Phân tích mã độc Remcos - RAT

[maldet]

Mã độc Remcos là một RAT (Remote Administration Tool) lần đầu được phát hiện trong nửa sau năm 2016. Gần đây nó được cập nhật thêm nhiều tính năng mới.
Remcos được phân phối thông qua tài liệu Word hoặc Excel chứa macro độc hại, có tên là Quotation.doc và Quotation.xls, được phát tán qua các tập tin đính kèm trong email spam. Các tài liệu này chứa đoạn macro độc hại đã được gây rối (obfuscation), thực hiện chức năng bypass UAC để tải về và thực thi malware với quyền High. Kĩ thuật gây rối được sử dụng là thêm vào nhiều kí tự thừa để che giấu đi đoạn mã thực sự.
Kỹ thuật bypass UAC được sử dụng như sau: nó sẽ thực thi dưới tiến trình Event Viewer (eventvwr.exe) bằng cách cướp đường dẫn sau trong registry "HKCUSoftwaresClassesmscfileshellopencommand". đường dẫn này thực tế là của chương trình Microsoft Management Console (mmc.exe). Tuy nhiên, mã độc này đã thay thế giá trị đó của registry, đổi nó thành đường dẫn của mã độc. Và mã độc sẽ được thực thi thay vì tiến trình mmc.exe hợp pháp.


Như trong hình, powershell sẽ được chạy ẩn và tải về file remmy.exe từ địa chỉ "https://legacyrealestateadvisors.net/brats/remmy.exe", lưu vào trong "%temp%
emmy.exe". Sau đó giá trị registry "HKCUSoftwaresClassesmscfileshellopencommand" bị thay đổi thành "%temp%
emmy.exe" và thực thi dưới tiến trình Event Viewer (eventvwr.exe).

Ban đầu remmy.exe được thi với quyền Medium. Nếu đúng mã độc này dùng kỹ thuật bypass nói trên, thì nó sẽ phải được thực thi dưới quyền High dưới tiến trình eventvwr.exe. Tuy nhiên, thực tế nó vẫn chạy dưới cái tên svchost.exe với quyền High, nhưng không phải trong tiến trình eventvwr.exe. Do đó, nghi ngờ là Remcos sử dụng kỹ thuật bypass UAC khác của chính nó.

Bản thân Remcos chỉ sử dụng trình pack UPX và MPRESS1 để nén và làm rối thành phần server của nó. Tuy nhiên trong ví dụ này, kẻ tấn công đã thêm một lớp pack nữa trước MPRESS1.


Trong hình dưới, sau khi unpack, ta thấy thành phần server được build bằng bản Remcos v1.7.3 Pro được phát hành ngày 23/1/2017.


Một số chức năng của Remcos
Remcos bản Free bị giới hạn nhiều chức năng. Remcos gồm có một số thành phần sau:
Phần Connections:
Thông tin cơ bản của các máy bị lây nhiễm và một số chức năng thường thấy của các phần mềm RAT: Screen Capture, File Manager, Key Logger, ...


Phần Automatic Tasks: phần này chắc hay nhất của Remcos. Có chức năng thực thi tự động một số tác vụ mà không cần tác động bởi victim hay hacker. Chỉ cần có kết nối tới server là được.



Phần Local Settings: chứa thiết lập trên máy client, gồm port sử dụng để kết nối tới server và mật khẩu để xác thực. Remcos dùng mật khẩu này để mã hóa traffic mạng giữa client và server bằng thuật toán RC4.


Phần Builder: gồm các cấu hình về Kết nối tới server (phần Connections), tạo bộ cài đặt Remcos, bypass qua UAC (phần Installation), cách ẩn giấu khỏi hệ thống để không bị phát hiện (phần Stealth), Keylogger, capture màn hình, và tùy chọn dùng trình pack nào (UPX hay MPRESS).


Phần Event Logs: hiển thị thông tin kết nối tới server, tình trạng của client.