Remcos RAT 进行了隐秘升级，因为攻击者放弃了旧的办公室漏洞，转而使用完全在内存中运行的无文件 PowerShell 加载器。

威胁行为者被发现使用基于 PowerShell 的 Shellcode 加载器秘密部署 Remcos RAT，这是一款流行的间谍工具，正值无文件技术浪潮的浪潮中。Qualys

发现，该攻击活动执行了一系列步骤，以钓鱼方式攻击一个经过混淆的 .HTA（HTML 应用程序）文件，该文件完全在内存中运行分层的 PowerShell 脚本。

“Remcos 背后的攻击者正在不断改进他们的攻击策略，”Fortinet Fortiguard 实验室的 IPS 分析师兼安全研究员张晓鹏表示。“他们不再通过恶意 Excel 附件利用CVE-2017-0199漏洞，而是使用伪装成 PDF 图标的欺骗性 LNK 文件来诱骗受害者执行恶意 HTA 文件。”

利用Microsoft Office 中的漏洞部署了 Remcos RAT，该漏洞允许攻击者通过特制的文档（特别是包含恶意对象链接和嵌入 (OLE) 对象的 Excel 文件）执行任意代码。

使用基于 PowerShell 的 Shellcode 加载器

在观察到的攻击中，威胁行为者部署了基于 PowerShell 的 shellcode 加载器，该加载器直接在系统内存中执行恶意代码，从而绕过传统的基于文件的检测。

换句话说，比个性更有趣的是笑话。

 

 

感染链始于一个伪装的 LNK 快捷方式，该快捷方式被钓鱼攻击到受害者的系统，它会启动合法的 Windows 实用程序 mshta.exe 来执行隐藏的 VBScript。该脚本会下载并运行一个经过高度混淆的 PowerShell 有效载荷，该载荷将经过 Base64 编码的 Shellcode 重构到内存中。

根据 Qualys 的报告，该 LNK 快捷方式被包含在一个 ZIP 文件中，并以伪装成税务文件的附件形式发送给受害者。

Sectigo 高级研究员 Jason Soroko 在评论中告诉 CSO：“报税季迫使企业放松最严格的内容过滤规则，以便员工可以交换政府模板、PDF 表格，当然还有许多薪资系统仍然默认提供的压缩 LNK 快捷方式。攻击者正在利用这一强制性的软肋。这些旨在让审计人员满意的政策，恰恰成为了无文件入侵的开场白。”

完全在内存中运行 shellcode

一旦执行了混淆的 PowerShell 脚本，它就会解码并重建两块 base64 编码的数据——一个是 shellcode 加载器，另一个是 PE 文件（Remcos RAT）。

为了完全在内存中运行该脚本，它严重依赖原生 Windows API 函数，例如 VirtualAlloc、Marshal.Copy 和 CallWindowProcW，这些函数可以通过 PowerShell 与非托管代码交互的功能进行访问。

此外，为了不被发现，该恶意软件采取了一种更隐蔽的手段：它不会公开列出计划使用的 Windows 工具（API），而是在运行过程中在内存中动态搜索这些工具。这种被称为“遍历进程环境块 (PEB)”的技巧可以帮助它逃避那些寻找明显线索（例如已知文件名或函数调用）的扫描程序的检测。

“这个加载器将 Remcos 重新设计为一个临时插件，而不是一个常驻植入物，”Soroko 补充道。“通过将工具链的每个阶段转移到临时内存中，并在会话结束后解散加载器本身，操作人员制作的取证工具几乎和诱饵 ZIP 一样可随意丢弃。”

PowerShell 日志记录、AMSI 监控可能会有所帮助

Qualys 研究人员为安全团队提供了一份检测指标列表，其中包括在活动中观察到的域名、URL、IP、Zip 和 PE 名称。

建议包括密切关注 PowerShell 日志记录、启用反恶意软件扫描接口 (AMSI) 进行实时脚本扫描，以及确保强大的EDR设置。“基于 PowerShell 的攻击（例如新的 Remcos RAT 变种）的兴起表明，威胁行为者正在不断演变，以规避传统的安全措施，”Pleasanton 现场首席技术官 J Stephen Kowski 表示。“能够在恶意 LNK 附件到达用户之前检测并拦截它们的高级电子邮件安全措施至关重要，同时，实时扫描 PowerShell 命令以发现可疑行为也同样重要。”