前言概述

RemcosRAT(远程控制和监控软件)是一种用于远程控制计算机的商业远程访问工具，RemcosRAT被宣传为可用于监视和渗透测试目的的合法商业软件，但已被用于众多黑客攻击活动，包含一些APT攻击活动，此前APT-C-35组织（肚脑虫，又称Donot是一个针对巴基斯坦、斯里兰卡等印度周边国家政府机构等领域进行网络间谍活动，以窃取敏感信息为主的攻击组织）就曾利用RemcosRAT远控进行攻击活动。

RemcosRAT一旦被安装就会在受害者计算机上打开后门，授予远程控制用户完全访问计算机的权限。

RemcosRAT由网络安全公司BreakingSecurity开发并维护，官方网站：https://breakingsecurity.net/remcos/

[出自:jiwo.org]

样本分析

1.样本外壳使用VB编写，如下所示：

2.对VB程序进行反编译，如下所示：

3.获取程序内核PayLoad，采用C/C++编写，如下所示：

4.创建互斥变量，如下所示：

5.RemcosRAT版本信息，如下所示：

6.加密的配置信息，如下所示：

7.解密之后的配置信息，C2地址为irukdns.warzonedns.com，如下所示：

8.可以通过威胁情报平台关联到一些相关的样本，如下所示：

样本分析1.样本外壳使用VB编写，如下所示：样本分析