RemcosRAT
Uhkien tuloskortti
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards ovat arviointiraportteja erilaisista haittaohjelmauhkista, jotka tutkimustiimimme on kerännyt ja analysoinut. EnigmaSoft Threat Scorecards arvioi ja luokittelee uhkia käyttämällä useita mittareita, mukaan lukien todelliset ja mahdolliset riskitekijät, trendit, esiintymistiheys, esiintyvyys ja pysyvyys. EnigmaSoft Threat Scorecards päivitetään säännöllisesti tutkimustietojemme ja mittareittemme perusteella, ja ne ovat hyödyllisiä monenlaisille tietokoneen käyttäjille, aina haittaohjelmien poistamiseen järjestelmissään ratkaisuja etsivistä loppukäyttäjistä uhkia analysoiviin tietoturvaasiantuntijoihin.
EnigmaSoft Threat Scorecards näyttää monenlaista hyödyllistä tietoa, mukaan lukien:
Ranking: Tietyn uhan sijoitus EnigmaSoftin uhkatietokannassa.
Vakavuustaso: Kohteen määritetty vakavuusaste, joka esitetään numeerisesti riskimallinnuksemme ja tutkimukseemme perusteella, kuten uhkien arviointikriteereissämme selitetään.
Tartunnan saaneet tietokoneet: SpyHunterin raportoimien vahvistettujen ja epäiltyjen tietyn uhan tapausten määrä tartunnan saaneissa tietokoneissa.
Katso myös Uhkien arviointikriteerit .
Sijoitus: | 4,425 |
Uhka taso: | 80 % (Korkea) |
Tartunnan saaneet tietokoneet: | 26,563 |
Ensin nähty: | October 16, 2016 |
Viimeksi nähty: | August 5, 2024 |
Vaikuttavat käyttöjärjestelmät: | Windows |
Remcos RAT (Remote Access Trojan) on kehittynyt haittaohjelma, joka on suunniteltu tunkeutumaan Windows-käyttöjärjestelmiin ja hallitsemaan niitä. Breaking Security -nimisen saksalaisen yrityksen kehittämä ja myymä laillinen kauko-ohjaus- ja valvontatyökalu on Remcos, jota verkkorikolliset käyttävät usein väärin haitallisiin tarkoituksiin. Tässä artikkelissa käsitellään Remcos RAT:iin liittyviä ominaisuuksia, ominaisuuksia, vaikutuksia ja puolustuskeinoja sekä viimeaikaisia sen käyttöönottoon liittyviä merkittäviä tapahtumia.
Sisällysluettelo
Käyttöönotto- ja tartuntamenetelmät
Tietojenkalasteluhyökkäykset
Remcos levitetään tyypillisesti tietojenkalasteluhyökkäysten kautta, joissa hyväuskoisia käyttäjiä huijataan lataamaan ja suorittamaan haitallisia tiedostoja. Nämä tietojenkalasteluviestit sisältävät usein:
Haitalliset ZIP-tiedostot, jotka on naamioitu PDF-tiedostoiksi ja jotka väittävät olevansa laskuja tai tilauksia.
Microsoft Office -asiakirjat, joissa on upotettuja haitallisia makroja, jotka on suunniteltu ottamaan haittaohjelma käyttöön aktivoinnin yhteydessä.
Vyötämistekniikat
Välttääkseen havaitsemisen Remcos käyttää kehittyneitä tekniikoita, kuten:
- Process Injection tai Process Hollowing : Tämä menetelmä antaa Remcosille mahdollisuuden suorittaa laillisen prosessin sisällä, jolloin vältetään virustorjuntaohjelmiston havaitseminen.
- Pysyvyysmekanismit : Kun Remcos on asennettu, se varmistaa, että se pysyy aktiivisena käyttämällä mekanismeja, jotka mahdollistavat sen toimimisen taustalla, käyttäjältä piilossa.
Command-and-Control (C2) -infrastruktuuri
Remcosin ydinominaisuus on sen Command-and-Control (C2) -toiminto. Haittaohjelma salaa viestintäliikenteensä matkalla C2-palvelimelle, mikä vaikeuttaa verkon turvatoimien siepata ja analysoida tietoja. Remcos käyttää hajautettua DNS:ää (DDNS) luodakseen useita verkkotunnuksia C2-palvelimilleen. Tämä tekniikka auttaa haittaohjelmia välttämään tietoturvasuojaukset, jotka perustuvat liikenteen suodattamiseen tunnettuihin haitallisiin verkkotunnuksiin, mikä parantaa sen kestävyyttä ja pysyvyyttä.
Remcos RAT:n ominaisuudet
Remcos RAT on tehokas työkalu, joka tarjoaa hyökkääjille lukuisia ominaisuuksia, jotka mahdollistavat tartunnan saaneiden järjestelmien laajan hallinnan ja hyödyntämisen:
Privilege Elevation
Remcos voi saada järjestelmänvalvojan oikeudet tartunnan saaneeseen järjestelmään, jolloin se voi:
- Poista käyttäjätilien valvonta (UAC) käytöstä.
- Suorita erilaisia haitallisia toimintoja korotetuilla oikeuksilla.
Puolustusväistäminen
Prosessin injektiota käyttämällä Remcos upottaa itsensä laillisiin prosesseihin, mikä tekee virustorjuntaohjelmistojen havaitsemisesta haastavaa. Lisäksi sen kyky toimia taustalla piilottaa sen läsnäolon käyttäjiltä.
