RemcosRAT
Karta prijetnji
EnigmaSoft Kartica Prijetnji
EnigmaSoft Threat Scorecards su izvješća o procjeni različitih prijetnji od zlonamjernog softvera koje je prikupio i analizirao naš istraživački tim. EnigmaSoft Threat Scorecards procjenjuju i rangiraju prijetnje koristeći nekoliko metrika uključujući stvarne i potencijalne čimbenike rizika, trendove, učestalost, prevalenciju i postojanost. EnigmaSoft Threat Scorecards redovito se ažuriraju na temelju naših istraživačkih podataka i metrike i korisni su za širok raspon korisnika računala, od krajnjih korisnika koji traže rješenja za uklanjanje zlonamjernog softvera iz svojih sustava do sigurnosnih stručnjaka koji analiziraju prijetnje.
EnigmaSoft Threat Scorecards prikazuje niz korisnih informacija, uključujući:
Rangiranje: Poredak određene prijetnje u EnigmaSoftovoj bazi podataka o prijetnjama.
Razina ozbiljnosti: utvrđena razina ozbiljnosti objekta, predstavljena brojčano, na temelju našeg procesa modeliranja rizika i istraživanja, kao što je objašnjeno u našim Kriterijima za procjenu prijetnji .
Zaražena računala: Broj potvrđenih i sumnjivih slučajeva određene prijetnje otkrivene na zaraženim računalima prema izvještaju SpyHuntera.
Vidi također Kriteriji procjene prijetnji .
Poredak: | 4,425 |
Razina prijetnje: | 80 % (Visoko) |
Zaražena računala: | 26,563 |
Prvi put viđeno: | October 16, 2016 |
Zadnje viđeno: | August 5, 2024 |
Pogođeni OS: | Windows |
Remcos RAT (trojanac za daljinski pristup) je sofisticirani malware dizajniran za infiltraciju i kontrolu Windows operativnih sustava. Razvijen i prodan od strane njemačke tvrtke pod nazivom Breaking Security kao legitiman alat za daljinsko upravljanje i nadzor, Remcos kibernetički kriminalci često zlorabe u zlonamjerne svrhe. Ovaj članak istražuje karakteristike, mogućnosti, utjecaje i obrane povezane s Remcos RAT-om, kao i nedavne značajne incidente koji uključuju njegovu implementaciju.
Sadržaj
Metode postavljanja i zaraze
Phishing napadi
Remcos se obično distribuira putem phishing napada, pri čemu se korisnici koji ništa ne sumnjaju prevare da preuzmu i pokrenu zlonamjerne datoteke. Ove phishing e-poruke često sadrže:
Zlonamjerne ZIP datoteke prerušene u PDF, koje se predstavljaju kao fakture ili narudžbe.
Microsoft Office dokumenti s ugrađenim zlonamjernim makronaredbama dizajniranim za implementaciju zlonamjernog softvera nakon aktivacije.
Tehnike izbjegavanja
Kako bi izbjegao otkrivanje, Remcos koristi napredne tehnike kao što su:
- Process Injection ili Process Hollowing : Ova metoda omogućuje Remcosu da se izvrši unutar legitimnog procesa, čime se izbjegava otkrivanje od strane antivirusnog softvera.
- Mehanizmi postojanosti : Jednom instaliran, Remcos osigurava da ostane aktivan korištenjem mehanizama koji mu omogućuju rad u pozadini, skriven od korisnika.
Infrastruktura upravljanja i kontrole (C2).
Temeljna sposobnost Remcosa je njegova funkcija zapovijedanja i kontrole (C2). Zlonamjerni softver šifrira svoj komunikacijski promet na putu do C2 poslužitelja, što otežava mrežnim sigurnosnim mjerama presretanje i analizu podataka. Remcos koristi distribuirani DNS (DDNS) za stvaranje više domena za svoje C2 poslužitelje. Ova tehnika pomaže zlonamjernom softveru da izbjegne sigurnosnu zaštitu koja se oslanja na filtriranje prometa prema poznatim zlonamjernim domenama, povećavajući njegovu otpornost i postojanost.
Mogućnosti Remcos RAT-a
Remcos RAT je moćan alat koji napadačima nudi brojne mogućnosti, omogućujući opsežnu kontrolu i iskorištavanje zaraženih sustava:
Privilege Elevation
Remcos može dobiti administratorske ovlasti na zaraženom sustavu, omogućujući mu sljedeće:
- Onemogućite kontrolu korisničkog računa (UAC).
- Izvršite razne zlonamjerne funkcije s povišenim privilegijama.
Izbjegavanje obrane
Korištenjem ubrizgavanja procesa, Remcos se ugrađuje u legitimne procese, što antivirusnom softveru čini izazovnim otkrivanje. Osim toga, njegova sposobnost rada u pozadini dodatno skriva svoju prisutnost od korisnika.
Prikupljanje podataka
Remcos je vješt u prikupljanju širokog spektra podataka iz zaraženog sustava, uključujući:
- Tipke
- Snimke zaslona
- Audio zapisi
- Sadržaj međuspremnika
- Pohranjene lozinke
Utjecaj Remcos RAT infekcije
Posljedice infekcije Remcosom značajne su i višestruke, a pogađaju i pojedinačne korisnike i organizacije:
- Preuzimanje računa
Bilježenjem pritisaka tipki i krađom lozinki, Remcos omogućuje napadačima da preuzmu online račune i druge sustave, potencijalno dovodeći do daljnje krađe podataka i neovlaštenog pristupa unutar mreže organizacije. - Krađa podataka
Remcos je sposoban eksfiltrirati osjetljive podatke iz zaraženog sustava. To može rezultirati kršenjem podataka, bilo izravno s kompromitiranog računala ili s drugih sustava kojima se pristupa pomoću ukradenih vjerodajnica. - Naknadne infekcije
Infekcija s Remcosom može poslužiti kao pristupnik za uvođenje dodatnih varijanti zlonamjernog softvera. To povećava rizik od naknadnih napada, kao što su infekcije ransomwareom, što dodatno pogoršava štetu.
Zaštita od Remcos zlonamjernog softvera
Organizacije mogu usvojiti nekoliko strategija i najboljih praksi za zaštitu od Remcos infekcija:
Skeniranje e-pošte
Implementacija rješenja za skeniranje e-pošte koja identificiraju i blokiraju sumnjivu e-poštu može spriječiti početnu isporuku Remcosa u korisničke sandučiće.
Analiza domene
Praćenje i analiza zapisa domene koje zahtijevaju krajnje točke može pomoći u identificiranju i blokiranju mladih ili sumnjivih domena koje bi mogle biti povezane s Remcosom.
Analiza mrežnog prometa
Remcosove varijante koje šifriraju svoj promet pomoću nestandardnih protokola mogu se otkriti analizom mrežnog prometa, koja može označiti neobične obrasce prometa za daljnju istragu.
Sigurnost krajnje točke
Implementacija sigurnosnih rješenja krajnjih točaka s mogućnošću otkrivanja i saniranja Remcos infekcija je ključna. Ta se rješenja oslanjaju na utvrđene pokazatelje ugroženosti za prepoznavanje i neutraliziranje zlonamjernog softvera.
Iskorištavanje prekida rada CrowdStrikea
U nedavnom incidentu kibernetički kriminalci iskoristili su svjetski prekid rada tvrtke za kibernetičku sigurnost CrowdStrike da distribuiraju Remcos RAT. Napadači su ciljali korisnike CrowdStrikea u Latinskoj Americi distribucijom ZIP arhivske datoteke pod nazivom 'crowdstrike-hotfix.zip.' Ova je datoteka sadržavala učitavač zlonamjernog softvera, Hijack Loader, koji je potom pokrenuo korisni teret Remcos RAT.
ZIP arhiva uključivala je tekstualnu datoteku ('instrucciones.txt') s uputama na španjolskom jeziku, pozivajući mete da pokrenu izvršnu datoteku ('setup.exe') kako bi se navodno oporavili od problema. Upotreba španjolskih naziva datoteka i uputa ukazuje na ciljanu kampanju usmjerenu na korisnike CrowdStrikea u Latinskoj Americi.
Zaključak
Remcos RAT je moćan i svestran malware koji predstavlja značajnu prijetnju Windows sustavima. Njegova sposobnost izbjegavanja otkrivanja, dobivanja povećanih privilegija i prikupljanja opsežnih podataka čini ga omiljenim alatom među kibernetičkim kriminalcima. Razumijevanjem njegovih metoda implementacije, mogućnosti i utjecaja, organizacije se mogu bolje obraniti od ovog zlonamjernog softvera. Provedba robusnih sigurnosnih mjera i oprez protiv phishing napada ključni su koraci u ublažavanju rizika koji predstavlja Remcos RAT.
SpyHunter otkriva i uklanja RemcosRAT
RemcosRAT video
Savjet: Pretvorite svoj zvuk i gledati video u full screen modu.
Pojedinosti o datotečnom sustavu
# | Naziv datoteke | MD5 |
Detekcije
Detekcije: Broj potvrđenih i sumnjivih slučajeva određene prijetnje otkrivene na zaraženim računalima prema izvještaju SpyHuntera.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Pojedinosti registra
Imenici
RemcosRAT može stvoriti sljedeći direktorij ili direktorije:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |