RemcosRAT
Показател за заплахи
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards са доклади за оценка на различни заплахи от зловреден софтуер, които са събрани и анализирани от нашия изследователски екип. EnigmaSoft Threat Scorecards оценява и класира заплахите, като използва няколко показателя, включително реални и потенциални рискови фактори, тенденции, честота, разпространение и устойчивост. EnigmaSoft Threat Scorecards се актуализират редовно въз основа на нашите изследователски данни и показатели и са полезни за широк кръг компютърни потребители, от крайни потребители, търсещи решения за премахване на зловреден софтуер от техните системи, до експерти по сигурността, анализиращи заплахи.
EnigmaSoft Threat Scorecards показва разнообразна полезна информация, включително:
Класиране: Класирането на определена заплаха в базата данни за заплахи на EnigmaSoft.
Ниво на сериозност: Определеното ниво на сериозност на обект, представено числено, въз основа на нашия процес на моделиране на риска и изследване, както е обяснено в нашите критерии за оценка на заплахите .
Заразени компютри: Броят на потвърдените и предполагаеми случаи на определена заплаха, открити на заразени компютри, както се съобщава от SpyHunter.
Вижте също Критерии за оценка на заплахите .
Класиране: | 4,425 |
Ниво на заплаха: | 80 % (Високо) |
Заразени компютри: | 26,563 |
Първо видяно: | October 16, 2016 |
Последно видян: | August 5, 2024 |
Засегнати операционни системи: | Windows |
Remcos RAT (троянски кон за отдалечен достъп) е сложен злонамерен софтуер, предназначен да проникне и контролира операционните системи Windows. Разработен и продаван от немска компания на име Breaking Security като легитимен инструмент за дистанционно управление и наблюдение, Remcos често е злоупотребяван от киберпрестъпници за злонамерени цели. Тази статия разглежда характеристиките, възможностите, въздействията и защитите, свързани с Remcos RAT, както и скорошни забележителни инциденти, включващи неговото внедряване.
Съдържание
Методи за внедряване и заразяване
Фишинг атаки
Remcos обикновено се разпространява чрез фишинг атаки, при които нищо неподозиращите потребители са подмамени да изтеглят и изпълняват злонамерени файлове. Тези фишинг имейли често съдържат:
Злонамерени ZIP файлове, маскирани като PDF файлове, твърдящи, че са фактури или поръчки.
Документи на Microsoft Office с вградени злонамерени макроси, предназначени да разположат злонамерения софтуер при активиране.
Техники за избягване
За да избегне откриването, Remcos използва усъвършенствани техники като:
- Инжектиране на процес или вдлъбване на процес : Този метод позволява на Remcos да се изпълни в рамките на легитимен процес, като по този начин се избягва откриването от антивирусен софтуер.
- Механизми за устойчивост : Веднъж инсталиран, Remcos гарантира, че остава активен, като използва механизми, които му позволяват да работи във фонов режим, скрит от потребителя.
Инфраструктура за командване и контрол (C2).
Основна възможност на Remcos е неговата функционалност за командване и управление (C2). Зловреден софтуер криптира своя комуникационен трафик по пътя към сървъра C2, което затруднява мерките за мрежова сигурност да прихванат и анализират данните. Remcos използва Distributed DNS (DDNS), за да създаде множество домейни за своите C2 сървъри. Тази техника помага на злонамерения софтуер да избегне защитите за сигурност, които разчитат на филтриране на трафика към известни злонамерени домейни, повишавайки неговата устойчивост и устойчивост.
Възможности на Remcos RAT
Remcos RAT е мощен инструмент, който предлага многобройни възможности на нападателите, позволявайки широк контрол и експлоатация на заразени системи:
Привилегия надморска височина
Remcos може да получи права на администратор на заразена система, което му позволява да:
- Деактивирайте контрола на потребителските акаунти (UAC).
- Изпълнявайте различни злонамерени функции с повишени привилегии.
Укриване на отбраната
Използвайки инжектиране на процес, Remcos се вгражда в легитимни процеси, което го прави предизвикателство за антивирусния софтуер за откриване. Освен това способността му да работи във фонов режим допълнително прикрива присъствието му от потребителите.
Събиране на данни
Remcos умее да събира широк набор от данни от заразената система, включително:
- Натискания на клавиши
- Екранни снимки
- Аудио записи
- Съдържание на клипборда
- Съхранени пароли
Въздействие на Remcos RAT инфекция
Последствията от инфекция с Remcos са значителни и многостранни, засягащи както отделни потребители, така и организации:
- Поглъщане на акаунт
Чрез регистриране на натиснати клавиши и кражба на пароли, Remcos позволява на нападателите да превземат онлайн акаунти и други системи, което потенциално води до допълнителна кражба на данни и неоторизиран достъп в мрежата на организацията. - Кражба на данни
Remcos е в състояние да ексфилтрира чувствителни данни от заразената система. Това може да доведе до пробиви на данни, или директно от компрометирания компютър, или от други системи, достъпени чрез откраднати идентификационни данни. - Последващи инфекции
Инфекцията с Remcos може да служи като шлюз за внедряване на допълнителни варианти на зловреден софтуер. Това увеличава риска от последващи атаки, като инфекции с ransomware, което допълнително влошава щетите.
Защита срещу зловреден софтуер Remcos
Организациите могат да приемат няколко стратегии и най-добри практики за защита срещу инфекции с Remcos:
Сканиране на имейл
Внедряването на решения за сканиране на имейли, които идентифицират и блокират подозрителни имейли, може да предотврати първоначалното доставяне на Remcos до входящите кутии на потребителите.
Анализ на домейна
Наблюдението и анализирането на записите на домейни, поискани от крайните точки, може да помогне за идентифициране и блокиране на млади или подозрителни домейни, които може да са свързани с Remcos.
Анализ на мрежовия трафик
Вариантите на Remcos, които криптират своя трафик с помощта на нестандартни протоколи, могат да бъдат открити чрез анализ на мрежовия трафик, който може да маркира необичайни модели на трафик за по-нататъшно разследване.
Сигурност на крайната точка
Внедряването на решения за сигурност на крайни точки с възможност за откриване и отстраняване на инфекции с Remcos е от решаващо значение. Тези решения разчитат на установени индикатори за компрометиране, за да идентифицират и неутрализират зловреден софтуер.
Експлоатация на CrowdStrike Outage
При скорошен инцидент киберпрестъпниците се възползваха от световно прекъсване на работата на фирмата за киберсигурност CrowdStrike, за да разпространяват Remcos RAT. Нападателите са се насочили към клиентите на CrowdStrike в Латинска Америка, като са разпространили ZIP архивен файл с име „crowdstrike-hotfix.zip“. Този файл съдържа програма за зареждане на злонамерен софтуер, Hijack Loader, която впоследствие стартира полезния товар Remcos RAT.
ZIP архивът включва текстов файл („instrucciones.txt“) с инструкции на испански език, призовавайки целите да стартират изпълним файл („setup.exe“), за да се възстанови от проблема. Използването на испански имена на файлове и инструкции показва целенасочена кампания, насочена към базирани в Латинска Америка клиенти на CrowdStrike.
Заключение
Remcos RAT е мощен и многофункционален зловреден софтуер, който представлява значителна заплаха за Windows системите. Способността му да избягва откриването, да получава повишени привилегии и да събира обширни данни го прави предпочитан инструмент сред киберпрестъпниците. Като разбират неговите методи за внедряване, възможности и въздействия, организациите могат по-добре да се защитават срещу този злонамерен софтуер. Прилагането на стабилни мерки за сигурност и запазването на бдителност срещу фишинг атаки са ключови стъпки за смекчаване на риска, породен от Remcos RAT.
SpyHunter открива и премахва RemcosRAT
RemcosRAT видео
Съвет: Вклучите звука игледайте видеото в режим на цял екран.
Подробности за файловата система
# | Име на файл | MD5 |
Откривания
Откривания: Броят на потвърдените и предполагаеми случаи на определена заплаха, открити на заразени компютри, както се съобщава от SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Подробности за регистъра
Справочници
RemcosRAT може да създаде следната директория или директории:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |