行业新闻与博客

网络安全研究人员分析了一个名为 SHADOW#REACTOR 的多阶段 Windows 恶意软件活动，揭示了一条复杂的感染链，旨在隐蔽地部署 Remcos 远程访问木马。

Securonix 威胁研究团队发现的这一攻击活动，利用一系列脚本和内存加载器滥用合法的 Windows 工具来逃避检测，同时保持持久性。

攻击始于执行一个通过 wscript.exe 启动的混淆 Visual Basic 脚本 (VBS) 。该初始脚本的作用仅仅是将执行权移交给目标。它会在内存中构建并运行一个高度加密的 PowerShell 命令，从而避免在磁盘上留下明显的恶意痕迹。

PowerShell 从远程服务器上检索一系列有效负载片段，并将它们重新构建成可执行组件。

然而，攻击者并非直接下载可执行文件，而是依赖于包含编码有效载荷的文本文件，这些文件会被反复获取，直到达到预设的大小阈值。这种设计有助于确保攻击的可靠性，同时也增加了静态分析和沙箱测试的难度。

一旦文本有效载荷被重建，它们就会被解码并加载到内存中，而 .NET Reactor 是一个受保护的 .NET 程序集，它是一种商业代码保护工具，经常被威胁行为者重新利用。

该加载器协调后续阶段，清理工件，并可选择性地执行反分析检查。

它最终检索配置数据并使用 MSBuild.exe 执行，这是一个受信任的 Microsoft 签名二进制文件，被滥用为一种“借力打力”（LOL）工具。

最终有效载荷：Remcos RAT

分析证实，最终有效载荷是 Remcos RAT，这是一款市面上常见的远程管理工具，常被用于恶意目的。

Remcos 通过加密的配置信息流进行传播，能够完全远程控制受感染的系统，包括文件访问、命令执行以及可选的监控功能。在此次攻击活动中，它使用的加载程序比通常情况下要复杂得多。

研究结果表明，存在一个积极维护的模块化框架，旨在进行广泛的、机会主义的目标定位。

Securonix 写道：“为了检测和阻止此类攻击活动，防御者应优先关注基于脚本的执行路径 [...] 以及从脚本引擎到不受信任的基础设施的出站 HTTP 活动。” 

该公司将这项研究归功于其威胁分析团队，并指出目前尚无足够的证据将 SHADOW#REACTOR 与特定的威胁组织或国家行为体联系起来。

“更加关注反射式 .NET 加载、基于文本的暂存模式和 LOLBAS 滥用 [...] 将大大提高在最终 Remcos 有效载荷完全部署和运行之前识别这些威胁的可能性。”