Tiedonkeruu
Remcos on taitava keräämään monenlaisia tietoja tartunnan saaneesta järjestelmästä, mukaan lukien:
- Näppäinpainallukset
- Kuvakaappauksia
- Äänitallenteet
- Leikepöydän sisältö
- Tallennetut salasanat
Remcos RAT -infektion vaikutus
Remcos-tartunnan seuraukset ovat merkittäviä ja monitahoisia, ja ne vaikuttavat sekä yksittäisiin käyttäjiin että organisaatioihin:
- Tilin haltuunotto
Kirjaamalla näppäinpainalluksia ja varastamalla salasanoja Remcos antaa hyökkääjille mahdollisuuden ottaa haltuunsa online-tilejä ja muita järjestelmiä, mikä voi johtaa uusiin tietovarkauksiin ja luvattomaan pääsyyn organisaation verkkoon. - Datavarkaus
Remcos pystyy poistamaan arkaluontoisia tietoja tartunnan saaneesta järjestelmästä. Tämä voi johtaa tietomurtoihin joko suoraan vaarantuneelta tietokoneelta tai muista järjestelmistä, joihin on päästy varastetuilla tunnistetiedoilla. - Seuraavia infektioita
Remcos-tartunta voi toimia yhdyskäytävänä lisähaittaohjelmaversioiden käyttöönotolle. Tämä lisää myöhempien hyökkäysten, kuten kiristysohjelmatartuntojen, riskiä, mikä pahentaa vahinkoa entisestään.
Suojaus Remcos-haittaohjelmia vastaan
Organisaatiot voivat ottaa käyttöön useita strategioita ja parhaita käytäntöjä suojautuakseen Remcos-infektioilta:
Sähköpostin skannaus
Sähköpostin skannausratkaisujen käyttöönotto, jotka tunnistavat ja estävät epäilyttävät sähköpostit, voivat estää Remco-lähetysten toimituksen käyttäjien postilaatikoihin.
Verkkotunnuksen analyysi
Päätepisteiden pyytämien toimialuetietueiden valvonta ja analysointi voi auttaa tunnistamaan ja estämään nuoria tai epäilyttäviä verkkotunnuksia, jotka voivat liittyä Remcosiin.
Verkkoliikenteen analyysi
Remcos-muunnelmat, jotka salaavat liikenteensä epästandardeilla protokollilla, voidaan havaita verkkoliikenneanalyysin avulla, mikä voi merkitä epätavallisia liikennemalleja lisätutkimuksia varten.
Päätepisteen suojaus
On ratkaisevan tärkeää ottaa käyttöön päätepisteiden suojausratkaisuja, jotka pystyvät havaitsemaan ja korjaamaan Remcos-infektioita. Nämä ratkaisut luottavat vakiintuneisiin kompromissiindikaattoreihin haittaohjelmien tunnistamiseksi ja neutraloimiseksi.
CrowdStrike-katkoksen hyväksikäyttö
Äskettäisessä tapahtumassa kyberrikolliset käyttivät hyväkseen kyberturvallisuusyrityksen CrowdStrike maailmanlaajuista katkosta Remcos RAT:n jakeluun. Hyökkääjät kohdistuivat CrowdStrike-asiakkaisiin Latinalaisessa Amerikassa jakamalla ZIP-arkistotiedoston nimeltä "crowdstrike-hotfix.zip". Tämä tiedosto sisälsi haittaohjelmien latausohjelman, Hijack Loaderin, joka myöhemmin käynnisti Remcos RAT -hyötykuorman.
ZIP-arkisto sisälsi tekstitiedoston ('instrucciones.txt'), jossa oli espanjankielisiä ohjeita, jotka kehottivat kohdetta suorittamaan suoritettavan tiedoston ('setup.exe') väitetysti toipumaan ongelmasta. Espanjankielisten tiedostonimien ja ohjeiden käyttö viittaa kohdistettuun kampanjaan, joka on suunnattu Latinalaisessa Amerikassa toimiville CrowdStrike-asiakkaille.
Johtopäätös
Remcos RAT on tehokas ja monipuolinen haittaohjelma, joka muodostaa merkittävän uhan Windows-järjestelmille. Sen kyky välttää havaitseminen, saada korkeampia etuoikeuksia ja kerätä laajaa dataa tekee siitä suositun työkalun kyberrikollisten keskuudessa. Ymmärtämällä sen käyttöönottomenetelmät, ominaisuudet ja vaikutukset organisaatiot voivat paremmin suojautua tätä haittaohjelmistoa vastaan. Vahvojen turvatoimien käyttöönotto ja valppaana pysyminen tietojenkalasteluhyökkäyksiä vastaan ovat tärkeitä askeleita Remcos RAT:n aiheuttaman riskin vähentämisessä.
SpyHunter havaitsee ja poistaa RemcosRAT
RemcosRAT Video
Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .
Tiedostojärjestelmän yksityiskohdat
# | Tiedoston Nimi | MD5 |
Havainnot
Havainnot: SpyHunterin raportoimien vahvistettujen ja epäiltyjen tapausten määrä tietyn uhan saastuneissa tietokoneissa.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Rekisterin yksityiskohdat
Hakemistot
RemcosRAT voi luoda seuraavan hakemiston tai hakemistoja:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |