文章总结： 该文档分析了一起利用混淆VBS、无文件PowerShell和PNG隐写技术的多阶段恶意软件活动。攻击者通过开放目录托管载荷，使用PhantomVAI加载器在内存中执行.NET程序集，部署RemcosRAT和XWorm等恶意软件。攻击链具备高度模块化和规避能力。建议组织限制脚本执行、监控PowerShell活动及内存执行以防范此类威胁。 综合评分： 83 文章分类： 恶意软件,威胁情报,应急响应

混淆的 VBS 和 PNG 加载器利用 RAT 有效载荷驱动新的 Open Directory 恶意软件活动

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月26日 12:12 北京

一个复杂的多阶段交付框架，利用混淆的 Visual Basic Script (VBS) 文件、无文件 PowerShell 加载器和隐藏在 PNG 图像中的有效载荷。

该活动最初是由 LevelBlue 的托管检测和响应 (MDR) SOC 通过 SentinelOne 警报检测到的，该警报涉及一个可疑的 VBS 文件。

该文件被识别为 Name_File.vbs，位于公共下载目录中，并在执行前被拦截。尽管拦截成功，但深入分析发现，攻击者利用模块化加载器和可重用的基础设施，实施了更为复杂的攻击。

在初步排查过程中，分析人员发现该文件哈希值此前并无任何记录，历史遥测数据中也无相关活动，这表明这是一起孤立事件。

然而，SentinelOne 遥测数据显示该脚本包含一个 Base64 编码的 PowerShell 命令，这促使我们进行进一步调查。

LevelBlue SpiderLabs对一起多阶段恶意软件传播活动展开了调查，该活动最初由 LevelBlue 的 MDR SOC 通过 SentinelOne 检测发现。

解码 VBS 文件后发现，它主要用作混淆后的启动器。大量的基于 Unicode 的混淆掩盖了其逻辑，最终在运行时重建并执行了一个隐藏的 PowerShell 有效载荷。

无文件加载器和PNG有效载荷

解码后的 PowerShell 脚本表现为一个无文件加载器。它强制使用 TLS 1.2 连接，并使用 Net webClient 类来检索远程内容。该脚本没有下载传统的可执行文件，而是从远程服务器获取了一张 PNG 图像。

研究人员在 PNG 文件中发现了嵌入的 Base64 编码数据，这些数据用自定义的“BaseStart”和“BaseEnd”标签标记。

该数据包含一个 .NET 程序集，该程序集使用反射直接在内存中解码和执行，这种技术通常与 PhantomVAI 加载器相关联。

这种方法使得恶意软件可以避免将文件写入磁盘，从而大大降低了传统安全工具的检测难度。

此目录中的文件包括一个批处理脚本（44rrr.bat）和一个伪装成 PDF 的压缩存档（Invoice-JL1852586778.pdf.zip），如前所述。

执行后，内存加载器从攻击者控制的基础设施中检索其他有效载荷。

其中一个经过混淆处理的URL解析到一个包含编码数据的文本文件，最终部署了Remcos RAT，一种臭名昭著的远程访问木马。另一个有效载荷包含一个UAC绕过DLL，用于提升权限。

执行链清晰地展现了角色的分离：VBS 作为入口点，PowerShell 处理传递，而.NET 加载器管理有效负载的执行和持久化。

开放目录基础架构

进一步调查发现，该攻击得到了托管在具有多个可访问路径（例如 /coupon/、/protector/ 和 /invoice/）的域上的开放目录架构的支持。

这些目录包含大量混淆的 VBS 文件，分别对应不同的恶意软件有效载荷，包括 XWorm 和其他远程访问木马 (RAT) 变种。这种结构允许攻击者在根据需要更换有效载荷的同时，重复使用相同的加载器框架。

值得注意的是，/invoice/ 目录揭示了一种单独的感染途径，涉及以 ZIP 压缩包形式分发的伪造 PDF 文件。

二级攻击链包含以 UTF-16LE 编码的批处理脚本，这些脚本以隐藏模式执行，并发起出站连接以获取更多有效载荷。分析显示，该攻击链部署了基于 Python 的恶意软件，其中包括与 Kramer 家族相关的组件。

这些脚本执行内存注入、shellcode 执行和进一步的有效载荷部署，通常使用具有欺骗性的目录名称（例如“MainRingtones”）来逃避怀疑。

该文件包含一个恶意互联网快捷方式，会将受害者重定向到攻击者控制的 Cloudflare 基础设施，从而触发额外的下载和执行。

研究人员得出结论，此次攻击活动代表的是一个可扩展且可重用的恶意软件框架，而非单一攻击。开放目录、无文件技术和多语言有效载荷的使用，提高了攻击的灵活性和规避能力。

该攻击活动突显了攻击者如何结合脚本、云托管和非传统文件格式来绕过防御，同时保持快速的有效载荷轮换能力。

为降低此类威胁，组织应限制 VBS 和 BAT 文件等脚本的执行，尤其是在用户可写位置执行这些脚本。监控 PowerShell 活动和内存执行情况至关重要，同时还应阻止可疑域名并限制 WebDAV 流量。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《混淆的 VBS 和 PNG 加载器利用 RAT 有效载荷驱动新的 Open Directory 恶意软件活动》