RemcosRAT

Ohu tulemuskaart

Edetabel: 4,425
Ohu tase: 80 % (Kõrge)
Nakatunud arvutid: 26,563
Esimene nägemine: October 16, 2016
Viimati nähtud: August 5, 2024
Mõjutatud OS (id): Windows

Remcos RAT (Remote Access Trojan) on keerukas pahavara, mis on loodud Windowsi operatsioonisüsteemidesse imbumiseks ja nende juhtimiseks. Saksa ettevõtte Breaking Security poolt välja töötatud ja müüdud seadusliku kaugjuhtimis- ja seirevahendina kuritarvitavad küberkurjategijad sageli Remcost pahatahtlikel eesmärkidel. Selles artiklis käsitletakse Remcos RAT-iga seotud omadusi, võimalusi, mõjusid ja kaitsemehhanisme ning hiljutisi märkimisväärseid juhtumeid, mis on seotud selle kasutuselevõtuga.

Kasutus- ja nakatamismeetodid

Andmepüügirünnakud
Remcos levitatakse tavaliselt andmepüügirünnakute kaudu, mille käigus meelitatakse pahaaimamatuid kasutajaid alla laadima ja käivitama pahatahtlikke faile. Need andmepüügimeilid sisaldavad sageli järgmist:

Pahatahtlikud ZIP-failid, mis on maskeeritud PDF-failidena ja väidavad, et need on arved või tellimused.
Manustatud pahatahtlike makrodega Microsoft Office'i dokumendid, mis on loodud pahavara juurutamiseks pärast aktiveerimist.

Kõrvalehoidmise tehnikad
Tuvastamisest kõrvalehoidmiseks kasutab Remcos täiustatud tehnikaid, näiteks:

  • Protsessi sisestamine või protsessi õõnestamine : see meetod võimaldab Remcosil käitada seadusliku protsessi raames, vältides sellega viirusetõrjetarkvara tuvastamist.
  • Püsivusmehhanismid : pärast installimist tagab Remcos, et see jääb aktiivseks, kasutades mehhanisme, mis võimaldavad sellel kasutaja eest varjatult taustal töötada.

Käskude ja juhtimise (C2) infrastruktuur

Remcose põhiomadus on selle käsu- ja juhtimisfunktsioon (C2). Pahavara krüpteerib oma sideliikluse teel C2 serverisse, muutes võrgu turvameetmete jaoks andmete pealtkuulamise ja analüüsimise keeruliseks. Remcos kasutab oma C2-serverite jaoks mitme domeeni loomiseks hajutatud DNS-i (DDNS). See meetod aitab pahavaral vältida turvakaitseid, mis sõltuvad liikluse filtreerimisest teadaolevatesse pahatahtlikesse domeenidesse, suurendades selle vastupidavust ja püsivust.

Remcos RATi võimalused

Remcos RAT on võimas tööriist, mis pakub ründajatele mitmeid võimalusi, võimaldades nakatunud süsteemide ulatuslikku kontrolli ja kasutamist:

Privileegide tõus
Remcos võib hankida nakatunud süsteemis administraatoriõigused, võimaldades tal:

  • Keela kasutajakonto kontroll (UAC).
  • Käivitage kõrgendatud õigustega mitmesuguseid pahatahtlikke funktsioone.

Kaitsest kõrvalehoidmine
Protsessisüsti kasutades integreerib Remcos end seaduslikesse protsessidesse, muutes viirusetõrjetarkvara tuvastamise keeruliseks. Lisaks varjab selle taustal töötamine kasutajate eest veelgi enam selle kohalolekut.

Andmete kogumine

Remcos on osav koguma nakatunud süsteemist mitmesuguseid andmeid, sealhulgas:

  • Klahvivajutused
  • Ekraanipildid
  • Helisalvestised
  • Lõikepuhvri sisu
  • Salvestatud paroolid

Remcos RAT-i infektsiooni mõju

Remcose nakkuse tagajärjed on olulised ja mitmetahulised, mõjutades nii üksikkasutajaid kui ka organisatsioone:

  • Konto ülevõtmine
    Klahvivajutuste logimise ja paroolide varastamise kaudu võimaldab Remcos ründajatel võrgukontosid ja muid süsteeme üle võtta, mis võib viia täiendava andmete varguseni ja volitamata juurdepääsuni organisatsiooni võrgus.
  • Andmete vargus
    Remcos on võimeline nakatunud süsteemist tundlikke andmeid välja filtreerima. See võib põhjustada andmetega seotud rikkumisi kas otse ohustatud arvutist või muudest süsteemidest, millele pääseb juurde varastatud mandaatide abil.
  • Järelinfektsioonid
    Remcosega nakatumine võib olla värav täiendavate pahavaravariantide juurutamiseks. See suurendab järgnevate rünnakute, näiteks lunavaranakkuste ohtu, suurendades kahju veelgi.

Kaitse Remcosi pahavara eest

Organisatsioonid võivad Remcos-nakkuste eest kaitsmiseks kasutada mitmeid strateegiaid ja parimaid tavasid:

Meili skannimine
Kahtlaste meilide tuvastamise ja blokeerimise e-kirjade skannimise lahenduste rakendamine võib takistada Remcode esmast tarnimist kasutajate postkasti.

Domeeni analüüs
Lõpp-punktide taotletud domeenikirjete jälgimine ja analüüs võib aidata tuvastada ja blokeerida noori või kahtlasi domeene, mis võivad olla seotud Remcosega.

Võrguliikluse analüüs
Remcosi variante, mis krüpteerivad oma liiklust mittestandardsete protokollidega, saab tuvastada võrguliikluse analüüsi abil, mis võib edasiseks uurimiseks märgistada ebatavalised liiklusmustrid.

Lõpp-punkti turvalisus
Ülioluline on Remcosi nakkuste tuvastamise ja kõrvaldamise võimega lõpp-punkti turbelahenduste juurutamine. Need lahendused tuginevad pahavara tuvastamiseks ja neutraliseerimiseks väljakujunenud kompromissinäitajatel.

CrowdStrike'i katkestuse ärakasutamine

Hiljutises intsidendis kasutasid küberkurjategijad Remcos RATi levitamiseks ära küberturbefirma CrowdStrike ülemaailmset katkestust. Ründajad võtsid sihikule CrowdStrike'i kliendid Ladina-Ameerikas, levitades ZIP-arhiivifaili nimega "crowdstrike-hotfix.zip". See fail sisaldas pahavara laadijat Hijack Loader, mis seejärel käivitas Remcos RAT kasuliku koormuse.

ZIP-arhiiv sisaldas tekstifaili ('instrucciones.txt') hispaaniakeelsete juhistega, kutsudes sihtmärke üles käivitama käivitatavat faili ('setup.exe'), et väidetavalt probleemist taastuda. Hispaaniakeelsete failinimede ja juhiste kasutamine viitab sihitud kampaaniale, mis on suunatud Ladina-Ameerikas asuvatele CrowdStrike'i klientidele.

Järeldus

Remcos RAT on võimas ja mitmekülgne pahavara, mis kujutab Windowsi süsteemidele märkimisväärset ohtu. Selle võime avastamisest kõrvale hiilida, kõrgendatud õigusi omandada ja ulatuslikke andmeid koguda muudab selle küberkurjategijate seas eelistatud tööriistaks. Mõistes selle juurutusmeetodeid, võimalusi ja mõjusid, saavad organisatsioonid selle ründetarkvara eest paremini kaitsta. Tugevate turvameetmete rakendamine ja andmepüügirünnakute suhtes valvsus on Remcos RAT-i tekitatud riskide vähendamisel üliolulised sammud.

SpyHunter tuvastab ja eemaldab RemcosRAT

RemcosRAT Video

Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .

Failisüsteemi üksikasjad

RemcosRAT võib luua järgmise(d) faili(d):
# Faili nimi MD5 Tuvastamised
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Registri üksikasjad

RemcosRAT võib luua järgmised registrikirjed või -kanded:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Kataloogid

RemcosRAT võib luua järgmise kataloogi või kataloogid:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trendikas

Enim vaadatud

Laadimine...