt腳本，「ujb.mp4」是配置文件，它將被「cgj = agr」腳本讀取和解析。

將「cgj = agr」放入任何文本編輯器中，您可以看到內容充滿了「＃xZQMLS????????????????????????????????????????????????? 「字元之間插入真實的腳本代碼。

「＃」的起始行可以被認為是對AutoIt的注釋。 通過刪除所有「＃」行，我們可以得到清晰的腳本，如圖6所示，結果發現代碼被混淆了。

變數和方法的所有名稱都是沒有意義的，這使得很難執行靜態分析。所以開始手動去混淆，並在AutoIt Debugger中調試它。

通過檢查下面的圖7，使用去混淆代碼，很容易理解它將要做什麼。

它從「ujb.mp4」讀取配置數據，然後從中提取和解密「[sData]」數據（即在「[sData]」和「[esData]」之間）。 之後，它將解密的數據寫入一個隨機名稱文件。

這個新創建的文件將位於與「cgj = agr」相同的路徑中，其名稱將由5個隨機字母組成。 這次是「SENPR」。 「SENPR」是另一個混淆的AutoIt腳本。

腳本也讀取「ujb.mp4」 - 配置文件 - 並從中載入一些設置值，這可以更改代碼分支。

通過遵循其主要分支，它做了以下事情：

1．它將自身添加到系統註冊表中作為自動運行項目。這允許惡意軟體在系統啟動時自動啟動。

它還在「HKCU SOFTWARE Microsoft Windows CurrentVersion Run」中添加一個名為「WindowsUpdate」的新密鑰。圖8顯示新項目已添加到註冊表中。文件名是短名稱格式。

2．然後從配置文件中提取「[Data]」數據（即在「[Data]」和「[eData]」之間），並將其解密以獲得PE文件。然後它會在.Net框架安裝目錄 - 「RegSvcs.exe」中獲取exe文件的完整路徑，該文件將在稍後執行。 （「RegSvcs.exe」是一個.NET服務安裝工具）。

為了防止其代碼被輕鬆分析，它有一個x86 ASM二進位代碼，它通過調用CreateProcess運行帶有掛起狀態的「RegSvcs.exe」，然後用解密的PE文件替換它的代碼。

這允許解密的PE文件作為「RegSvcs.exe」執行，以便在受害者的機器上執行惡意行為。在下面的分析中將它稱為假「RegSvcs.exe」。

解密後的PE文件從未保存到本地文件中。相反，它總是存在於內存。這個PE文件是Remcos RAT的主要組件。圖9顯示了執行x86 ASM代碼以在「RegSvcs.exe」進程中運行假「RegSvcs.exe」的「SENPR」代碼片段。

然後它將收集到的有關受害者PC的信息發送給C＆C伺服器。數據在發送之前被RC4加密，使用從「SETTINGS」資源的第一個80H數據生成的相同RC4加密密鑰。

如圖10所示，在加密之前，將要發送給C＆C伺服器的數據轉儲出去。

文件「RFQ File.doc」已被檢測為「MSOFFICE /CVE_2017_11882.A！tr」，FortiGuardAntiVirus服務檢測到文件「gist.exe」為「AutoIt/ Remcos.DGY！tr」。

目前，FortiGuard Web Filtering服務將下載URL評為「惡意網站」。

IOCs:

URLs

hxxp://persianlegals.com/wp-includes/js/gist.exe

Sample SHA256

RFQ File.doc

59130C3542D86B8AFDE1D5A8BB6CDFE43BBD24A992F5B4B537BD808E3C7E6F99

gist.exe/namegh.exe

894AD81A297854D5522C117F94490BCE379FC6A54F8FE10A1F55143ECD5C8816

來自參考：

https://www.fortinet.com/blog/threat-research/new-remcos-rat-variant-is-spreading-by-exploiting-cve-2017-11882.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！