RemcosRAT

Threat Scorecard

Rangsorolás: 4,425
Veszélyszint: 80 % (Magas)
Fertőzött számítógépek: 26,563
Először látott: October 16, 2016
Utoljára látva: August 5, 2024
Érintett operációs rendszer(ek): Windows

A Remcos RAT (Remote Access Trojan) egy kifinomult rosszindulatú program, amelyet a Windows operációs rendszerek beszivárgására és vezérlésére terveztek. A Breaking Security nevű német cég által kifejlesztett és törvényes távirányító- és megfigyelőeszközként értékesített Remcost gyakran visszaélnek kiberbűnözők rosszindulatú célokra. Ez a cikk a Remcos RAT jellemzőit, képességeit, hatásait és védelmeit, valamint a telepítésével kapcsolatos közelmúltbeli figyelemre méltó eseményeket tárgyalja.

Telepítési és fertőzési módszerek

Adathalász támadások
A Remcos rendszerint adathalász támadásokon keresztül terjesztik, ahol a gyanútlan felhasználókat ráveszik rosszindulatú fájlok letöltésére és végrehajtására. Ezek az adathalász e-mailek gyakran a következőket tartalmazzák:

PDF-nek álcázott rosszindulatú ZIP-fájlok, amelyek azt állítják, hogy számlák vagy megrendelések.
Microsoft Office-dokumentumok beágyazott rosszindulatú makróval, amelyek a kártevő aktiváláskor történő telepítésére szolgálnak.

Kijátszási technikák
Az észlelés elkerülése érdekében a Remcos olyan fejlett technikákat alkalmaz, mint például:

  • Process Injection vagy Process Hollowing : Ez a módszer lehetővé teszi a Remcos számára, hogy törvényes folyamaton belül hajtson végre, elkerülve ezzel a víruskereső szoftver általi észlelést.
  • Perzisztencia-mechanizmusok : A telepítés után a Remcos biztosítja, hogy aktív maradjon olyan mechanizmusok alkalmazásával, amelyek lehetővé teszik a háttérben, a felhasználó elől rejtett futtatását.

Vezérlési és vezérlési (C2) infrastruktúra

A Remcos alapvető képessége a Command-and-Control (C2) funkció. A rosszindulatú program titkosítja kommunikációs forgalmát a C2 szerver felé, ami megnehezíti a hálózati biztonsági intézkedések számára az adatok elfogását és elemzését. A Remcos Distributed DNS (DDNS) segítségével több tartományt hoz létre a C2 szerverei számára. Ez a technika segít a rosszindulatú programoknak elkerülni azokat a biztonsági védelmet, amelyek az ismert rosszindulatú tartományokba irányuló forgalom szűrésére támaszkodnak, növelve annak ellenálló képességét és tartósságát.

A Remcos RAT képességei

A Remcos RAT egy hatékony eszköz, amely számos lehetőséget kínál a támadóknak, lehetővé téve a fertőzött rendszerek széles körű ellenőrzését és kihasználását:

Privilege Elevation
A Remcos rendszergazdai jogosultságokat szerezhet egy fertőzött rendszeren, ami lehetővé teszi, hogy:

  • Felhasználói fiókok felügyeletének (UAC) letiltása.
  • Különféle rosszindulatú funkciók végrehajtása emelt szintű jogosultságokkal.

Védelmi kijátszás
A folyamatinjektálás használatával a Remcos beágyazza magát a törvényes folyamatokba, így kihívást jelent a víruskereső szoftverek észlelése számára. Ezen túlmenően, hogy a háttérben fut, még jobban elrejti jelenlétét a felhasználók elől.

Adatgyűjtés

A Remcos ügyesen gyűjt sokféle adatot a fertőzött rendszerről, beleértve:

  • Billentyűütések
  • Képernyőképek
  • Hangfelvételek
  • A vágólap tartalma
  • Tárolt jelszavak

A Remcos RAT fertőzés hatása

A Remcos fertőzés következményei jelentősek és sokrétűek, mind az egyéni felhasználókat, mind a szervezeteket érintik:

  • Fiók átvétele
    A billentyűleütések naplózásával és a jelszavak ellopásával a Remcos lehetővé teszi a támadók számára, hogy átvegyék az online fiókokat és más rendszereket, ami további adatlopáshoz és jogosulatlan hozzáféréshez vezethet a szervezet hálózatán belül.
  • Adatlopás
    A Remcos képes kiszűrni az érzékeny adatokat a fertőzött rendszerből. Ez adatszivárgásokat eredményezhet, akár közvetlenül a feltört számítógépről, akár más, ellopott hitelesítő adatokkal elért rendszerről.
  • Követő fertőzések
    A Remcos fertőzés átjáróként szolgálhat további rosszindulatú programváltozatok telepítéséhez. Ez növeli a későbbi támadások, például a ransomware fertőzések kockázatát, tovább súlyosbítva a károkat.

Védelem a Remcos malware ellen

A szervezetek számos stratégiát és bevált gyakorlatot alkalmazhatnak a Remcos fertőzések elleni védelem érdekében:

E-mail szkennelés
A gyanús e-maileket azonosító és blokkoló e-mail-ellenőrzési megoldások alkalmazása megakadályozhatja a Remcos kezdeti kézbesítését a felhasználók postafiókjába.

Domain elemzés
A végpontok által kért tartományrekordok figyelése és elemzése segíthet azonosítani és blokkolni a Remcos-hoz esetleg társított fiatal vagy gyanús tartományokat.

Hálózati forgalom elemzése
A forgalmukat nem szabványos protokollokkal titkosító Remcos-változatok a hálózati forgalom elemzésével észlelhetők, ami szokatlan forgalmi mintákat jelezhet további vizsgálat céljából.

Endpoint Security
A Remcos fertőzések észlelésére és orvoslására képes végponti biztonsági megoldások telepítése kulcsfontosságú. Ezek a megoldások a kompromisszum megállapított mutatóira támaszkodnak a rosszindulatú program azonosítása és semlegesítése érdekében.

A CrowdStrike leállás kihasználása

Egy közelmúltban történt incidens során a kiberbűnözők kihasználták a CrowdStrike kiberbiztonsági cég világméretű leállását a Remcos RAT terjesztésére. A támadók a CrowdStrike latin-amerikai ügyfeleit vették célba egy „crowdstrike-hotfix.zip” nevű ZIP archív fájl terjesztésével. Ez a fájl egy rosszindulatú programbetöltőt, a Hijack Loader-t tartalmazott, amely ezt követően elindította a Remcos RAT rakományt.

A ZIP-archívum tartalmazott egy szöveges fájlt ('instrucciones.txt') spanyol nyelvű utasításokkal, és felszólította a célszemélyeket, hogy futtassanak egy futtatható fájlt ('setup.exe'), hogy állítólag helyreálljanak a problémából. A spanyol fájlnevek és utasítások használata a latin-amerikai székhelyű CrowdStrike ügyfeleket célzó kampányt jelez.

Következtetés

A Remcos RAT egy erős és sokoldalú rosszindulatú program, amely jelentős veszélyt jelent a Windows rendszerekre. Az észlelés elkerülésére, magasabb jogosultságok megszerzésére és kiterjedt adatgyűjtésre való képessége miatt a számítógépes bűnözők kedvelt eszköze. A telepítési módszerek, képességek és hatások megértésével a szervezetek jobban védekezhetnek e rosszindulatú szoftver ellen. A robusztus biztonsági intézkedések bevezetése és az adathalász támadásokkal szembeni éberség létfontosságú lépések a Remcos RAT által jelentett kockázat csökkentésében.

A SpyHunter észleli és eltávolítja a RemcosRAT-et

RemcosRAT videó

Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .

A fájlrendszer részletei

A RemcosRAT a következő fájl(oka)t hozhatja létre:
# Fájl név MD5 Észlelések
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Nyilvántartási adatok

A RemcosRAT a következő rendszerleíró bejegyzéseket vagy bejegyzéseket hozhatja létre:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Könyvtárak

A RemcosRAT a következő könyvtárat vagy könyvtárakat hozhatja létre:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Felkapott

Legnézettebb

Betöltés...