最近のRemcos RATキャンペーンは、コモディティマルウェアがファイルレスの多段階実行を完全に採用して従来の防御を回避し、侵害されたWindowsシステムで隠密性を保つ方法を示しています。
静的実行ファイルをディスクにドロップする代わりに、オペレータはJavaScript、PowerShell、および管理された.NETインジェクターを使用してRemcosをメモリ内で完全に実行し、フォレンジック成果物とシグネチャベースの検出の機会を大幅に減らします。
攻撃は調達をテーマにしたフィッシングメールから始まります。これは海運または産業ベンダーと称する見積要求(RFQ)の通信になりすまします。
これらのメールは見積書に見えるアーカイブ済みの添付ファイルを含んでいますが、実際には誤解を招く名前のJavaScriptファイルが含まれています。
被害者がこのスクリプトを開くと、攻撃者が管理するインフラストラクチャへのHTTPリクエストを発行し、次のステージをダウンロードします。初期ロジックを最小限に保つことで注目を集めるのを回避します。
ダウンロードされたコンテンツはAES暗号化されたPowerShellスクリプトで、ディスクに書き込まれるのではなくメモリで直接処理されます。
このデザインはモジュラーアプローチを反映しており、JavaScriptがペイロードを配信する一方、すべての重い暗号化解除、ロード、および永続性は後続のステージに委譲されます。
分析中に特定されたRemcos RATキャンペーンはこの移行を実証しており、JavaScriptとPowerShell、および管理された.NETインジェクターを使用したフィッシングベースの初期アクセスから完全なファイルレス実行への移行を実践で示しています。
ファイルレス Remcos RAT
復号化されると、PowerShellスクリプトは、複数のエンコードされたフラグメントからペイロードを再構築し、AES-256 CBCと埋め込まれたBase64エンコード済みのキーとIV値を使用してメモリで復号化する完全なファイルレスローダーとして機能します。
その後、メモリに2つのコンポーネントを直接ロードします:Base64エンコード済みの.NETインジェクターアセンブリと、生の10進バイトデータとして提供されるRemcos RATペイロードです。
ペイロードは複数のエンコードされたフラグメントから再構築され、PKCS7パディングを使用したAES-256 CBCで復号化され、ディスクに書き込まれるアーティファクトはありません。
.NETインジェクターはファイルシステムに接触することなく反射的にロードされ、正当なWindowsバイナリであるaspnet_compiler.exeのプロセスホローイングを担当します。
この信頼されたプロセスを一時停止状態で作成し、そのメモリをRemcosペイロードで置き換え、その後実行を再開することにより、マルウェアは署名付きの.NETユーティリティの内部に隠れてその正体を継承します。
これは、プロセス名、パス、または単純な親子関係に依存する動作ベースのシグネチャベースの両方の検出を大幅に複雑にします。
ホローイングされたaspnet_compiler.exeプロセス内で、Remcos RATはおよそ481.5 KBのVisual C++でコンパイルされた実行ファイルとして実行され、完全にメモリから動作します。最終的なペイロードREMCOS RATは481.5kbのサイズのVisualC++コンパイル実行ファイルです。
その最初のステップは、実行時に必要なWindows APIを動的に解決し、静的インポートを最小限に抑え、シグネチャベースの検査を妨害するランタイム初期化ルーチンです。
マルウェアは次に、RC4キーを使用して「SETTINGS」という名前の埋め込みリソースからその構成を復号化し、C2ドメイン、ポート2404、ホスト名「RemaHost1」、ミューテックス名「Rmc-ZOCNDU」、およびキーログデータに使用されるファイル名などの詳細を回復します。
同じキャンペーンIDで別のアクティブな感染がホストに既に存在する場合、シングルインスタンス実行を強制するミューテックスを作成し、動作を中止または変更します。
その後、Remcosはオペレーティングシステムとアーキテクチャをプロファイルし、CurrentBuildNumberレジストリ値を解析してWindows 10とWindows 11を区別し、これらの詳細をシステムプロファイルに追加して後のC2登録に備えます。
軽減策
C2に接続する前に、RATはC:\ProgramData\rema\logs.datにローカルログファイルを作成し、ネットワーク流出がすぐに不可能な場合に監視出力とランタイムイベントをバッファリングします。
観測されたログエントリは、プロセス識別子、スレッドコンテキスト、権限レベル、およびクリップボードキャプチャイベント(段階的な流出に備えてプレーンテキストで保存される)とともにオフラインキーロギングアクティビティを示しています。
初期化とプロファイリングが完了すると、Remcosは構成済みC2サーバー暗号化へのアウトバウンドTCP接続を開き、内部ステータスバッファが「接続済み| TLS OFF」を示し、トランスポート層暗号化が無効化されていることを確認します。
その後、ホスト名「RemaHost1」、キャンペーン識別子「Rmc-ZOCNDU」、OS詳細(たとえば、Windows 10 Enterprise 64ビット)、プロセスメタデータ、権限レベル、実行可能ファイルパス、ハードウェア情報、およびローカルログファイルのロケーションを含むホスト登録ビーコンを送信します。
トラフィックはIEC 60870-5-104などの産業プロトコルの下では不正な形式に見える可能性がありますが、実際には生のTCPで伝送されるカスタムデリミター固有のC2プロトコルです。
このキャンペーンは、日常的な脅威がどのようにして多段階のファイルレス技術(層状スクリプティング、メモリ内暗号化解除、プロセスホローイング、信頼されたバイナリの悪用を含む)を使用して従来のディスクベースの検出を回避するかを強調しています。
防御者はメモリ中心の動作ベースのテレメトリに焦点を当てるべきです:制限されたスクリプト実行、PowerShellロギング、コマンドライン監視、プロセス作成異常、およびホローイングまたは挿入されたプロセスの検出。
実践的な強化ステップには、PowerShellおよびwscriptなどのネイティブツールの誤用を制限すること、最小権限を実施すること、ネットワークをセグメント化すること、継続的な意識向上トレーニングを通じてフィッシング復元力を改善することが含まれます。
組織はまた、エンドポイント、メールゲートウェイ、およびネットワークセンサーからのログを一元化して、このRemcos RATキャンペーンに類似したファイルレスマルウェアパターンの積極的な脅威ハンティングをサポートする必要があります。
侵害の指標(IOC)
| タイプ | サンプル | 説明 |
| メール | de59f9c1b237af2b27df59a6cec82fd2 | フィッシングメール – 見積要求 – 同軸ケーブル、太陽光、サージリレー |
| RAR | 47b1603f62306dfa34bd7d52b7159c7f | Price Offer_PT. Asianfast Marine Industries I6799006392.r01 |
| JS | c2b601dc165fa0b4837019f1152d005a | JavaScriptダウンローダー添付ファイル |
| PS1 | 6f61c2917c7dac70b4703700b3aafb33 | PowerShell スクリプト レイヤー1 |
| PS1 | ffe4dc0ebc7b0b76d95dad2f383f6034 | PowerShell スクリプト レイヤー2 |
| DLL | e7983c9dc42001baeafedebdaba8b310 | .NETインジェクター(MAFFIA.dll) |
| EXE | df8a0d943f6df9394f0116521536a938 | Remcos RATペイロード |
| IP | 91.92.243.550 | コマンドアンドコントロールサーバー |
| ドメイン | eaidali[.]ddns[.]net | 悪意のあるドメイン |
| ドメイン | www[.]lmfire[.]net | 悪意のあるドメイン |
| URL | http[:]//eaidali[.]ddns[.]net:2404/ | 悪意のあるURL |
| URL | http[:]//www[.]lmfire[.]net:2404/ | 悪意のあるURL |
翻訳元: https://gbhackers.com/fileless-remcos-rat/
