RemcosRAT
Threat Scorecard
EnigmaSoft Threat Scorecard
Az EnigmaSoft Threat Scorecardok különböző rosszindulatú programok fenyegetéseinek értékelési jelentései, amelyeket kutatócsoportunk gyűjtött össze és elemzett. Az EnigmaSoft Threat Scorecardok számos mérőszám segítségével értékelik és rangsorolják a fenyegetéseket, beleértve a valós és potenciális kockázati tényezőket, trendeket, gyakoriságot, prevalenciát és tartósságot. Az EnigmaSoft Threat Scorecardokat kutatási adataink és mérőszámaink alapján rendszeresen frissítjük, és a számítógép-felhasználók széles köre számára hasznosak, a rosszindulatú programokat rendszerükből eltávolító megoldásokat kereső végfelhasználóktól a fenyegetéseket elemző biztonsági szakértőkig.
Az EnigmaSoft Threat Scorecardok számos hasznos információt jelenítenek meg, többek között:
Rangsor: Egy adott fenyegetés rangsorolása az EnigmaSoft fenyegetési adatbázisában.
Súlyossági szint: Egy objektum meghatározott súlyossági szintje, számszerűen ábrázolva, kockázati modellezési folyamatunk és kutatásunk alapján, a fenyegetésértékelési kritériumainkban leírtak szerint.
Fertőzött számítógépek: A fertőzött számítógépeken észlelt bizonyos fenyegetés megerősített és feltételezett eseteinek száma, a SpyHunter jelentése szerint.
Lásd még: Fenyegetésértékelési kritériumok .
Rangsorolás: | 4,425 |
Veszélyszint: | 80 % (Magas) |
Fertőzött számítógépek: | 26,563 |
Először látott: | October 16, 2016 |
Utoljára látva: | August 5, 2024 |
Érintett operációs rendszer(ek): | Windows |
A Remcos RAT (Remote Access Trojan) egy kifinomult rosszindulatú program, amelyet a Windows operációs rendszerek beszivárgására és vezérlésére terveztek. A Breaking Security nevű német cég által kifejlesztett és törvényes távirányító- és megfigyelőeszközként értékesített Remcost gyakran visszaélnek kiberbűnözők rosszindulatú célokra. Ez a cikk a Remcos RAT jellemzőit, képességeit, hatásait és védelmeit, valamint a telepítésével kapcsolatos közelmúltbeli figyelemre méltó eseményeket tárgyalja.
Tartalomjegyzék
Telepítési és fertőzési módszerek
Adathalász támadások
A Remcos rendszerint adathalász támadásokon keresztül terjesztik, ahol a gyanútlan felhasználókat ráveszik rosszindulatú fájlok letöltésére és végrehajtására. Ezek az adathalász e-mailek gyakran a következőket tartalmazzák:
PDF-nek álcázott rosszindulatú ZIP-fájlok, amelyek azt állítják, hogy számlák vagy megrendelések.
Microsoft Office-dokumentumok beágyazott rosszindulatú makróval, amelyek a kártevő aktiváláskor történő telepítésére szolgálnak.
Kijátszási technikák
Az észlelés elkerülése érdekében a Remcos olyan fejlett technikákat alkalmaz, mint például:
- Process Injection vagy Process Hollowing : Ez a módszer lehetővé teszi a Remcos számára, hogy törvényes folyamaton belül hajtson végre, elkerülve ezzel a víruskereső szoftver általi észlelést.
- Perzisztencia-mechanizmusok : A telepítés után a Remcos biztosítja, hogy aktív maradjon olyan mechanizmusok alkalmazásával, amelyek lehetővé teszik a háttérben, a felhasználó elől rejtett futtatását.
Vezérlési és vezérlési (C2) infrastruktúra
A Remcos alapvető képessége a Command-and-Control (C2) funkció. A rosszindulatú program titkosítja kommunikációs forgalmát a C2 szerver felé, ami megnehezíti a hálózati biztonsági intézkedések számára az adatok elfogását és elemzését. A Remcos Distributed DNS (DDNS) segítségével több tartományt hoz létre a C2 szerverei számára. Ez a technika segít a rosszindulatú programoknak elkerülni azokat a biztonsági védelmet, amelyek az ismert rosszindulatú tartományokba irányuló forgalom szűrésére támaszkodnak, növelve annak ellenálló képességét és tartósságát.
A Remcos RAT képességei
A Remcos RAT egy hatékony eszköz, amely számos lehetőséget kínál a támadóknak, lehetővé téve a fertőzött rendszerek széles körű ellenőrzését és kihasználását:
Privilege Elevation
A Remcos rendszergazdai jogosultságokat szerezhet egy fertőzött rendszeren, ami lehetővé teszi, hogy:
- Felhasználói fiókok felügyeletének (UAC) letiltása.
- Különféle rosszindulatú funkciók végrehajtása emelt szintű jogosultságokkal.
Védelmi kijátszás
A folyamatinjektálás használatával a Remcos beágyazza magát a törvényes folyamatokba, így kihívást jelent a víruskereső szoftverek észlelése számára. Ezen túlmenően, hogy a háttérben fut, még jobban elrejti jelenlétét a felhasználók elől.
Adatgyűjtés
A Remcos ügyesen gyűjt sokféle adatot a fertőzött rendszerről, beleértve:
- Billentyűütések
- Képernyőképek
- Hangfelvételek
- A vágólap tartalma
- Tárolt jelszavak
A Remcos RAT fertőzés hatása
A Remcos fertőzés következményei jelentősek és sokrétűek, mind az egyéni felhasználókat, mind a szervezeteket érintik:
- Fiók átvétele
A billentyűleütések naplózásával és a jelszavak ellopásával a Remcos lehetővé teszi a támadók számára, hogy átvegyék az online fiókokat és más rendszereket, ami további adatlopáshoz és jogosulatlan hozzáféréshez vezethet a szervezet hálózatán belül. - Adatlopás
A Remcos képes kiszűrni az érzékeny adatokat a fertőzött rendszerből. Ez adatszivárgásokat eredményezhet, akár közvetlenül a feltört számítógépről, akár más, ellopott hitelesítő adatokkal elért rendszerről. - Követő fertőzések
A Remcos fertőzés átjáróként szolgálhat további rosszindulatú programváltozatok telepítéséhez. Ez növeli a későbbi támadások, például a ransomware fertőzések kockázatát, tovább súlyosbítva a károkat.
Védelem a Remcos malware ellen
A szervezetek számos stratégiát és bevált gyakorlatot alkalmazhatnak a Remcos fertőzések elleni védelem érdekében:
E-mail szkennelés
A gyanús e-maileket azonosító és blokkoló e-mail-ellenőrzési megoldások alkalmazása megakadályozhatja a Remcos kezdeti kézbesítését a felhasználók postafiókjába.
Domain elemzés
A végpontok által kért tartományrekordok figyelése és elemzése segíthet azonosítani és blokkolni a Remcos-hoz esetleg társított fiatal vagy gyanús tartományokat.
Hálózati forgalom elemzése
A forgalmukat nem szabványos protokollokkal titkosító Remcos-változatok a hálózati forgalom elemzésével észlelhetők, ami szokatlan forgalmi mintákat jelezhet további vizsgálat céljából.
Endpoint Security
A Remcos fertőzések észlelésére és orvoslására képes végponti biztonsági megoldások telepítése kulcsfontosságú. Ezek a megoldások a kompromisszum megállapított mutatóira támaszkodnak a rosszindulatú program azonosítása és semlegesítése érdekében.
A CrowdStrike leállás kihasználása
Egy közelmúltban történt incidens során a kiberbűnözők kihasználták a CrowdStrike kiberbiztonsági cég világméretű leállását a Remcos RAT terjesztésére. A támadók a CrowdStrike latin-amerikai ügyfeleit vették célba egy „crowdstrike-hotfix.zip” nevű ZIP archív fájl terjesztésével. Ez a fájl egy rosszindulatú programbetöltőt, a Hijack Loader-t tartalmazott, amely ezt követően elindította a Remcos RAT rakományt.
A ZIP-archívum tartalmazott egy szöveges fájlt ('instrucciones.txt') spanyol nyelvű utasításokkal, és felszólította a célszemélyeket, hogy futtassanak egy futtatható fájlt ('setup.exe'), hogy állítólag helyreálljanak a problémából. A spanyol fájlnevek és utasítások használata a latin-amerikai székhelyű CrowdStrike ügyfeleket célzó kampányt jelez.
Következtetés
A Remcos RAT egy erős és sokoldalú rosszindulatú program, amely jelentős veszélyt jelent a Windows rendszerekre. Az észlelés elkerülésére, magasabb jogosultságok megszerzésére és kiterjedt adatgyűjtésre való képessége miatt a számítógépes bűnözők kedvelt eszköze. A telepítési módszerek, képességek és hatások megértésével a szervezetek jobban védekezhetnek e rosszindulatú szoftver ellen. A robusztus biztonsági intézkedések bevezetése és az adathalász támadásokkal szembeni éberség létfontosságú lépések a Remcos RAT által jelentett kockázat csökkentésében.
A SpyHunter észleli és eltávolítja a RemcosRAT-et
RemcosRAT videó
Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .
A fájlrendszer részletei
# | Fájl név | MD5 |
Észlelések
Észlelések: A fertőzött számítógépeken észlelt bizonyos fenyegetés megerősített és feltételezett eseteinek száma, a SpyHunter jelentése szerint.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Nyilvántartási adatok
Könyvtárak
A RemcosRAT a következő könyvtárat vagy könyvtárakat hozhatja létre:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |