RemcosRAT

Trusselscorekort

Rangering: 4,425
Trusselsniveau: 80 % (Høj)
Inficerede computere: 26,563
Først set: October 16, 2016
Sidst set: August 5, 2024
Berørte operativsystemer: Windows

Remcos RAT (Remote Access Trojan) er en sofistikeret malware designet til at infiltrere og kontrollere Windows-operativsystemer. Udviklet og solgt af et tysk firma ved navn Breaking Security som et legitimt fjernbetjenings- og overvågningsværktøj, bliver Remcos ofte misbrugt af cyberkriminelle til ondsindede formål. Denne artikel dykker ned i karakteristika, kapaciteter, påvirkninger og forsvar relateret til Remcos RAT, såvel som nylige bemærkelsesværdige hændelser, der involverer dens udrulning.

Implementering og infektionsmetoder

Phishing-angreb
Remcos distribueres typisk gennem phishing-angreb, hvor intetanende brugere bliver narret til at downloade og eksekvere ondsindede filer. Disse phishing-e-mails indeholder ofte:

Ondsindede ZIP-filer forklædt som PDF-filer, der hævder at være fakturaer eller ordrer.
Microsoft Office-dokumenter med indlejrede ondsindede makroer designet til at implementere malwaren ved aktivering.

Undvigelsesteknikker
For at undgå opdagelse anvender Remcos avancerede teknikker som:

  • Procesinjektion eller procesudhulning : Denne metode gør det muligt for Remcos at udføre inden for en lovlig proces og derved undgå opdagelse af antivirussoftware.
  • Vedvarende mekanismer : Når den er installeret, sikrer Remcos, at den forbliver aktiv ved at bruge mekanismer, der tillader den at køre i baggrunden, skjult for brugeren.

Kommando-og-kontrol (C2) infrastruktur

En kerneegenskab ved Remcos er dens Command-and-Control (C2) funktionalitet. Malwaren krypterer sin kommunikationstrafik på vej til C2-serveren, hvilket gør det vanskeligt for netværkssikkerhedsforanstaltninger at opsnappe og analysere dataene. Remcos bruger distribueret DNS (DDNS) til at oprette flere domæner til sine C2-servere. Denne teknik hjælper malware med at unddrage sig sikkerhedsbeskyttelse, der er afhængig af at filtrere trafik til kendte ondsindede domæner, hvilket forbedrer dens modstandsdygtighed og vedholdenhed.

Muligheder for Remcos RAT

Remcos RAT er et kraftfuldt værktøj, der tilbyder angribere adskillige muligheder, hvilket muliggør omfattende kontrol og udnyttelse af inficerede systemer:

Privilegium Forhøjelse
Remcos kan få administratortilladelser på et inficeret system, hvilket giver det mulighed for at:

  • Deaktiver brugerkontokontrol (UAC).
  • Udfør forskellige ondsindede funktioner med forhøjede privilegier.

Forsvarsunddragelse
Ved at bruge procesinjektion indlejrer Remcos sig i legitime processer, hvilket gør det udfordrende for antivirussoftware at opdage. Derudover skjuler dens evne til at køre i baggrunden dens tilstedeværelse for brugerne.

Dataindsamling

Remcos er dygtig til at indsamle en lang række data fra det inficerede system, herunder:

  • Tastetryk
  • Skærmbilleder
  • Lydoptagelser
  • Udklipsholderens indhold
  • Gemte adgangskoder

Virkningen af en Remcos RAT-infektion

Konsekvenserne af en Remcos-infektion er betydelige og mangefacetterede og påvirker både individuelle brugere og organisationer:

  • Kontoovertagelse
    Ved at logge tastetryk og stjæle adgangskoder gør Remcos det muligt for angribere at overtage onlinekonti og andre systemer, hvilket potentielt kan føre til yderligere datatyveri og uautoriseret adgang inden for en organisations netværk.
  • Datatyveri
    Remcos er i stand til at eksfiltrere følsomme data fra det inficerede system. Dette kan resultere i databrud, enten direkte fra den kompromitterede computer eller fra andre systemer, der tilgås ved hjælp af stjålne legitimationsoplysninger.
  • Opfølgende infektioner
    En infektion med Remcos kan tjene som en gateway til implementering af yderligere malware-varianter. Dette øger risikoen for efterfølgende angreb, såsom ransomware-infektioner, hvilket yderligere forværrer skaden.

Beskyttelse mod Remcos Malware

Organisationer kan vedtage flere strategier og bedste praksis for at beskytte mod Remcos-infektioner:

E-mail scanning
Implementering af e-mail-scanningsløsninger, der identificerer og blokerer mistænkelige e-mails, kan forhindre den første levering af Remcos til brugernes indbakker.

Domæneanalyse
Overvågning og analyse af domæneregistreringer anmodet af slutpunkter kan hjælpe med at identificere og blokere unge eller mistænkelige domæner, der kan være forbundet med Remcos.

Netværkstrafikanalyse
Remcos-varianter, der krypterer deres trafik ved hjælp af ikke-standardiserede protokoller, kan detekteres gennem netværkstrafikanalyse, som kan markere usædvanlige trafikmønstre til yderligere undersøgelse.

Endpoint Security
Implementering af slutpunktssikkerhedsløsninger med evnen til at opdage og afhjælpe Remcos-infektioner er afgørende. Disse løsninger er afhængige af etablerede indikatorer for kompromis for at identificere og neutralisere malwaren.

Udnyttelse af CrowdStrike-afbrydelse

I en nylig hændelse udnyttede cyberkriminelle en verdensomspændende afbrydelse af cybersikkerhedsfirmaet CrowdStrike til at distribuere Remcos RAT. Angriberne målrettede CrowdStrike-kunder i Latinamerika ved at distribuere en ZIP-arkivfil ved navn 'crowdstrike-hotfix.zip.' Denne fil indeholdt en malware-indlæser, Hijack Loader, som efterfølgende lancerede Remcos RAT-nyttelasten.

ZIP-arkivet indeholdt en tekstfil ('instrucciones.txt') med spansksprogede instruktioner, der opfordrede mål til at køre en eksekverbar fil ('setup.exe') for angiveligt at komme sig fra problemet. Brugen af spanske filnavne og instruktioner indikerer en målrettet kampagne rettet mod Latinamerika-baserede CrowdStrike-kunder.

Konklusion

Remcos RAT er en potent og alsidig malware, der udgør en betydelig trussel mod Windows-systemer. Dens evne til at undgå opdagelse, opnå forhøjede privilegier og indsamle omfattende data gør det til et yndet værktøj blandt cyberkriminelle. Ved at forstå dets implementeringsmetoder, muligheder og virkninger kan organisationer bedre forsvare sig mod denne ondsindede software. Implementering af robuste sikkerhedsforanstaltninger og forblive på vagt over for phishing-angreb er afgørende skridt til at mindske risikoen ved Remcos RAT.

SpyHunter registrerer og fjerner RemcosRAT

RemcosRAT Video

Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.

Detaljer om filsystem

RemcosRAT kan oprette følgende fil(er):
# Filnavn MD5 Detektioner
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Registreringsoplysninger

RemcosRAT kan oprette følgende registreringsdatabasepost eller registreringsposter:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Vejviser

RemcosRAT kan oprette følgende mappe eller mapper:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trending

Mest sete

Indlæser...