СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.05.2025
#Dev#ИБ#Инфра

PowerShell-загрузчики и Remcos RAT: новые угрозы кибербезопасности

PowerShell-загрузчики и Remcos RAT: новые угрозы кибербезопасности

Источник: blog.qualys.com

PowerShell как оружие киберпреступников: современные методы скрытых атак

Последние исследования показывают, что киберпреступники все чаще используют PowerShell для проведения скрытых атак, которые успешно обходят традиционные антивирусные программы и стандартные средства защиты конечных устройств. Такой подход позволяет запускать вредоносный код непосредственно в памяти, что сводит к минимуму вероятность его обнаружения на диске и значительно усложняет работу по выявлению угроз.

Remcos Remote Access Trojan: угроза изнутри

Одним из ярких примеров таких угроз является троян Remcos Remote Access Trojan (RAT). Эта вредоносная программа предоставляет злоумышленникам полный контроль над целевыми системами и широко используется в кампаниях по кибершпионажу и краже данных.

В последних атаках метод доставки Remcos включает использование вредоносных файлов LNK, которые часто замаскированы под документы Office и упакованы в ZIP-архивы. В начальной фазе цепочки атаки задействуется mshta.exe для запуска прокси-сервера, а новый вариант загрузчика получил название K-Loader.

Механизмы загрузчика и обхода защиты

В ходе исследования был представлен загрузчик шелл-кода на базе PowerShell, который обеспечивает выполнение варианта Remcos RAT. Особенности его работы включают:

  • Использование запутанного VBScript в HTA-файле для обхода Windows Defender.
  • Загрузку скрипта PowerShell в каталог C:/Users/Public/, специально добавленный в путь исключения для обеспечения постоянства.
  • Установку политик выполнения для обхода ограничений PowerShell и запуск сценария в скрытом режиме.
  • Изменение реестра Windows для поддержания постоянного присутствия вредоносного кода.

Загруженный вредоносный скрипт, известный как 24.ps1, отличается высокой степенью запутанности и выполняет перестройку закодированных массивов байт для выполнения своих действий напрямую в памяти. Для выделения памяти используется функция Windows API VirtualAlloc(), а выполнение осуществляется с помощью CallWindowProcW().

Структура полезной нагрузки и методы защиты от обнаружения

Полезная нагрузка состоит из двух компонентов:

  • Загрузчик объемом 104 КБ
  • PE-файл размером 484 КБ — 32-разрядная версия Remcos RAT, скомпилированная в Visual Studio C++

Перед запуском вредоносная программа проверяет наличие мьютекса с именем Rmc-7SY4AX. Если такой мьютекс обнаруживается, выполнение прекращается, что препятствует множественному запуску и облегчает сокрытие активности. В противном случае создается соответствующий мьютекс для сохранения постоянства.

Основные функции Remcos включают:

  • Техника «опустошения» для инъекции кода в процесс svchost.exe.
  • Сбор системной информации с попытками обхода контроля учетных записей пользователей (UAC) через ICMLuaUtil с повышенными правами.
  • Использование «Сторожевого модуля» для поддержания непрерывной работы вредоносного ПО.
  • Обмен данными с сервером управления по протоколу TLS.
  • Реализация кейлоггинга с помощью функции SetWindowsHookExA для перехвата нажатий клавиш и отправки их на C&C сервер.
  • Методы антианализа, включая векторную обработку исключений и обнаружение отладчиков, для борьбы с реверс-инжинирингом.

Переход к безфайловым атакам и вызовы безопасности

Эволюция данного загрузчика шеллкода отражает тенденцию к использованию безфайловых методов атак. Злоумышленники все чаще применяют надежные системные двоичные файлы для минимизации своего следа на диске. Такой подход значительно осложняет криминалистический анализ и требует переосмысления подходов к защите информационных систем.

Для успешного обнаружения и предотвращения таких угроз, как Remcos, необходимо внедрение эффективных механизмов защиты, среди которых ключевыми являются:

  • Ведение детального журнала событий PowerShell.
  • Мониторинг AMSI (Antimalware Scan Interface) для выявления вредоносных скриптов.
  • Использование надежных решений Endpoint Detection and Response (EDR) с поведенческим анализом.
  • Непрерывный мониторинг критических точек выполнения и выявление поведенческих аномалий.

Только системный и комплексный подход поможет противостоять растущей волне сложных и скрытных кибератак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: