RemcosRAT

Uhkien tuloskortti

Sijoitus: 4,425
Uhka taso: 80 % (Korkea)
Tartunnan saaneet tietokoneet: 26,563
Ensin nähty: October 16, 2016
Viimeksi nähty: August 5, 2024
Vaikuttavat käyttöjärjestelmät: Windows

Remcos RAT (Remote Access Trojan) on kehittynyt haittaohjelma, joka on suunniteltu tunkeutumaan Windows-käyttöjärjestelmiin ja hallitsemaan niitä. Breaking Security -nimisen saksalaisen yrityksen kehittämä ja myymä laillinen kauko-ohjaus- ja valvontatyökalu on Remcos, jota verkkorikolliset käyttävät usein väärin haitallisiin tarkoituksiin. Tässä artikkelissa käsitellään Remcos RAT:iin liittyviä ominaisuuksia, ominaisuuksia, vaikutuksia ja puolustuskeinoja sekä viimeaikaisia sen käyttöönottoon liittyviä merkittäviä tapahtumia.

Käyttöönotto- ja tartuntamenetelmät

Tietojenkalasteluhyökkäykset
Remcos levitetään tyypillisesti tietojenkalasteluhyökkäysten kautta, joissa hyväuskoisia käyttäjiä huijataan lataamaan ja suorittamaan haitallisia tiedostoja. Nämä tietojenkalasteluviestit sisältävät usein:

Haitalliset ZIP-tiedostot, jotka on naamioitu PDF-tiedostoiksi ja jotka väittävät olevansa laskuja tai tilauksia.
Microsoft Office -asiakirjat, joissa on upotettuja haitallisia makroja, jotka on suunniteltu ottamaan haittaohjelma käyttöön aktivoinnin yhteydessä.

Vyötämistekniikat
Välttääkseen havaitsemisen Remcos käyttää kehittyneitä tekniikoita, kuten:

  • Process Injection tai Process Hollowing : Tämä menetelmä antaa Remcosille mahdollisuuden suorittaa laillisen prosessin sisällä, jolloin vältetään virustorjuntaohjelmiston havaitseminen.
  • Pysyvyysmekanismit : Kun Remcos on asennettu, se varmistaa, että se pysyy aktiivisena käyttämällä mekanismeja, jotka mahdollistavat sen toimimisen taustalla, käyttäjältä piilossa.

Command-and-Control (C2) -infrastruktuuri

Remcosin ydinominaisuus on sen Command-and-Control (C2) -toiminto. Haittaohjelma salaa viestintäliikenteensä matkalla C2-palvelimelle, mikä vaikeuttaa verkon turvatoimien siepata ja analysoida tietoja. Remcos käyttää hajautettua DNS:ää (DDNS) luodakseen useita verkkotunnuksia C2-palvelimilleen. Tämä tekniikka auttaa haittaohjelmia välttämään tietoturvasuojaukset, jotka perustuvat liikenteen suodattamiseen tunnettuihin haitallisiin verkkotunnuksiin, mikä parantaa sen kestävyyttä ja pysyvyyttä.

Remcos RAT:n ominaisuudet

Remcos RAT on tehokas työkalu, joka tarjoaa hyökkääjille lukuisia ominaisuuksia, jotka mahdollistavat tartunnan saaneiden järjestelmien laajan hallinnan ja hyödyntämisen:

Privilege Elevation
Remcos voi saada järjestelmänvalvojan oikeudet tartunnan saaneeseen järjestelmään, jolloin se voi:

  • Poista käyttäjätilien valvonta (UAC) käytöstä.
  • Suorita erilaisia haitallisia toimintoja korotetuilla oikeuksilla.

Puolustusväistäminen
Prosessin injektiota käyttämällä Remcos upottaa itsensä laillisiin prosesseihin, mikä tekee virustorjuntaohjelmistojen havaitsemisesta haastavaa. Lisäksi sen kyky toimia taustalla piilottaa sen läsnäolon käyttäjiltä.

Tiedonkeruu

Remcos on taitava keräämään monenlaisia tietoja tartunnan saaneesta järjestelmästä, mukaan lukien:

  • Näppäinpainallukset
  • Kuvakaappauksia
  • Äänitallenteet
  • Leikepöydän sisältö
  • Tallennetut salasanat

Remcos RAT -infektion vaikutus

Remcos-tartunnan seuraukset ovat merkittäviä ja monitahoisia, ja ne vaikuttavat sekä yksittäisiin käyttäjiin että organisaatioihin:

  • Tilin haltuunotto
    Kirjaamalla näppäinpainalluksia ja varastamalla salasanoja Remcos antaa hyökkääjille mahdollisuuden ottaa haltuunsa online-tilejä ja muita järjestelmiä, mikä voi johtaa uusiin tietovarkauksiin ja luvattomaan pääsyyn organisaation verkkoon.
  • Datavarkaus
    Remcos pystyy poistamaan arkaluontoisia tietoja tartunnan saaneesta järjestelmästä. Tämä voi johtaa tietomurtoihin joko suoraan vaarantuneelta tietokoneelta tai muista järjestelmistä, joihin on päästy varastetuilla tunnistetiedoilla.
  • Seuraavia infektioita
    Remcos-tartunta voi toimia yhdyskäytävänä lisähaittaohjelmaversioiden käyttöönotolle. Tämä lisää myöhempien hyökkäysten, kuten kiristysohjelmatartuntojen, riskiä, mikä pahentaa vahinkoa entisestään.

Suojaus Remcos-haittaohjelmia vastaan

Organisaatiot voivat ottaa käyttöön useita strategioita ja parhaita käytäntöjä suojautuakseen Remcos-infektioilta:

Sähköpostin skannaus
Sähköpostin skannausratkaisujen käyttöönotto, jotka tunnistavat ja estävät epäilyttävät sähköpostit, voivat estää Remco-lähetysten toimituksen käyttäjien postilaatikoihin.

Verkkotunnuksen analyysi
Päätepisteiden pyytämien toimialuetietueiden valvonta ja analysointi voi auttaa tunnistamaan ja estämään nuoria tai epäilyttäviä verkkotunnuksia, jotka voivat liittyä Remcosiin.

Verkkoliikenteen analyysi
Remcos-muunnelmat, jotka salaavat liikenteensä epästandardeilla protokollilla, voidaan havaita verkkoliikenneanalyysin avulla, mikä voi merkitä epätavallisia liikennemalleja lisätutkimuksia varten.

Päätepisteen suojaus
On ratkaisevan tärkeää ottaa käyttöön päätepisteiden suojausratkaisuja, jotka pystyvät havaitsemaan ja korjaamaan Remcos-infektioita. Nämä ratkaisut luottavat vakiintuneisiin kompromissiindikaattoreihin haittaohjelmien tunnistamiseksi ja neutraloimiseksi.

CrowdStrike-katkoksen hyväksikäyttö

Äskettäisessä tapahtumassa kyberrikolliset käyttivät hyväkseen kyberturvallisuusyrityksen CrowdStrike maailmanlaajuista katkosta Remcos RAT:n jakeluun. Hyökkääjät kohdistuivat CrowdStrike-asiakkaisiin Latinalaisessa Amerikassa jakamalla ZIP-arkistotiedoston nimeltä "crowdstrike-hotfix.zip". Tämä tiedosto sisälsi haittaohjelmien latausohjelman, Hijack Loaderin, joka myöhemmin käynnisti Remcos RAT -hyötykuorman.

ZIP-arkisto sisälsi tekstitiedoston ('instrucciones.txt'), jossa oli espanjankielisiä ohjeita, jotka kehottivat kohdetta suorittamaan suoritettavan tiedoston ('setup.exe') väitetysti toipumaan ongelmasta. Espanjankielisten tiedostonimien ja ohjeiden käyttö viittaa kohdistettuun kampanjaan, joka on suunnattu Latinalaisessa Amerikassa toimiville CrowdStrike-asiakkaille.

Johtopäätös

Remcos RAT on tehokas ja monipuolinen haittaohjelma, joka muodostaa merkittävän uhan Windows-järjestelmille. Sen kyky välttää havaitseminen, saada korkeampia etuoikeuksia ja kerätä laajaa dataa tekee siitä suositun työkalun kyberrikollisten keskuudessa. Ymmärtämällä sen käyttöönottomenetelmät, ominaisuudet ja vaikutukset organisaatiot voivat paremmin suojautua tätä haittaohjelmistoa vastaan. Vahvojen turvatoimien käyttöönotto ja valppaana pysyminen tietojenkalasteluhyökkäyksiä vastaan ovat tärkeitä askeleita Remcos RAT:n aiheuttaman riskin vähentämisessä.

SpyHunter havaitsee ja poistaa RemcosRAT

RemcosRAT Video

Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .

Tiedostojärjestelmän yksityiskohdat

RemcosRAT voi luoda seuraavat tiedostot:
# Tiedoston Nimi MD5 Havainnot
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Rekisterin yksityiskohdat

RemcosRAT voi luoda seuraavat rekisterimerkinnät tai rekisterimerkinnät:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Hakemistot

RemcosRAT voi luoda seuraavan hakemiston tai hakemistoja:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trendaavat

Eniten katsottu

Ladataan...