RemcosRAT
Ohu tulemuskaart
EnigmaSoft Threat Scardcard
EnigmaSoft Threat Scorecards on erinevate pahavaraohtude hindamisaruanded, mille on kogunud ja analüüsinud meie uurimismeeskond. EnigmaSoft Threat Scorecards hindavad ja järjestavad ohte, kasutades mitmeid mõõdikuid, sealhulgas reaalseid ja potentsiaalseid riskitegureid, suundumusi, sagedust, levimust ja püsivust. EnigmaSoft Threat Scorecards uuendatakse regulaarselt meie uurimisandmete ja mõõdikute põhjal ning need on kasulikud paljudele arvutikasutajatele, alates lõppkasutajatest, kes otsivad lahendusi pahavara eemaldamiseks oma süsteemidest, kuni ohtusid analüüsivate turvaekspertideni.
EnigmaSoft Threat Scorecards kuvab mitmesugust kasulikku teavet, sealhulgas:
Edetabel: konkreetse ohu pingerida EnigmaSofti ohtude andmebaasis.
Raskusaste: objekti kindlaksmääratud raskusaste, mis on esitatud arvuliselt, tuginedes meie riskide modelleerimise protsessile ja uuringutele, nagu on selgitatud meie ohu hindamise kriteeriumides .
Nakatunud arvutid: SpyHunteri teatel nakatunud arvutites tuvastatud konkreetse ohu kinnitatud ja kahtlustatavate juhtumite arv.
Vt ka Ohu hindamise kriteeriumid .
Edetabel: | 4,425 |
Ohu tase: | 80 % (Kõrge) |
Nakatunud arvutid: | 26,563 |
Esimene nägemine: | October 16, 2016 |
Viimati nähtud: | August 5, 2024 |
Mõjutatud OS (id): | Windows |
Remcos RAT (Remote Access Trojan) on keerukas pahavara, mis on loodud Windowsi operatsioonisüsteemidesse imbumiseks ja nende juhtimiseks. Saksa ettevõtte Breaking Security poolt välja töötatud ja müüdud seadusliku kaugjuhtimis- ja seirevahendina kuritarvitavad küberkurjategijad sageli Remcost pahatahtlikel eesmärkidel. Selles artiklis käsitletakse Remcos RAT-iga seotud omadusi, võimalusi, mõjusid ja kaitsemehhanisme ning hiljutisi märkimisväärseid juhtumeid, mis on seotud selle kasutuselevõtuga.
Sisukord
Kasutus- ja nakatamismeetodid
Andmepüügirünnakud
Remcos levitatakse tavaliselt andmepüügirünnakute kaudu, mille käigus meelitatakse pahaaimamatuid kasutajaid alla laadima ja käivitama pahatahtlikke faile. Need andmepüügimeilid sisaldavad sageli järgmist:
Pahatahtlikud ZIP-failid, mis on maskeeritud PDF-failidena ja väidavad, et need on arved või tellimused.
Manustatud pahatahtlike makrodega Microsoft Office'i dokumendid, mis on loodud pahavara juurutamiseks pärast aktiveerimist.
Kõrvalehoidmise tehnikad
Tuvastamisest kõrvalehoidmiseks kasutab Remcos täiustatud tehnikaid, näiteks:
- Protsessi sisestamine või protsessi õõnestamine : see meetod võimaldab Remcosil käitada seadusliku protsessi raames, vältides sellega viirusetõrjetarkvara tuvastamist.
- Püsivusmehhanismid : pärast installimist tagab Remcos, et see jääb aktiivseks, kasutades mehhanisme, mis võimaldavad sellel kasutaja eest varjatult taustal töötada.
Käskude ja juhtimise (C2) infrastruktuur
Remcose põhiomadus on selle käsu- ja juhtimisfunktsioon (C2). Pahavara krüpteerib oma sideliikluse teel C2 serverisse, muutes võrgu turvameetmete jaoks andmete pealtkuulamise ja analüüsimise keeruliseks. Remcos kasutab oma C2-serverite jaoks mitme domeeni loomiseks hajutatud DNS-i (DDNS). See meetod aitab pahavaral vältida turvakaitseid, mis sõltuvad liikluse filtreerimisest teadaolevatesse pahatahtlikesse domeenidesse, suurendades selle vastupidavust ja püsivust.
Remcos RATi võimalused
Remcos RAT on võimas tööriist, mis pakub ründajatele mitmeid võimalusi, võimaldades nakatunud süsteemide ulatuslikku kontrolli ja kasutamist:
Privileegide tõus
Remcos võib hankida nakatunud süsteemis administraatoriõigused, võimaldades tal:
- Keela kasutajakonto kontroll (UAC).
- Käivitage kõrgendatud õigustega mitmesuguseid pahatahtlikke funktsioone.
Kaitsest kõrvalehoidmine
Protsessisüsti kasutades integreerib Remcos end seaduslikesse protsessidesse, muutes viirusetõrjetarkvara tuvastamise keeruliseks. Lisaks varjab selle taustal töötamine kasutajate eest veelgi enam selle kohalolekut.
Andmete kogumine
Remcos on osav koguma nakatunud süsteemist mitmesuguseid andmeid, sealhulgas:
- Klahvivajutused
- Ekraanipildid
- Helisalvestised
- Lõikepuhvri sisu
- Salvestatud paroolid
Remcos RAT-i infektsiooni mõju
Remcose nakkuse tagajärjed on olulised ja mitmetahulised, mõjutades nii üksikkasutajaid kui ka organisatsioone:
- Konto ülevõtmine
Klahvivajutuste logimise ja paroolide varastamise kaudu võimaldab Remcos ründajatel võrgukontosid ja muid süsteeme üle võtta, mis võib viia täiendava andmete varguseni ja volitamata juurdepääsuni organisatsiooni võrgus. - Andmete vargus
Remcos on võimeline nakatunud süsteemist tundlikke andmeid välja filtreerima. See võib põhjustada andmetega seotud rikkumisi kas otse ohustatud arvutist või muudest süsteemidest, millele pääseb juurde varastatud mandaatide abil. - Järelinfektsioonid
Remcosega nakatumine võib olla värav täiendavate pahavaravariantide juurutamiseks. See suurendab järgnevate rünnakute, näiteks lunavaranakkuste ohtu, suurendades kahju veelgi.
Kaitse Remcosi pahavara eest
Organisatsioonid võivad Remcos-nakkuste eest kaitsmiseks kasutada mitmeid strateegiaid ja parimaid tavasid:
Meili skannimine
Kahtlaste meilide tuvastamise ja blokeerimise e-kirjade skannimise lahenduste rakendamine võib takistada Remcode esmast tarnimist kasutajate postkasti.
Domeeni analüüs
Lõpp-punktide taotletud domeenikirjete jälgimine ja analüüs võib aidata tuvastada ja blokeerida noori või kahtlasi domeene, mis võivad olla seotud Remcosega.
Võrguliikluse analüüs
Remcosi variante, mis krüpteerivad oma liiklust mittestandardsete protokollidega, saab tuvastada võrguliikluse analüüsi abil, mis võib edasiseks uurimiseks märgistada ebatavalised liiklusmustrid.
Lõpp-punkti turvalisus
Ülioluline on Remcosi nakkuste tuvastamise ja kõrvaldamise võimega lõpp-punkti turbelahenduste juurutamine. Need lahendused tuginevad pahavara tuvastamiseks ja neutraliseerimiseks väljakujunenud kompromissinäitajatel.
CrowdStrike'i katkestuse ärakasutamine
Hiljutises intsidendis kasutasid küberkurjategijad Remcos RATi levitamiseks ära küberturbefirma CrowdStrike ülemaailmset katkestust. Ründajad võtsid sihikule CrowdStrike'i kliendid Ladina-Ameerikas, levitades ZIP-arhiivifaili nimega "crowdstrike-hotfix.zip". See fail sisaldas pahavara laadijat Hijack Loader, mis seejärel käivitas Remcos RAT kasuliku koormuse.
ZIP-arhiiv sisaldas tekstifaili ('instrucciones.txt') hispaaniakeelsete juhistega, kutsudes sihtmärke üles käivitama käivitatavat faili ('setup.exe'), et väidetavalt probleemist taastuda. Hispaaniakeelsete failinimede ja juhiste kasutamine viitab sihitud kampaaniale, mis on suunatud Ladina-Ameerikas asuvatele CrowdStrike'i klientidele.
Järeldus
Remcos RAT on võimas ja mitmekülgne pahavara, mis kujutab Windowsi süsteemidele märkimisväärset ohtu. Selle võime avastamisest kõrvale hiilida, kõrgendatud õigusi omandada ja ulatuslikke andmeid koguda muudab selle küberkurjategijate seas eelistatud tööriistaks. Mõistes selle juurutusmeetodeid, võimalusi ja mõjusid, saavad organisatsioonid selle ründetarkvara eest paremini kaitsta. Tugevate turvameetmete rakendamine ja andmepüügirünnakute suhtes valvsus on Remcos RAT-i tekitatud riskide vähendamisel üliolulised sammud.
SpyHunter tuvastab ja eemaldab RemcosRAT
RemcosRAT Video
Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .
Failisüsteemi üksikasjad
# | Faili nimi | MD5 |
Tuvastamised
Tuvastamised: SpyHunteri teatel nakatunud arvutites tuvastatud konkreetse ohu kinnitatud ja kahtlustatavate juhtumite arv.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Registri üksikasjad
Kataloogid
RemcosRAT võib luua järgmise kataloogi või kataloogid:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |