RemcosRAT

کارت امتیازی تهدید

رتبه بندی: 4,425
میزان خطر: 80 % (بالا)
کامپیوترهای آلوده: 26,563
اولین بار دیده شد: October 16, 2016
آخرین حضور: August 5, 2024
سیستم عامل (های) تحت تأثیر: Windows

Remcos RAT (تروجان دسترسی از راه دور) یک بدافزار پیچیده است که برای نفوذ و کنترل سیستم عامل های ویندوز طراحی شده است. Remcos که توسط یک شرکت آلمانی به نام Breaking Security به عنوان یک ابزار کنترل از راه دور و نظارت قانونی توسعه یافته و فروخته شده است، اغلب توسط مجرمان سایبری برای اهداف مخرب مورد سوء استفاده قرار می گیرد. این مقاله به ویژگی‌ها، قابلیت‌ها، تأثیرات و دفاع‌های مربوط به Remcos RAT و همچنین حوادث قابل‌توجه اخیر مربوط به استقرار آن می‌پردازد.

استقرار و روش های عفونت

حملات فیشینگ
Remcos معمولاً از طریق حملات فیشینگ توزیع می‌شود، که در آن کاربران ناآگاه فریب داده می‌شوند تا فایل‌های مخرب را دانلود و اجرا کنند. این ایمیل‌های فیشینگ اغلب حاوی موارد زیر هستند:

فایل‌های ZIP مخرب که به عنوان فایل‌های PDF مبدل شده‌اند و ادعا می‌کنند که فاکتور یا سفارش هستند.
اسناد مایکروسافت آفیس با ماکروهای مخرب تعبیه شده که برای استقرار بدافزار پس از فعال سازی طراحی شده اند.

تکنیک های فرار
برای فرار از تشخیص، Remcos از تکنیک های پیشرفته ای مانند:

  • Process Injection یا Process Hollowing : این روش به Remcos اجازه می دهد تا در یک فرآیند قانونی اجرا شود، بنابراین از شناسایی توسط نرم افزار آنتی ویروس جلوگیری می کند.
  • مکانیسم‌های پایداری : پس از نصب، Remcos با استفاده از مکانیسم‌هایی که به آن اجازه می‌دهد در پس‌زمینه اجرا شود، از دید کاربر پنهان می‌ماند، اطمینان حاصل می‌کند که فعال باقی می‌ماند.

زیرساخت فرماندهی و کنترل (C2).

یکی از قابلیت‌های اصلی Remcos، عملکرد فرمان و کنترل (C2) آن است. این بدافزار ترافیک ارتباطی خود را در مسیر سرور C2 رمزگذاری می‌کند و اقدامات امنیتی شبکه را برای رهگیری و تجزیه و تحلیل داده‌ها دشوار می‌کند. Remcos از DNS توزیع شده (DDNS) برای ایجاد دامنه های متعدد برای سرورهای C2 خود استفاده می کند. این تکنیک به بدافزار کمک می‌کند تا از حفاظت‌های امنیتی که به فیلتر کردن ترافیک به دامنه‌های مخرب شناخته شده متکی است، فرار کند و انعطاف‌پذیری و پایداری آن را افزایش دهد.

قابلیت های Remcos RAT

Remcos RAT ابزار قدرتمندی است که قابلیت های متعددی را در اختیار مهاجمان قرار می دهد و امکان کنترل و بهره برداری گسترده از سیستم های آلوده را فراهم می کند:

ارتفاع امتیاز
Remcos می تواند مجوزهای Administrator را در یک سیستم آلوده به دست آورد و به آن اجازه می دهد:

  • کنترل حساب کاربری (UAC) را غیرفعال کنید.
  • عملکردهای مخرب مختلف را با امتیازات بالا اجرا کنید.

فرار از دفاع
با استفاده از تزریق فرآیند، Remcos خود را در فرآیندهای قانونی جاسازی می کند و شناسایی آن را برای نرم افزار آنتی ویروس چالش برانگیز می کند. علاوه بر این، توانایی اجرای آن در پس‌زمینه، حضور آن را از کاربران پنهان می‌کند.

جمع آوری داده ها

Remcos در جمع آوری طیف گسترده ای از داده ها از سیستم آلوده مهارت دارد، از جمله:

  • ضربات کلید
  • اسکرین شات ها
  • ضبط های صوتی
  • محتویات کلیپ بورد
  • رمزهای عبور ذخیره شده

تأثیر عفونت RAT Remcos

عواقب عفونت Remcos قابل توجه و چندوجهی است و بر کاربران و سازمان‌ها تأثیر می‌گذارد:

  • تصاحب حساب
    Remcos با ثبت ضربه‌های کلید و سرقت رمزهای عبور، مهاجمان را قادر می‌سازد تا حساب‌های آنلاین و سایر سیستم‌ها را تحت کنترل خود درآورند که به طور بالقوه منجر به سرقت بیشتر داده‌ها و دسترسی غیرمجاز به شبکه یک سازمان می‌شود.
  • سرقت اطلاعات
    Remcos قادر به استخراج داده های حساس از سیستم آلوده است. این می تواند منجر به نقض داده ها شود، چه مستقیماً از رایانه در معرض خطر یا از سیستم های دیگر که با استفاده از اعتبار سرقت شده به آنها دسترسی پیدا کرده اند.
  • عفونت های بعدی
    عفونت با Remcos می تواند به عنوان دروازه ای برای استقرار انواع بدافزار اضافی عمل کند. این خطر حملات بعدی، مانند عفونت‌های باج‌افزار را افزایش می‌دهد و آسیب را بیشتر می‌کند.

محافظت در برابر بدافزار Remcos

سازمان ها می توانند چندین استراتژی و بهترین شیوه ها را برای محافظت در برابر عفونت های Remcos اتخاذ کنند:

اسکن ایمیل
پیاده سازی راه حل های اسکن ایمیل که ایمیل های مشکوک را شناسایی و مسدود می کند، می تواند از تحویل اولیه Remcos به صندوق ورودی کاربران جلوگیری کند.

تجزیه و تحلیل دامنه
نظارت و تجزیه و تحلیل رکوردهای دامنه درخواست شده توسط نقاط پایانی می تواند به شناسایی و مسدود کردن دامنه های جوان یا مشکوک که ممکن است با Remcos مرتبط هستند کمک کند.

تجزیه و تحلیل ترافیک شبکه
انواع Remcos که ترافیک خود را با استفاده از پروتکل های غیر استاندارد رمزگذاری می کنند، می توانند از طریق تجزیه و تحلیل ترافیک شبکه شناسایی شوند، که می تواند الگوهای ترافیک غیرمعمول را برای بررسی بیشتر علامت گذاری کند.

امنیت نقطه پایانی
استقرار راه حل های امنیتی نقطه پایانی با قابلیت شناسایی و اصلاح عفونت های Remcos بسیار مهم است. این راه‌حل‌ها برای شناسایی و خنثی‌سازی بدافزار بر شاخص‌های تثبیت‌شده برای سازش تکیه می‌کنند.

بهره برداری از CrowdStrike Outage

در یک حادثه اخیر، مجرمان سایبری از قطعی جهانی شرکت امنیت سایبری CrowdStrike برای توزیع Remcos RAT سوء استفاده کردند. مهاجمان با توزیع یک فایل آرشیو ZIP به نام "crowdstrike-hotfix.zip" مشتریان CrowdStrike را در آمریکای لاتین هدف قرار دادند. این فایل حاوی یک بارگذار بدافزار به نام Hijack Loader بود که متعاقباً بارگیری Remcos RAT را راه اندازی کرد.

آرشیو ZIP شامل یک فایل متنی ('instrucciones.txt') با دستورالعمل‌های اسپانیایی بود که از اهداف می‌خواست یک فایل اجرایی ('setup.exe') را اجرا کنند تا ظاهراً از مشکل بازیابی کنند. استفاده از نام‌ها و دستورالعمل‌های اسپانیایی نشان‌دهنده یک کمپین هدفمند با هدف مشتریان CrowdStrike مستقر در آمریکای لاتین است.

نتیجه

Remcos RAT یک بدافزار قدرتمند و همه کاره است که تهدیدی قابل توجه برای سیستم های ویندوز است. توانایی آن برای فرار از شناسایی، به دست آوردن امتیازات بالا و جمع آوری داده های گسترده، آن را به ابزاری مورد علاقه در بین مجرمان سایبری تبدیل می کند. سازمان ها با درک روش های استقرار، قابلیت ها و اثرات آن، بهتر می توانند در برابر این نرم افزار مخرب دفاع کنند. اجرای تدابیر امنیتی قوی و هوشیار ماندن در برابر حملات فیشینگ گام های مهمی در کاهش خطر ناشی از Remcos RAT است.

SpyHunter RemcosRAT را شناسایی و حذف می کند

RemcosRAT ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .

جزئیات سیستم فایل

RemcosRAT ممکن است فایل(های) زیر را ایجاد کند:
# نام فایل MD5 تشخیص ها
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

جزئیات رجیستری

RemcosRAT ممکن است ورودی رجیستری یا ورودی های رجیستری زیر را ایجاد کند:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

دایرکتوری ها

RemcosRAT ممکن است دایرکتوری یا دایرکتوری های زیر را ایجاد کند:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

پرطرفدار

پربیننده ترین

بارگذاری...