恶意软件经常将自己伪装成合法工具 ，揭秘最近比较有代表性的揭秘例子是Remcos RAT(远程管理工具)和GuLoader(也称为CloudEyE Protector)，他们在最流行的揭秘恶意软件排名中占据榜首位置
。

Remcos和GuLoader在十大恶意软件中的揭秘排名

由于Remcos很容易被杀毒软件检测到
，因此很难用于攻击，揭秘然而 ，揭秘GuLoader可以用来帮助Remcos绕过杀毒软件。揭秘目前，揭秘GuLoader现在在与Remcos相同的揭秘平台上以新名称销售  ，并被包装成为一种加密器 ，揭秘使其有效负载完全无法被检测到。揭秘此外 ，香港云服务器揭秘监督该平台的揭秘管理员还管理BreakingSecurity网站，该网站是揭秘Remcos RAT和相关Telegram通道的官方网站。有证据表明
，揭秘销售Remcos和GuLoader的个人使用Amadey和Formbook等恶意软件 ，并使用GuLoader作为预防措施，与Remcos和GuLoader卖家相关的域名和IP地址出现在恶意软件分析报告中 。

Remcos和GuLoader的卖家清楚地意识到他们的工具被攻击者所利用，尽管他们声称自己是无辜的高防服务器。研究人员最终曝光了负责出售Remcos和GuLoader的个人，揭露了他们的社交网络，并揭示了通过这些非法活动产生的大量收入。

GuLoader 和Remcos的关系

GuLoader于三年多前被发现，其是一个高度保护的基于shellcode的加载器 ，它采用了许多技术来防止手动和自动分析
。此外
，在最近的建站模板样本中，通过使用.LNK文件
、VBS和PowerShell脚本，利用了来自远程服务器的代码片段的多阶段加载，这些技术的结合允许GuLoader样本在VirusTotal上实现零检测率
，并将任何恶意负载传递到受害者的计算机上。

2020年，研究人员曝光了一个通过securitycode.eu 销售CloudEyE的平台
，它与GuLoader有关，这迫使创建者暂停运营。在他们的云计算网站上 ，他们发布了一条消息 ，称他们的服务旨在保护知识产权 ，而不是传播恶意软件 。

几个月后
，他们的网站恢复了CloudEyE的销售，不久之后 ，研究人员在监测中观察到新的GuLoader攻击数量增加，以及新版本的出现 。目前，亿华云研究人员每天会监控到数十个新的GuLoader样本。

过去6个月每天涉及GuLoader的攻击次数

在之前关于最新版本GuLoader的分析中
，研究人员故意省略了CloudEyE和新版本GuLoader之间的任何联系 ，因为他们观察到GuLoader在名为“VgoStore”的网站上以另一个名称“The Protector” 传播。事实证明 ，VgoStore与Remcos密切相关 。

Remcos是一款著名的远程监控工具，其营销目的是源码库为了合法的跟踪和监控。自2016年出现以来 ，研究人员一直在许多网络钓鱼活动中监测Remcos  ，除了典型的远程管理工具功能外 ，Remcos还包括一些不常见的功能，如中间人(MITM)功能、密码窃取 、跟踪浏览器历史记录、窃取cookie、密钥记录和网络摄像头控制
。这些功能超出了RAT的典型范围。

在黑客论坛上的CloudEyE广告消失后 ，研究人员开始在互联网上寻找有关CloudEyE Protector的信息。在谷歌搜索结果的第一页，研究人员发现了一个Utopia项目网站的链接，其中CloudEyE Protector被列在“商家”部分，就在BreakingSecurity (Remcos RAT的官方网站)之后：

BreakingSecurity和CloudEyE在Utopia网站上的广告

研究人员还注意到，在2022-2023年，Remcos样本的数量几乎占能够识别恶意软件家族的所有成功解密GuLoader有效负载的四分之一。

确定的GuLoader有效负载

换句话说，在过去的一年里 ，Remcos已经成为使用GuLoader传播的最常见的恶意软件。如上所述，这不是巧合。

VGO TheProtect—— GuLoader的新产品

Remcos的营销和销售最初是在黑客论坛上进行的，后来在一个名为BreakingSecurity[.]net的专门网站上进行销售。从2022年开始，人们可以在另一个名为VgoStore[.]net的网站上找到Remcos的销售 ，VgoStore在@BreakingSecurity_Group Telegram群中被宣传为Remcos的官方经销商，该组织由昵称为“EMINэM” 的版主(用户名@breakindsecurity， @emin3m， @Break1ngSecurir1ty)运营 ：

“EMINэM” 在BreakingSecurity Telegram群发布的VgoStore广告

在VgoStore ，除了breakingsecurity的Remcos，你还可以找到一个完整的恶意传播包和初始访问工具包，如“Excel 和Doc 漏洞”
，LNK漏洞
，RDP帐户 ，专用DNS，加密器等。这些工具被标记为“教育”。

在这些工具中，研究人员注意到了TheProtect(Private Protect服务)：

GuLoader和Remcos关系大揭秘（上）

除了@BreakingSecurity_Group Telegram群之外，“EMINэM” 还为VgoStore维护了一个名为@VgoStore_Group的Telegram群  。在这些群中，每当用户要求提供加密服务时，“EMINэM” 和另一位管理员“VGO”就会推送TheProtect，同样值得注意的是，在一条消息中 ，“EMINэM” 提到TheProtect是一个帮助Remcos绕过Windows Defender (WD)的工具：

TheProtect在BreakingSecurity和VgoStore Telegram群中的广告

与此同时，在BreakingSecurity Telegram群中 ，管理员似乎试图与恶意活动保持距离  ，称他们只提供了一种将Remcos列入杀毒白名单的方法，而不是绕过保护。与VgoStore群相反，在VgoStore群中，TheProtect被宣传为提供“运行时FUD”的服务
，即在执行样本时完全无法被杀毒软件检测到：

VGO和“EMINэM” 在BreakingSecurity和VgoStore Telegram群中

TheProtect有两种保护方式
：Private Protect和Script Protect。

protect保护方法

根据VgoStore官网显示，Script Protect提供的文件为VBS文件，而不是EXE文件。

“Private Protect”一词可能具有误导性，因为它可能给人一种印象 ，即每个客户都收到了一个独特的工具 。然而，在进一步检查VgoStore的Telegram群和YouTube频道中的视频后 ，很明显有两种类型的加密服务可用：一种基于NSIS (Nullsoft Scriptable Install System)
，另一种基于VBS (Visual Basic Scripting)
。

研究人员怀疑这与最常见的GuLoader变体相似，其中一个是VBS变体 ，另一个是NSIS变体。

Script Protect是非常昂贵的，在30天内，4个受保护文件的售价为7000美元，对于Script Protect和Private Protect，他们都声明“研究人员保留最多3天的时间来提供受保护的软件。”这让研究人员认为保护过程并不是完全自动化的，这意味着购买者可能不会收到自动生成受保护文件的构建器，就像CloudEyE的情况一样。

Protect VBS变体

正如研究人员之前所写的，VgoStore会在Telegram群@VgoStore_Group发布产品更新 ，客户可以获得支持。在这个群组中，管理员经常发布演示其产品功能的视频。

VgoStore Telegram群

在该组织于2023年3月5日发布的一个视频中 ，用户@VgoStore演示了使用伪装成PDF的LNK文件进行攻击 。

在VgoStore Telegram群中发布的视频

在这个视频中，研究人员看到点击LNK文件会导致新的进程“eilowutil.exe”启动一个与远程服务器“84.21.172.49：1040”的TCP连接。在启动LNK文件之前，视频显示所有Windows Defender功能都已启用，并且Windows Defender在整个执行过程中没有引发任何警报 。

视频提供了被测试样本的重要细节 ，使研究人员能够恢复完整的攻击链 。在01：13处，研究人员可以简单看到process Hacker显示的powershell.exe进程的命令行
，这使研究人员能够识别本视频中演示的样本(SHA256： c914dab00f2b1d63c50eb217eeb29bcd5fe20b4e61538b0d9d052ff1b746fd73)，并使用行为搜索查询在VirusTotal上找到它 ：

视频中演示的进程命令行使研究人员能够在VirusTotal上找到一个相关的样本

当研究人员下载脚本时，研究人员发现它类似于研究人员在文章《基于云的恶意软件传播 ：GuLoader的演变》中描述的GuLoader的VBS变体。与研究人员在上一篇文章中描述的版本的唯一区别是，shellcode以base64编码的形式嵌入VBScript中，然后放入注册表中：

存储在注册表中的base64编码加密数据

VBScript的另一部分包含有两层混淆的PowerShell脚本 。该脚本包含在视频截图中观察到的字符串 
，用于识别此恶意样本($Tjringernes =
， Diu;DyrFAttuEncnNatcWootLobiLsioReknUnd) ：

部分VBS包含混淆的PowerShell脚本

在去混淆之后
，研究人员得到了以下代码
 ：

去混淆PowerShell脚本

这段代码从注册表加载base64编码的数据，使用CallWindowProcA API函数解码并运行它，方法与基于《云的恶意软件传播：GuLoader的演变》中描述的相同。该代码的前645个字节没有被加密，并且包含解密器的代码，其余的数据包含加密的shellcode 。

研究人员用于自动分析恶意样本的工具将加密数据识别为GuLoader ，并成功解密shellcode ，包括GuLoader配置 、下载有效负载的URL和有效负载解密密钥：

解密后的GuLoader配置

截止发文，URL“hxxp：//194[.180.48.211/nini/EAbsGhbSQL10. html”“Aca”仍然活跃 。因此 ，研究人员能够下载最终的有效负载(SHA256 7bd663ea34e358050986bde528612039f476f3b315ee169c79359177a8d01e03)，他们使用从GuLoader shellcode中提取的密钥来解密它 。解密后的样本似乎是Remcos RAT（SHA256 25c45221a9475246e20845430bdd63b513a9a9a73ed447bd7935ff9ecee5a61e） 。

GuLoader攻击链的恢复部分

研究人员从这个Remcos样本中提取并解密了C&C配置
，发现它包含一个C&C服务器的地址“84.21.172.49:1040”
：

解密后的Remcos C&C配置

最后，使用最初找到的GuLoader VBS样本“Leekish.VBS”的“VirusTotal Relations”选项卡，研究人员还发现了下载该文件的URL ：“hxxp://194.180.48.211/nini/Leekish.vbs”。这个地址也在视频中被披露
：

下载在VirusTotal上找到的初始VBS样本的URL

视频（第00:45帧）中展示的另一个有趣的社会工程技巧是操纵LNK文件 ，攻击者误导用户相信它是PDF文档 。即使用户悬停在LNK文件上，工具提示也会显示“Type: PDF Document”；此外 ，如果用户双击LNK文件
，它实际上会打开一个诱饵PDF文件 ，而恶意进程会在后台静默运行。

这是通过以下简单步骤实现的 ：

1.文件扩展名更改为“.pdf.lnk”，利用默认情况下隐藏的文件扩展名。

2.LNK描述被修改为显示“PDF文档”，利用了Windows显示快捷方式描述字段内容的事实。请注意 ，工具提示中显示的大小与实际文件大小不同  。工具提示显示“Size: 7.11Kb” ，取自快捷方式的Description字段，而文件大小实际上是3Kb。

3.图标源已更改为显示PDF图标 。

4.LNK文件还下载并执行一个诱饵PDF文件。

伪装成PDF文档的LNK文件

研究人员在VirusTotal上发现了一个LNK文件(SHA256： 63559daa72c778e9657ca53e2a72deb541cdec3e0d36ecf04d15ddbf3786aea8)，该文件引用了上述URL
，并包含完全相同的Description字段：

解析后的LNK文件

此恶意快捷方式文件利用Windows System32文件夹中存在的合法脚本SyncAppvPublishingServer.vbs的功能来运行任意PowerShell命令。命令行参数包含用于下载和运行恶意脚本“Leekish.vbs”和PDF诱饵的PowerShell命令，msedge.exe文件中的PDF图标用作快捷方式图标 。

因此，研究人员已经恢复了视频中展示的完整攻击链，并确定了大部分涉及的文件和组件。视频中提到的“Script Protect文件”似乎是Remcos RAT ，其C&C服务器位于“84.21.172.48:1040” 。研究人员将保护程序确定为GuLoader的VBS版本 ：

VgoStore Telegram群视频中显示的完整攻击链

这个攻击链类似于研究人员从GuLoader之前的攻击中看到的 ，RedCanary博客中也有描述，这个VBS和LNK样本特别有趣，因为研究人员在去年(2023年2月)发现了针对注册会计师和会计师的攻击 。

保护NSIS变体

VgoStore还有一个YouTube频道。2023年4月12日发布的视频“Lnk Exploit”与研究人员上面分析的视频非常相似。演示者下载一个包含LNK文件的文档并运行此LNK文件。如视频所示，同时安装了所有最新的Windows更新 ，并启用了安全功能 。与前面的情况一样，如果研究人员在2分11秒处暂停视频，就可以看到由于运行LNK文件而创建的powershell.exe进程的命令行 。

包含URL的命令行

上面屏幕截图中的process命令行包含2个URL ，截至发文时，这两个URL都是活动的，这使研究人员能够下载这些文件
。

其中一个示例是一个诱饵PDF ，第二个示例是NSIS安装程序包

EMIN的视频中展示的样本的病毒总数

研究人员能够将该文件归类为GuLoader的NSIS变体 ，并解密其配置。在这个GuLoader示例的配置中，研究人员发现了一个具有相同IP地址但路径不同的URL：

解密后的GuLoader配置

下载GuLoader负载的URL“hxxp://194[180.48.211/ray/BdNnKAT84.bin“不再处于活动状态 ，因此研究人员使用VirusTotal获得加密的有效负载（SHA256:de11c14925357a978c48c54b3b294d5ab59cffc6efabdae0acd17033fe6483） 。研究人员解密了最终的有效负载 ，它似乎是Remcos RAT（SHA256:83df18e28f779b19170d2ca707aa3dbcee231736c26f8b4fbd8768cd26ba6），C&C服务器地址为“mazzancollttyde.business:7060”（185.126.237.209）
 ：

解密后的Remcos C&C配置

事实证明
，在这种情况下
，GuLoader也用于传播Remсos RAT
，但这次是NSIS变体 ，通过对这两个视频的分析，研究人员能够发现使用了什么类型的有效负载 。但最重要的是，研究人员看到VgoStore中出售的“TheProtect”工具保护的可执行文件与GuLoader完全相同
。在这些视频中，研究人员发现了在野外看到的GuLoader的两个变体(NSIS和VBScript变体) ，最有可能的是 ，这些变体对应于用户可以购买的保护服务类型 ：Private Protect(对应于NSIS变体)和Script Protect(对应于VBScript变体)
。

文章翻译自 ：https://research.checkpoint.com/2023/unveiling-the-shadows-the-dark-alliance-between-guloader-and-remcos/如若转载
，请注明原文地址

(责任编辑：电脑教程)