RemcosRAT

Απεικόνιση απειλών

Σειρά κατάταξης: 4,425
Επίπεδο απειλής: 80 % (Υψηλός)
Μολυσμένοι υπολογιστές: 26,563
Πρώτη εμφάνιση: October 16, 2016
Εθεάθη τελευταία: August 5, 2024
ΛΣ που επηρεάζονται: Windows

Το Remcos RAT (Remote Access Trojan) είναι ένα εξελιγμένο κακόβουλο λογισμικό που έχει σχεδιαστεί για να διεισδύει και να ελέγχει τα λειτουργικά συστήματα των Windows. Αναπτύχθηκε και πωλήθηκε από μια γερμανική εταιρεία με την επωνυμία Breaking Security ως νόμιμο εργαλείο τηλεχειρισμού και επιτήρησης, το Remcos χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου για κακόβουλους σκοπούς. Αυτό το άρθρο εμβαθύνει στα χαρακτηριστικά, τις δυνατότητες, τις επιπτώσεις και τις άμυνες που σχετίζονται με το Remcos RAT, καθώς και τα πρόσφατα αξιοσημείωτα περιστατικά που αφορούν την ανάπτυξή του.

Μέθοδοι ανάπτυξης και μόλυνσης

Επιθέσεις phishing
Το Remcos συνήθως διανέμεται μέσω επιθέσεων phishing, όπου ανυποψίαστοι χρήστες εξαπατώνται να κατεβάσουν και να εκτελέσουν κακόβουλα αρχεία. Αυτά τα μηνύματα ηλεκτρονικού ψαρέματος συχνά περιέχουν:

Κακόβουλα αρχεία ZIP μεταμφιεσμένα σε PDF, που ισχυρίζονται ότι είναι τιμολόγια ή παραγγελίες.
Έγγραφα του Microsoft Office με ενσωματωμένες κακόβουλες μακροεντολές που έχουν σχεδιαστεί για την ανάπτυξη του κακόβουλου λογισμικού κατά την ενεργοποίηση.

Τεχνικές Αποφυγής
Για να αποφύγει τον εντοπισμό, η Remcos χρησιμοποιεί προηγμένες τεχνικές όπως:

  • Process Injection ή Process Hollowing : Αυτή η μέθοδος επιτρέπει στο Remcos να εκτελεί μέσα σε μια νόμιμη διαδικασία, αποφεύγοντας έτσι τον εντοπισμό από λογισμικό προστασίας από ιούς.
  • Μηχανισμοί Εμμονής : Μόλις εγκατασταθεί, το Remcos διασφαλίζει ότι παραμένει ενεργό χρησιμοποιώντας μηχανισμούς που του επιτρέπουν να εκτελείται στο παρασκήνιο, κρυφά από τον χρήστη.

Υποδομή Διοίκησης και Ελέγχου (C2).

Μια βασική ικανότητα του Remcos είναι η λειτουργικότητά του Command-and-Control (C2). Το κακόβουλο λογισμικό κρυπτογραφεί την κυκλοφορία επικοινωνίας του καθ' οδόν προς τον διακομιστή C2, δυσκολεύοντας τα μέτρα ασφαλείας του δικτύου να υποκλέψουν και να αναλύσουν τα δεδομένα. Η Remcos χρησιμοποιεί Κατανεμημένο DNS (DDNS) για τη δημιουργία πολλαπλών τομέων για τους διακομιστές της C2. Αυτή η τεχνική βοηθά το κακόβουλο λογισμικό να αποφύγει τις προστασίες ασφαλείας που βασίζονται στο φιλτράρισμα της κυκλοφορίας σε γνωστούς κακόβουλους τομείς, ενισχύοντας την ανθεκτικότητα και την εμμονή του.

Δυνατότητες της Remcos RAT

Το Remcos RAT είναι ένα ισχυρό εργαλείο που προσφέρει πολυάριθμες δυνατότητες στους επιτιθέμενους, επιτρέποντας εκτεταμένο έλεγχο και εκμετάλλευση μολυσμένων συστημάτων:

Privilege Elevation
Το Remcos μπορεί να αποκτήσει δικαιώματα διαχειριστή σε ένα μολυσμένο σύστημα, επιτρέποντάς του να:

  • Απενεργοποίηση ελέγχου λογαριασμού χρήστη (UAC).
  • Εκτελέστε διάφορες κακόβουλες λειτουργίες με αυξημένα προνόμια.

Αμυντική Αποφυγή
Χρησιμοποιώντας την ένεση διεργασίας, η Remcos ενσωματώνεται σε νόμιμες διαδικασίες, καθιστώντας την πρόκληση για τον εντοπισμό του λογισμικού προστασίας από ιούς. Επιπλέον, η ικανότητά του να εκτελείται στο παρασκήνιο αποκρύπτει περαιτέρω την παρουσία του από τους χρήστες.

Συλλογή δεδομένων

Η Remcos είναι ικανή να συλλέγει ένα ευρύ φάσμα δεδομένων από το μολυσμένο σύστημα, όπως:

  • Πληκτρολογήσεις
  • Στιγμιότυπα οθόνης
  • Ηχογραφήσεις
  • Περιεχόμενα προχείρου
  • Αποθηκευμένοι κωδικοί πρόσβασης

Επίδραση μιας λοίμωξης από RAT Remcos

Οι συνέπειες μιας μόλυνσης από το Remcos είναι σημαντικές και πολύπλευρες, επηρεάζοντας τόσο μεμονωμένους χρήστες όσο και οργανισμούς:

  • Εξαγορά λογαριασμού
    Καταγράφοντας πατήματα πλήκτρων και κλοπή κωδικών πρόσβασης, η Remcos επιτρέπει στους εισβολείς να αναλάβουν διαδικτυακούς λογαριασμούς και άλλα συστήματα, οδηγώντας ενδεχομένως σε περαιτέρω κλοπή δεδομένων και μη εξουσιοδοτημένη πρόσβαση στο δίκτυο ενός οργανισμού.
  • Κλοπή Δεδομένων
    Το Remcos είναι σε θέση να εξάγει ευαίσθητα δεδομένα από το μολυσμένο σύστημα. Αυτό μπορεί να οδηγήσει σε παραβιάσεις δεδομένων, είτε απευθείας από τον υπολογιστή που έχει παραβιαστεί είτε από άλλα συστήματα στα οποία προσπελάζονται χρησιμοποιώντας κλεμμένα διαπιστευτήρια.
  • Επακόλουθες Λοιμώξεις
    Μια μόλυνση με το Remcos μπορεί να χρησιμεύσει ως πύλη για την ανάπτυξη πρόσθετων παραλλαγών κακόβουλου λογισμικού. Αυτό αυξάνει τον κίνδυνο επακόλουθων επιθέσεων, όπως μολύνσεις ransomware, επιδεινώνοντας περαιτέρω τη ζημιά.

Προστασία από κακόβουλο λογισμικό Remcos

Οι οργανισμοί μπορούν να υιοθετήσουν διάφορες στρατηγικές και βέλτιστες πρακτικές για την προστασία από τις λοιμώξεις Remcos:

Σάρωση email
Η εφαρμογή λύσεων σάρωσης email που εντοπίζουν και αποκλείουν ύποπτα email μπορεί να αποτρέψει την αρχική παράδοση του Remcos στα εισερχόμενα των χρηστών.

Ανάλυση Τομέα
Η παρακολούθηση και η ανάλυση των εγγραφών τομέα που ζητούνται από τα τελικά σημεία μπορεί να βοηθήσει στον εντοπισμό και τον αποκλεισμό νέων ή ύποπτων τομέων που μπορεί να σχετίζονται με το Remcos.

Ανάλυση επισκεψιμότητας δικτύου
Οι παραλλαγές του Remcos που κρυπτογραφούν την κυκλοφορία τους χρησιμοποιώντας μη τυποποιημένα πρωτόκολλα μπορούν να ανιχνευθούν μέσω ανάλυσης κίνησης δικτύου, η οποία μπορεί να επισημάνει ασυνήθιστα μοτίβα κυκλοφορίας για περαιτέρω διερεύνηση.

Ασφάλεια τελικού σημείου
Η ανάπτυξη λύσεων ασφάλειας τελικού σημείου με δυνατότητα εντοπισμού και αποκατάστασης λοιμώξεων από το Remcos είναι ζωτικής σημασίας. Αυτές οι λύσεις βασίζονται σε καθιερωμένους δείκτες συμβιβασμού για τον εντοπισμό και την εξουδετέρωση του κακόβουλου λογισμικού.

Εκμετάλλευση του CrowdStrike Outage

Σε ένα πρόσφατο περιστατικό, εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν μια παγκόσμια διακοπή λειτουργίας της εταιρείας κυβερνοασφάλειας CrowdStrike για τη διανομή του Remcos RAT. Οι επιτιθέμενοι στόχευσαν πελάτες του CrowdStrike στη Λατινική Αμερική διανέμοντας ένα αρχείο αρχείου ZIP με το όνομα «crowdstrike-hotfix.zip». Αυτό το αρχείο περιείχε ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού, το Hijack Loader, το οποίο στη συνέχεια ξεκίνησε το ωφέλιμο φορτίο Remcos RAT.

Το αρχείο ZIP περιλάμβανε ένα αρχείο κειμένου ('instrucciones.txt') με οδηγίες στην ισπανική γλώσσα, που παροτρύνει τους στόχους να εκτελέσουν ένα εκτελέσιμο αρχείο ('setup.exe') για να υποτίθεται ότι ανακτήσουν από το πρόβλημα. Η χρήση ισπανικών ονομάτων αρχείων και οδηγιών υποδηλώνει μια στοχευμένη καμπάνια που απευθύνεται σε πελάτες CrowdStrike με έδρα τη Λατινική Αμερική.

συμπέρασμα

Το Remcos RAT είναι ένα ισχυρό και ευέλικτο κακόβουλο λογισμικό που αποτελεί σημαντική απειλή για τα συστήματα Windows. Η ικανότητά του να αποφεύγει τον εντοπισμό, να αποκτά αυξημένα προνόμια και να συλλέγει εκτεταμένα δεδομένα το καθιστά ένα ευνοημένο εργαλείο μεταξύ των εγκληματιών του κυβερνοχώρου. Με την κατανόηση των μεθόδων ανάπτυξης, των δυνατοτήτων και των επιπτώσεών του, οι οργανισμοί μπορούν να αμυνθούν καλύτερα από αυτό το κακόβουλο λογισμικό. Η εφαρμογή ισχυρών μέτρων ασφαλείας και η επαγρύπνηση έναντι επιθέσεων phishing είναι κρίσιμα βήματα για τον μετριασμό του κινδύνου που θέτει η Remcos RAT.

Το SpyHunter εντοπίζει και αφαιρεί το RemcosRAT

RemcosRAT βίντεο

Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .

Λεπτομέρειες συστήματος αρχείων

RemcosRAT μπορεί να δημιουργήσει τα ακόλουθα αρχεία:
# Ονομα αρχείου MD5 Ανιχνεύσεις
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Στοιχεία Μητρώου

RemcosRAT μπορεί να δημιουργήσει την ακόλουθη καταχώρηση μητρώου ή καταχωρήσεις μητρώου:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

καταλόγους

Το RemcosRAT μπορεί να δημιουργήσει τον ακόλουθο κατάλογο ή καταλόγους:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...