RemcosRAT

Показател за заплахи

Класиране: 4,425
Ниво на заплаха: 80 % (Високо)
Заразени компютри: 26,563
Първо видяно: October 16, 2016
Последно видян: August 5, 2024
Засегнати операционни системи: Windows

Remcos RAT (троянски кон за отдалечен достъп) е сложен злонамерен софтуер, предназначен да проникне и контролира операционните системи Windows. Разработен и продаван от немска компания на име Breaking Security като легитимен инструмент за дистанционно управление и наблюдение, Remcos често е злоупотребяван от киберпрестъпници за злонамерени цели. Тази статия разглежда характеристиките, възможностите, въздействията и защитите, свързани с Remcos RAT, както и скорошни забележителни инциденти, включващи неговото внедряване.

Методи за внедряване и заразяване

Фишинг атаки
Remcos обикновено се разпространява чрез фишинг атаки, при които нищо неподозиращите потребители са подмамени да изтеглят и изпълняват злонамерени файлове. Тези фишинг имейли често съдържат:

Злонамерени ZIP файлове, маскирани като PDF файлове, твърдящи, че са фактури или поръчки.
Документи на Microsoft Office с вградени злонамерени макроси, предназначени да разположат злонамерения софтуер при активиране.

Техники за избягване
За да избегне откриването, Remcos използва усъвършенствани техники като:

  • Инжектиране на процес или вдлъбване на процес : Този метод позволява на Remcos да се изпълни в рамките на легитимен процес, като по този начин се избягва откриването от антивирусен софтуер.
  • Механизми за устойчивост : Веднъж инсталиран, Remcos гарантира, че остава активен, като използва механизми, които му позволяват да работи във фонов режим, скрит от потребителя.

Инфраструктура за командване и контрол (C2).

Основна възможност на Remcos е неговата функционалност за командване и управление (C2). Зловреден софтуер криптира своя комуникационен трафик по пътя към сървъра C2, което затруднява мерките за мрежова сигурност да прихванат и анализират данните. Remcos използва Distributed DNS (DDNS), за да създаде множество домейни за своите C2 сървъри. Тази техника помага на злонамерения софтуер да избегне защитите за сигурност, които разчитат на филтриране на трафика към известни злонамерени домейни, повишавайки неговата устойчивост и устойчивост.

Възможности на Remcos RAT

Remcos RAT е мощен инструмент, който предлага многобройни възможности на нападателите, позволявайки широк контрол и експлоатация на заразени системи:

Привилегия надморска височина
Remcos може да получи права на администратор на заразена система, което му позволява да:

  • Деактивирайте контрола на потребителските акаунти (UAC).
  • Изпълнявайте различни злонамерени функции с повишени привилегии.

Укриване на отбраната
Използвайки инжектиране на процес, Remcos се вгражда в легитимни процеси, което го прави предизвикателство за антивирусния софтуер за откриване. Освен това способността му да работи във фонов режим допълнително прикрива присъствието му от потребителите.

Събиране на данни

Remcos умее да събира широк набор от данни от заразената система, включително:

  • Натискания на клавиши
  • Екранни снимки
  • Аудио записи
  • Съдържание на клипборда
  • Съхранени пароли

Въздействие на Remcos RAT инфекция

Последствията от инфекция с Remcos са значителни и многостранни, засягащи както отделни потребители, така и организации:

  • Поглъщане на акаунт
    Чрез регистриране на натиснати клавиши и кражба на пароли, Remcos позволява на нападателите да превземат онлайн акаунти и други системи, което потенциално води до допълнителна кражба на данни и неоторизиран достъп в мрежата на организацията.
  • Кражба на данни
    Remcos е в състояние да ексфилтрира чувствителни данни от заразената система. Това може да доведе до пробиви на данни, или директно от компрометирания компютър, или от други системи, достъпени чрез откраднати идентификационни данни.
  • Последващи инфекции
    Инфекцията с Remcos може да служи като шлюз за внедряване на допълнителни варианти на зловреден софтуер. Това увеличава риска от последващи атаки, като инфекции с ransomware, което допълнително влошава щетите.

Защита срещу зловреден софтуер Remcos

Организациите могат да приемат няколко стратегии и най-добри практики за защита срещу инфекции с Remcos:

Сканиране на имейл
Внедряването на решения за сканиране на имейли, които идентифицират и блокират подозрителни имейли, може да предотврати първоначалното доставяне на Remcos до входящите кутии на потребителите.

Анализ на домейна
Наблюдението и анализирането на записите на домейни, поискани от крайните точки, може да помогне за идентифициране и блокиране на млади или подозрителни домейни, които може да са свързани с Remcos.

Анализ на мрежовия трафик
Вариантите на Remcos, които криптират своя трафик с помощта на нестандартни протоколи, могат да бъдат открити чрез анализ на мрежовия трафик, който може да маркира необичайни модели на трафик за по-нататъшно разследване.

Сигурност на крайната точка
Внедряването на решения за сигурност на крайни точки с възможност за откриване и отстраняване на инфекции с Remcos е от решаващо значение. Тези решения разчитат на установени индикатори за компрометиране, за да идентифицират и неутрализират зловреден софтуер.

Експлоатация на CrowdStrike Outage

При скорошен инцидент киберпрестъпниците се възползваха от световно прекъсване на работата на фирмата за киберсигурност CrowdStrike, за да разпространяват Remcos RAT. Нападателите са се насочили към клиентите на CrowdStrike в Латинска Америка, като са разпространили ZIP архивен файл с име „crowdstrike-hotfix.zip“. Този файл съдържа програма за зареждане на злонамерен софтуер, Hijack Loader, която впоследствие стартира полезния товар Remcos RAT.

ZIP архивът включва текстов файл („instrucciones.txt“) с инструкции на испански език, призовавайки целите да стартират изпълним файл („setup.exe“), за да се възстанови от проблема. Използването на испански имена на файлове и инструкции показва целенасочена кампания, насочена към базирани в Латинска Америка клиенти на CrowdStrike.

Заключение

Remcos RAT е мощен и многофункционален зловреден софтуер, който представлява значителна заплаха за Windows системите. Способността му да избягва откриването, да получава повишени привилегии и да събира обширни данни го прави предпочитан инструмент сред киберпрестъпниците. Като разбират неговите методи за внедряване, възможности и въздействия, организациите могат по-добре да се защитават срещу този злонамерен софтуер. Прилагането на стабилни мерки за сигурност и запазването на бдителност срещу фишинг атаки са ключови стъпки за смекчаване на риска, породен от Remcos RAT.

SpyHunter открива и премахва RemcosRAT

RemcosRAT видео

Съвет: Вклучите звука игледайте видеото в режим на цял екран.

Подробности за файловата система

RemcosRAT може да създаде следния файл(ове):
# Име на файл MD5 Откривания
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Подробности за регистъра

RemcosRAT може да създаде следния запис или записи в регистъра:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Справочници

RemcosRAT може да създаде следната директория или директории:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Тенденция

Най-гледан

Зареждане...