RemcosRAT
کارت امتیازی تهدید
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards گزارشهای ارزیابی برای تهدیدات مختلف بدافزار هستند که توسط تیم تحقیقاتی ما جمعآوری و تجزیه و تحلیل شدهاند. EnigmaSoft Threat Scorecards با استفاده از چندین معیار از جمله عوامل خطر واقعی و بالقوه، روندها، فراوانی، شیوع و تداوم، تهدیدها را ارزیابی و رتبه بندی می کند. کارتهای امتیازی تهدید EnigmaSoft به طور منظم بر اساس دادههای تحقیقاتی و معیارهای ما بهروزرسانی میشوند و برای طیف گستردهای از کاربران رایانه، از کاربران نهایی که به دنبال راهحلهایی برای حذف بدافزار از سیستمهای خود هستند تا کارشناسان امنیتی که تهدیدها را تجزیه و تحلیل میکنند، مفید هستند.
کارت امتیازی EnigmaSoft Threat اطلاعات مفید مختلفی را نمایش می دهد، از جمله:
رتبه بندی: رتبه بندی یک تهدید خاص در پایگاه داده تهدید EnigmaSoft.
سطح شدت: سطح شدت تعیین شده یک شی که به صورت عددی نشان داده می شود، بر اساس فرآیند مدل سازی ریسک و تحقیقات ما، همانطور که در معیارهای ارزیابی تهدید توضیح داده شده است.
رایانه های آلوده: تعداد موارد تأیید شده و مشکوک یک تهدید خاص که بر روی رایانه های آلوده شناسایی شده است که توسط SpyHunter گزارش شده است.
همچنین به معیارهای ارزیابی تهدید مراجعه کنید.
رتبه بندی: | 4,425 |
میزان خطر: | 80 % (بالا) |
کامپیوترهای آلوده: | 26,563 |
اولین بار دیده شد: | October 16, 2016 |
آخرین حضور: | August 5, 2024 |
سیستم عامل (های) تحت تأثیر: | Windows |
Remcos RAT (تروجان دسترسی از راه دور) یک بدافزار پیچیده است که برای نفوذ و کنترل سیستم عامل های ویندوز طراحی شده است. Remcos که توسط یک شرکت آلمانی به نام Breaking Security به عنوان یک ابزار کنترل از راه دور و نظارت قانونی توسعه یافته و فروخته شده است، اغلب توسط مجرمان سایبری برای اهداف مخرب مورد سوء استفاده قرار می گیرد. این مقاله به ویژگیها، قابلیتها، تأثیرات و دفاعهای مربوط به Remcos RAT و همچنین حوادث قابلتوجه اخیر مربوط به استقرار آن میپردازد.
فهرست مطالب
استقرار و روش های عفونت
حملات فیشینگ
Remcos معمولاً از طریق حملات فیشینگ توزیع میشود، که در آن کاربران ناآگاه فریب داده میشوند تا فایلهای مخرب را دانلود و اجرا کنند. این ایمیلهای فیشینگ اغلب حاوی موارد زیر هستند:
فایلهای ZIP مخرب که به عنوان فایلهای PDF مبدل شدهاند و ادعا میکنند که فاکتور یا سفارش هستند.
اسناد مایکروسافت آفیس با ماکروهای مخرب تعبیه شده که برای استقرار بدافزار پس از فعال سازی طراحی شده اند.
تکنیک های فرار
برای فرار از تشخیص، Remcos از تکنیک های پیشرفته ای مانند:
- Process Injection یا Process Hollowing : این روش به Remcos اجازه می دهد تا در یک فرآیند قانونی اجرا شود، بنابراین از شناسایی توسط نرم افزار آنتی ویروس جلوگیری می کند.
- مکانیسمهای پایداری : پس از نصب، Remcos با استفاده از مکانیسمهایی که به آن اجازه میدهد در پسزمینه اجرا شود، از دید کاربر پنهان میماند، اطمینان حاصل میکند که فعال باقی میماند.
زیرساخت فرماندهی و کنترل (C2).
یکی از قابلیتهای اصلی Remcos، عملکرد فرمان و کنترل (C2) آن است. این بدافزار ترافیک ارتباطی خود را در مسیر سرور C2 رمزگذاری میکند و اقدامات امنیتی شبکه را برای رهگیری و تجزیه و تحلیل دادهها دشوار میکند. Remcos از DNS توزیع شده (DDNS) برای ایجاد دامنه های متعدد برای سرورهای C2 خود استفاده می کند. این تکنیک به بدافزار کمک میکند تا از حفاظتهای امنیتی که به فیلتر کردن ترافیک به دامنههای مخرب شناخته شده متکی است، فرار کند و انعطافپذیری و پایداری آن را افزایش دهد.
قابلیت های Remcos RAT
Remcos RAT ابزار قدرتمندی است که قابلیت های متعددی را در اختیار مهاجمان قرار می دهد و امکان کنترل و بهره برداری گسترده از سیستم های آلوده را فراهم می کند:
ارتفاع امتیاز
Remcos می تواند مجوزهای Administrator را در یک سیستم آلوده به دست آورد و به آن اجازه می دهد:
- کنترل حساب کاربری (UAC) را غیرفعال کنید.
- عملکردهای مخرب مختلف را با امتیازات بالا اجرا کنید.
فرار از دفاع
با استفاده از تزریق فرآیند، Remcos خود را در فرآیندهای قانونی جاسازی می کند و شناسایی آن را برای نرم افزار آنتی ویروس چالش برانگیز می کند. علاوه بر این، توانایی اجرای آن در پسزمینه، حضور آن را از کاربران پنهان میکند.
جمع آوری داده ها
Remcos در جمع آوری طیف گسترده ای از داده ها از سیستم آلوده مهارت دارد، از جمله:
- ضربات کلید
- اسکرین شات ها
- ضبط های صوتی
- محتویات کلیپ بورد
- رمزهای عبور ذخیره شده
تأثیر عفونت RAT Remcos
عواقب عفونت Remcos قابل توجه و چندوجهی است و بر کاربران و سازمانها تأثیر میگذارد:
- تصاحب حساب
Remcos با ثبت ضربههای کلید و سرقت رمزهای عبور، مهاجمان را قادر میسازد تا حسابهای آنلاین و سایر سیستمها را تحت کنترل خود درآورند که به طور بالقوه منجر به سرقت بیشتر دادهها و دسترسی غیرمجاز به شبکه یک سازمان میشود. - سرقت اطلاعات
Remcos قادر به استخراج داده های حساس از سیستم آلوده است. این می تواند منجر به نقض داده ها شود، چه مستقیماً از رایانه در معرض خطر یا از سیستم های دیگر که با استفاده از اعتبار سرقت شده به آنها دسترسی پیدا کرده اند. - عفونت های بعدی
عفونت با Remcos می تواند به عنوان دروازه ای برای استقرار انواع بدافزار اضافی عمل کند. این خطر حملات بعدی، مانند عفونتهای باجافزار را افزایش میدهد و آسیب را بیشتر میکند.
محافظت در برابر بدافزار Remcos
سازمان ها می توانند چندین استراتژی و بهترین شیوه ها را برای محافظت در برابر عفونت های Remcos اتخاذ کنند:
اسکن ایمیل
پیاده سازی راه حل های اسکن ایمیل که ایمیل های مشکوک را شناسایی و مسدود می کند، می تواند از تحویل اولیه Remcos به صندوق ورودی کاربران جلوگیری کند.
تجزیه و تحلیل دامنه
نظارت و تجزیه و تحلیل رکوردهای دامنه درخواست شده توسط نقاط پایانی می تواند به شناسایی و مسدود کردن دامنه های جوان یا مشکوک که ممکن است با Remcos مرتبط هستند کمک کند.
تجزیه و تحلیل ترافیک شبکه
انواع Remcos که ترافیک خود را با استفاده از پروتکل های غیر استاندارد رمزگذاری می کنند، می توانند از طریق تجزیه و تحلیل ترافیک شبکه شناسایی شوند، که می تواند الگوهای ترافیک غیرمعمول را برای بررسی بیشتر علامت گذاری کند.
امنیت نقطه پایانی
استقرار راه حل های امنیتی نقطه پایانی با قابلیت شناسایی و اصلاح عفونت های Remcos بسیار مهم است. این راهحلها برای شناسایی و خنثیسازی بدافزار بر شاخصهای تثبیتشده برای سازش تکیه میکنند.
بهره برداری از CrowdStrike Outage
در یک حادثه اخیر، مجرمان سایبری از قطعی جهانی شرکت امنیت سایبری CrowdStrike برای توزیع Remcos RAT سوء استفاده کردند. مهاجمان با توزیع یک فایل آرشیو ZIP به نام "crowdstrike-hotfix.zip" مشتریان CrowdStrike را در آمریکای لاتین هدف قرار دادند. این فایل حاوی یک بارگذار بدافزار به نام Hijack Loader بود که متعاقباً بارگیری Remcos RAT را راه اندازی کرد.
آرشیو ZIP شامل یک فایل متنی ('instrucciones.txt') با دستورالعملهای اسپانیایی بود که از اهداف میخواست یک فایل اجرایی ('setup.exe') را اجرا کنند تا ظاهراً از مشکل بازیابی کنند. استفاده از نامها و دستورالعملهای اسپانیایی نشاندهنده یک کمپین هدفمند با هدف مشتریان CrowdStrike مستقر در آمریکای لاتین است.
نتیجه
Remcos RAT یک بدافزار قدرتمند و همه کاره است که تهدیدی قابل توجه برای سیستم های ویندوز است. توانایی آن برای فرار از شناسایی، به دست آوردن امتیازات بالا و جمع آوری داده های گسترده، آن را به ابزاری مورد علاقه در بین مجرمان سایبری تبدیل می کند. سازمان ها با درک روش های استقرار، قابلیت ها و اثرات آن، بهتر می توانند در برابر این نرم افزار مخرب دفاع کنند. اجرای تدابیر امنیتی قوی و هوشیار ماندن در برابر حملات فیشینگ گام های مهمی در کاهش خطر ناشی از Remcos RAT است.
SpyHunter RemcosRAT را شناسایی و حذف می کند
RemcosRAT ویدیو
نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .
جزئیات سیستم فایل
# | نام فایل | MD5 |
تشخیص ها
تشخیص ها: تعداد موارد تایید شده و مشکوک از یک تهدید خاص که بر روی رایانه های آلوده شناسایی شده است که توسط SpyHunter گزارش شده است.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
جزئیات رجیستری
دایرکتوری ها
RemcosRAT ممکن است دایرکتوری یا دایرکتوری های زیر را ایجاد کند:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |