Dosyasız Remcos RAT Saldırısı, PowerShell Komut Dosyalarını Kullanarak Antivirüsü Atlatıyor

Yeni bir saldırı dalgası, gizlice Remcos RAT'ı kurmak için PowerShell ve LNK dosyalarını kullanıyor ve bu sayede enfekte olmuş sistemlerin tam uzaktan kontrolü ve gözetimi mümkün hale geliyor.

Qualys Tehdit Araştırma Birimi'ndeki (TRU) siber güvenlik uzmanları, yakın zamanda Remcos RAT'ı (Uzaktan Erişim Truva Atı) gizlice yüklemek için PowerShell komut dosyası dilini kullanan karmaşık bir siber saldırıyı ortaya çıkardı.

Bu yöntem, saldırganların birçok geleneksel antivirüs programı tarafından tespit edilmeden işlem yapabilmelerine olanak sağlıyor çünkü kötü amaçlı kod doğrudan bilgisayarın belleğinde çalışıyor ve sabit diskte çok az iz bırakıyor.

Bilginize, Remcos RAT, siber suçluların enfekte olmuş bilgisayarlar üzerinde tam kontrol sağlamak için kullandıkları güçlü bir araçtır. Kurulduktan sonra, kurbanları gözetlemelerine, verileri çalmalarına ve diğer zararlı eylemleri gerçekleştirmelerine olanak tanır.

Qualys TRU analizine göre, saldırı bir kullanıcı bir ZIP arşivi olan new-tax311.ZIP'in içinde 'new-tax311.lnk' kısayol dosyasını içeren zararlı bir dosyayı açtığında başlar. Bu .LNK dosyasına tıklamak normal bir program açmaz. Bunun yerine, kafa karıştırıcı (karıştırılmış) bir PowerShell betiğini çalıştırmak için 'mshta.exe' adlı bir Windows aracı kullanır.

Bu betik, bilgisayarı Remcos RAT ile enfekte olmaya hazırlar. İlk olarak, “C:/Users/Public/” klasörünü yok saymasını söyleyerek Windows Defender'ı zayıflatmaya çalışır. Ayrıca, güvenli olmayan betiklerin uyarı vermeden çalışmasına izin vermek için PowerShell ayarlarını değiştirir ve gizlice çalışmaya çalışır. Remcos RAT'ın bilgisayar her açıldığında başladığından emin olmak için, betik Windows Kayıt Defterine bilgi ekler.

Komut dosyası ayrıca "C:/Users/Public/" klasörüne birkaç dosya indirir. Bunlardan biri pp1.pdf gibi sahte zararsız bir dosya olabilir. Ayrıca iki önemli dosya indirir: 311.hta (başlangıçta çalışacak şekilde ayarlanmış ve ' xlab22.hta') ve ' 24.ps1.' ' 24.ps1 dosyası, Remcos RAT'ı içeren ana, gizli PowerShell komut dosyasıdır. Bu komut dosyası, dosya tabanlı güvenlik tarafından algılanmayı önleyerek Remcos RAT'ı doğrudan bilgisayarın belleğine yüklemek ve çalıştırmak için özel Windows işlevlerini (Win32 API'leri) kullanır.

Remcos RAT TRU araştırmacılarının analiz ettiği, gizli olmak ve saldırganlara enfekte bilgisayarlar üzerinde kontrol sağlamak için tasarlanmış 32 bitlik bir V6.0.0 programıdır. Modüler bir tasarıma sahiptir, yani farklı görevler gerçekleştirebilen farklı parçalara sahiptir. Program ayrıca gerektiğinde şifresini çözdüğü şifrelenmiş verileri depolar.

Şifrelenmiş bu veriler, TLS adı verilen güvenli bir bağlantı kullanarak 2025 numaralı portta bağlandığı uzak sunucunun adresini ( readysteaurantscom ), kötü amaçlı yazılımın adını (Remcos) ve bilgisayarın zaten enfekte olup olmadığını belirlemek için kullandığı özel bir kodu ( Rmc-7SY4AX ) içerir.

Remcos, tuş kaydı, pano içeriğini kopyalama, ekran görüntüsü alma, mikrofon ve web kameralarından kayıt yapma ve kullanıcı bilgilerini çalma gibi çeşitli zararlı eylemler gerçekleştirebilir. Ayrıca güvenlik programlarının bunu analiz etmesini engellemeye çalışır.

Qualys TRU ekibi, kullanıcıların PowerShell günlük kaydı ve AMSI izlemeyi (kötü amaçlı komut dosyalarını tespit etmeye yardımcı olan bir Windows özelliği) etkinleştirmeleri ve daha iyi koruma için güçlü bir EDR (Uç Nokta Algılama ve Yanıt) çözümü kullanmaları gerektiğini vurguluyor.

Hackread.com'a yaptığı bir yorumda, Fortinet'in FortiGuard Labs'ında IPS Analisti ve Güvenlik Araştırmacısı olan Xiaopeng Zhang , " Remco'ların arkasındaki saldırganlar taktiklerini geliştiriyor. CVE-2017-0199 açığını kötü amaçlı Excel ekleri aracılığıyla istismar etmek yerine, artık kurbanları kötü amaçlı bir HTA dosyasını yürütmeye çekmek için PDF simgeleriyle gizlenmiş aldatıcı LNK dosyaları kullanıyorlar. " dedi.

Xiaopeng, " PowerShell kampanyada rol oynamaya devam ediyor. Ancak, en son varyant, Remcos'u doğrudan CallWindowProc() API'si aracılığıyla bellekte ayrıştırmak ve yürütmek için PowerShell'i kullanan dosyasız bir yaklaşım benimsiyor. Bu, Remcos'un yürütmeden önce bir dosya olarak indirildiği önceki yöntemlerden bir değişiklik anlamına geliyor. " uyarısında bulundu.