RemcosRAT
Απεικόνιση απειλών
EnigmaSoft Threat Scorecard
Τα EnigmaSoft Threat Scorecards είναι αναφορές αξιολόγησης για διαφορετικές απειλές κακόβουλου λογισμικού που έχουν συλλεχθεί και αναλυθεί από την ερευνητική μας ομάδα. Τα EnigmaSoft Threat Scorecards αξιολογούν και ταξινομούν τις απειλές χρησιμοποιώντας διάφορες μετρήσεις, συμπεριλαμβανομένων των πραγματικών και πιθανών παραγόντων κινδύνου, των τάσεων, της συχνότητας, της επικράτησης και της εμμονής. Οι κάρτες αποτελεσμάτων EnigmaSoft Threat ενημερώνονται τακτικά με βάση τα ερευνητικά δεδομένα και τις μετρήσεις μας και είναι χρήσιμες για ένα ευρύ φάσμα χρηστών υπολογιστών, από τελικούς χρήστες που αναζητούν λύσεις για την αφαίρεση κακόβουλου λογισμικού από τα συστήματά τους έως ειδικούς σε θέματα ασφάλειας που αναλύουν απειλές.
Οι κάρτες αποτελεσμάτων EnigmaSoft Threat εμφανίζουν μια ποικιλία από χρήσιμες πληροφορίες, όπως:
Κατάταξη: Η κατάταξη μιας συγκεκριμένης απειλής στη βάση δεδομένων απειλών της EnigmaSoft.
Επίπεδο σοβαρότητας: Το καθορισμένο επίπεδο σοβαρότητας ενός αντικειμένου, που αναπαρίσταται αριθμητικά, με βάση τη διαδικασία μοντελοποίησης κινδύνου και την έρευνά μας, όπως εξηγείται στα Κριτήρια αξιολόγησης απειλών .
Μολυσμένοι υπολογιστές: Ο αριθμός των επιβεβαιωμένων και ύποπτων περιπτώσεων μιας συγκεκριμένης απειλής που εντοπίστηκαν σε μολυσμένους υπολογιστές όπως αναφέρθηκε από το SpyHunter.
Δείτε επίσης Κριτήρια αξιολόγησης απειλών .
Σειρά κατάταξης: | 4,425 |
Επίπεδο απειλής: | 80 % (Υψηλός) |
Μολυσμένοι υπολογιστές: | 26,563 |
Πρώτη εμφάνιση: | October 16, 2016 |
Εθεάθη τελευταία: | August 5, 2024 |
ΛΣ που επηρεάζονται: | Windows |
Το Remcos RAT (Remote Access Trojan) είναι ένα εξελιγμένο κακόβουλο λογισμικό που έχει σχεδιαστεί για να διεισδύει και να ελέγχει τα λειτουργικά συστήματα των Windows. Αναπτύχθηκε και πωλήθηκε από μια γερμανική εταιρεία με την επωνυμία Breaking Security ως νόμιμο εργαλείο τηλεχειρισμού και επιτήρησης, το Remcos χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου για κακόβουλους σκοπούς. Αυτό το άρθρο εμβαθύνει στα χαρακτηριστικά, τις δυνατότητες, τις επιπτώσεις και τις άμυνες που σχετίζονται με το Remcos RAT, καθώς και τα πρόσφατα αξιοσημείωτα περιστατικά που αφορούν την ανάπτυξή του.
Πίνακας περιεχομένων
Μέθοδοι ανάπτυξης και μόλυνσης
Επιθέσεις phishing
Το Remcos συνήθως διανέμεται μέσω επιθέσεων phishing, όπου ανυποψίαστοι χρήστες εξαπατώνται να κατεβάσουν και να εκτελέσουν κακόβουλα αρχεία. Αυτά τα μηνύματα ηλεκτρονικού ψαρέματος συχνά περιέχουν:
Κακόβουλα αρχεία ZIP μεταμφιεσμένα σε PDF, που ισχυρίζονται ότι είναι τιμολόγια ή παραγγελίες.
Έγγραφα του Microsoft Office με ενσωματωμένες κακόβουλες μακροεντολές που έχουν σχεδιαστεί για την ανάπτυξη του κακόβουλου λογισμικού κατά την ενεργοποίηση.
Τεχνικές Αποφυγής
Για να αποφύγει τον εντοπισμό, η Remcos χρησιμοποιεί προηγμένες τεχνικές όπως:
- Process Injection ή Process Hollowing : Αυτή η μέθοδος επιτρέπει στο Remcos να εκτελεί μέσα σε μια νόμιμη διαδικασία, αποφεύγοντας έτσι τον εντοπισμό από λογισμικό προστασίας από ιούς.
- Μηχανισμοί Εμμονής : Μόλις εγκατασταθεί, το Remcos διασφαλίζει ότι παραμένει ενεργό χρησιμοποιώντας μηχανισμούς που του επιτρέπουν να εκτελείται στο παρασκήνιο, κρυφά από τον χρήστη.
Υποδομή Διοίκησης και Ελέγχου (C2).
Μια βασική ικανότητα του Remcos είναι η λειτουργικότητά του Command-and-Control (C2). Το κακόβουλο λογισμικό κρυπτογραφεί την κυκλοφορία επικοινωνίας του καθ' οδόν προς τον διακομιστή C2, δυσκολεύοντας τα μέτρα ασφαλείας του δικτύου να υποκλέψουν και να αναλύσουν τα δεδομένα. Η Remcos χρησιμοποιεί Κατανεμημένο DNS (DDNS) για τη δημιουργία πολλαπλών τομέων για τους διακομιστές της C2. Αυτή η τεχνική βοηθά το κακόβουλο λογισμικό να αποφύγει τις προστασίες ασφαλείας που βασίζονται στο φιλτράρισμα της κυκλοφορίας σε γνωστούς κακόβουλους τομείς, ενισχύοντας την ανθεκτικότητα και την εμμονή του.
Δυνατότητες της Remcos RAT
Το Remcos RAT είναι ένα ισχυρό εργαλείο που προσφέρει πολυάριθμες δυνατότητες στους επιτιθέμενους, επιτρέποντας εκτεταμένο έλεγχο και εκμετάλλευση μολυσμένων συστημάτων:
Privilege Elevation
Το Remcos μπορεί να αποκτήσει δικαιώματα διαχειριστή σε ένα μολυσμένο σύστημα, επιτρέποντάς του να:
- Απενεργοποίηση ελέγχου λογαριασμού χρήστη (UAC).
- Εκτελέστε διάφορες κακόβουλες λειτουργίες με αυξημένα προνόμια.
Αμυντική Αποφυγή
Χρησιμοποιώντας την ένεση διεργασίας, η Remcos ενσωματώνεται σε νόμιμες διαδικασίες, καθιστώντας την πρόκληση για τον εντοπισμό του λογισμικού προστασίας από ιούς. Επιπλέον, η ικανότητά του να εκτελείται στο παρασκήνιο αποκρύπτει περαιτέρω την παρουσία του από τους χρήστες.
Συλλογή δεδομένων
Η Remcos είναι ικανή να συλλέγει ένα ευρύ φάσμα δεδομένων από το μολυσμένο σύστημα, όπως:
- Πληκτρολογήσεις
- Στιγμιότυπα οθόνης
- Ηχογραφήσεις
- Περιεχόμενα προχείρου
- Αποθηκευμένοι κωδικοί πρόσβασης
Επίδραση μιας λοίμωξης από RAT Remcos
Οι συνέπειες μιας μόλυνσης από το Remcos είναι σημαντικές και πολύπλευρες, επηρεάζοντας τόσο μεμονωμένους χρήστες όσο και οργανισμούς:
- Εξαγορά λογαριασμού
Καταγράφοντας πατήματα πλήκτρων και κλοπή κωδικών πρόσβασης, η Remcos επιτρέπει στους εισβολείς να αναλάβουν διαδικτυακούς λογαριασμούς και άλλα συστήματα, οδηγώντας ενδεχομένως σε περαιτέρω κλοπή δεδομένων και μη εξουσιοδοτημένη πρόσβαση στο δίκτυο ενός οργανισμού. - Κλοπή Δεδομένων
Το Remcos είναι σε θέση να εξάγει ευαίσθητα δεδομένα από το μολυσμένο σύστημα. Αυτό μπορεί να οδηγήσει σε παραβιάσεις δεδομένων, είτε απευθείας από τον υπολογιστή που έχει παραβιαστεί είτε από άλλα συστήματα στα οποία προσπελάζονται χρησιμοποιώντας κλεμμένα διαπιστευτήρια. - Επακόλουθες Λοιμώξεις
Μια μόλυνση με το Remcos μπορεί να χρησιμεύσει ως πύλη για την ανάπτυξη πρόσθετων παραλλαγών κακόβουλου λογισμικού. Αυτό αυξάνει τον κίνδυνο επακόλουθων επιθέσεων, όπως μολύνσεις ransomware, επιδεινώνοντας περαιτέρω τη ζημιά.
Προστασία από κακόβουλο λογισμικό Remcos
Οι οργανισμοί μπορούν να υιοθετήσουν διάφορες στρατηγικές και βέλτιστες πρακτικές για την προστασία από τις λοιμώξεις Remcos:
Σάρωση email
Η εφαρμογή λύσεων σάρωσης email που εντοπίζουν και αποκλείουν ύποπτα email μπορεί να αποτρέψει την αρχική παράδοση του Remcos στα εισερχόμενα των χρηστών.
Ανάλυση Τομέα
Η παρακολούθηση και η ανάλυση των εγγραφών τομέα που ζητούνται από τα τελικά σημεία μπορεί να βοηθήσει στον εντοπισμό και τον αποκλεισμό νέων ή ύποπτων τομέων που μπορεί να σχετίζονται με το Remcos.
Ανάλυση επισκεψιμότητας δικτύου
Οι παραλλαγές του Remcos που κρυπτογραφούν την κυκλοφορία τους χρησιμοποιώντας μη τυποποιημένα πρωτόκολλα μπορούν να ανιχνευθούν μέσω ανάλυσης κίνησης δικτύου, η οποία μπορεί να επισημάνει ασυνήθιστα μοτίβα κυκλοφορίας για περαιτέρω διερεύνηση.
Ασφάλεια τελικού σημείου
Η ανάπτυξη λύσεων ασφάλειας τελικού σημείου με δυνατότητα εντοπισμού και αποκατάστασης λοιμώξεων από το Remcos είναι ζωτικής σημασίας. Αυτές οι λύσεις βασίζονται σε καθιερωμένους δείκτες συμβιβασμού για τον εντοπισμό και την εξουδετέρωση του κακόβουλου λογισμικού.
Εκμετάλλευση του CrowdStrike Outage
Σε ένα πρόσφατο περιστατικό, εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν μια παγκόσμια διακοπή λειτουργίας της εταιρείας κυβερνοασφάλειας CrowdStrike για τη διανομή του Remcos RAT. Οι επιτιθέμενοι στόχευσαν πελάτες του CrowdStrike στη Λατινική Αμερική διανέμοντας ένα αρχείο αρχείου ZIP με το όνομα «crowdstrike-hotfix.zip». Αυτό το αρχείο περιείχε ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού, το Hijack Loader, το οποίο στη συνέχεια ξεκίνησε το ωφέλιμο φορτίο Remcos RAT.
Το αρχείο ZIP περιλάμβανε ένα αρχείο κειμένου ('instrucciones.txt') με οδηγίες στην ισπανική γλώσσα, που παροτρύνει τους στόχους να εκτελέσουν ένα εκτελέσιμο αρχείο ('setup.exe') για να υποτίθεται ότι ανακτήσουν από το πρόβλημα. Η χρήση ισπανικών ονομάτων αρχείων και οδηγιών υποδηλώνει μια στοχευμένη καμπάνια που απευθύνεται σε πελάτες CrowdStrike με έδρα τη Λατινική Αμερική.
συμπέρασμα
Το Remcos RAT είναι ένα ισχυρό και ευέλικτο κακόβουλο λογισμικό που αποτελεί σημαντική απειλή για τα συστήματα Windows. Η ικανότητά του να αποφεύγει τον εντοπισμό, να αποκτά αυξημένα προνόμια και να συλλέγει εκτεταμένα δεδομένα το καθιστά ένα ευνοημένο εργαλείο μεταξύ των εγκληματιών του κυβερνοχώρου. Με την κατανόηση των μεθόδων ανάπτυξης, των δυνατοτήτων και των επιπτώσεών του, οι οργανισμοί μπορούν να αμυνθούν καλύτερα από αυτό το κακόβουλο λογισμικό. Η εφαρμογή ισχυρών μέτρων ασφαλείας και η επαγρύπνηση έναντι επιθέσεων phishing είναι κρίσιμα βήματα για τον μετριασμό του κινδύνου που θέτει η Remcos RAT.
Το SpyHunter εντοπίζει και αφαιρεί το RemcosRAT
RemcosRAT βίντεο
Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .
Λεπτομέρειες συστήματος αρχείων
# | Ονομα αρχείου | MD5 |
Ανιχνεύσεις
Ανιχνεύσεις: Ο αριθμός των επιβεβαιωμένων και ύποπτων περιπτώσεων μιας συγκεκριμένης απειλής που εντοπίστηκαν σε μολυσμένους υπολογιστές όπως αναφέρθηκε από το SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Στοιχεία Μητρώου
καταλόγους
Το RemcosRAT μπορεί να δημιουργήσει τον ακόλουθο κατάλογο ή καταλόγους:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |