RemcosRAT

តារាងពិន្ទុគំរាមកំហែង

ចំណាត់ថ្នាក់៖ 4,425
កម្រិតគំរាមកំហែង៖ 80 % (ខ្ពស់)
កុំព្យូទ័រដែលមានមេរោគ៖ 26,563
ឃើញដំបូង៖ October 16, 2016
បានឃើញចុងក្រោយ៖ August 5, 2024
OS(es) រងផលប៉ះពាល់៖ Windows

Remcos RAT (Remote Access Trojan) គឺជាមេរោគដ៏ទំនើបដែលត្រូវបានរចនាឡើងដើម្បីជ្រៀតចូល និងគ្រប់គ្រងប្រព័ន្ធប្រតិបត្តិការ Windows ។ បង្កើត និងលក់ដោយក្រុមហ៊ុនអាល្លឺម៉ង់មួយដែលមានឈ្មោះថា Breaking Security ជាឧបករណ៍បញ្ជាពីចម្ងាយ និងការត្រួតពិនិត្យស្របច្បាប់ Remcos ត្រូវបានបំពានជាញឹកញាប់ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតសម្រាប់គោលបំណងព្យាបាទ។ អត្ថបទនេះនិយាយអំពីលក្ខណៈ សមត្ថភាព ផលប៉ះពាល់ និងការការពារដែលទាក់ទងនឹង Remcos RAT ក៏ដូចជាឧប្បត្តិហេតុគួរឱ្យកត់សម្គាល់ថ្មីៗពាក់ព័ន្ធនឹងការដាក់ពង្រាយរបស់វា។

វិធីសាស្រ្តនៃការដាក់ពង្រាយនិងការឆ្លងមេរោគ

ការវាយប្រហារដោយបន្លំ
Remcos ជាធម្មតាត្រូវបានចែកចាយតាមរយៈការវាយប្រហារដោយបន្លំ ដែលអ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យត្រូវបានបោកបញ្ឆោតឱ្យទាញយក និងដំណើរការឯកសារព្យាបាទ។ អ៊ីមែលបន្លំទាំងនេះច្រើនតែមាន៖

ឯកសារហ្ស៊ីបព្យាបាទដែលក្លែងខ្លួនជា PDF ដោយអះអាងថាជាវិក្កយបត្រ ឬការបញ្ជាទិញ។
Microsoft Office ឯកសារដែលមានម៉ាក្រូព្យាបាទដែលបានបង្កប់ដែលត្រូវបានរចនាឡើងដើម្បីដាក់ពង្រាយមេរោគនៅពេលបើកដំណើរការ។

បច្ចេកទេសគេចវេស
ដើម្បីគេចពីការរកឃើញ Remcos ប្រើបច្ចេកទេសកម្រិតខ្ពស់ដូចជា៖

  • Process Injection ឬ Process Hollowing : វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យ Remcos ប្រតិបត្តិក្នុងដំណើរការស្របច្បាប់ ដោយជៀសវាងការរកឃើញដោយកម្មវិធីកំចាត់មេរោគ។
  • យន្តការតស៊ូ ៖ នៅពេលដំឡើងរួច Remcos ធានាថាវានៅតែសកម្មដោយប្រើប្រាស់យន្តការដែលអនុញ្ញាតឱ្យវាដំណើរការក្នុងផ្ទៃខាងក្រោយ លាក់ពីអ្នកប្រើប្រាស់។

រចនាសម្ព័ន្ធបញ្ជា និងបញ្ជា (C2)

សមត្ថភាពស្នូលរបស់ Remcos គឺជាមុខងារ Command-and-Control (C2) របស់វា។ មេរោគនេះអ៊ិនគ្រីបចរាចរណ៍ទំនាក់ទំនងរបស់វាទៅកាន់ម៉ាស៊ីនមេ C2 ដែលធ្វើឱ្យមានការលំបាកសម្រាប់វិធានការសុវត្ថិភាពបណ្តាញក្នុងការស្ទាក់ចាប់ និងវិភាគទិន្នន័យ។ Remcos ប្រើ Distributed DNS (DDNS) ដើម្បីបង្កើតដែនច្រើនសម្រាប់ម៉ាស៊ីនមេ C2 របស់វា។ បច្ចេកទេសនេះជួយឱ្យមេរោគគេចផុតពីការការពារសុវត្ថិភាពដែលពឹងផ្អែកលើការត្រងចរាចរទៅកាន់ដែនព្យាបាទដែលគេស្គាល់ បង្កើនភាពធន់ និងការតស៊ូរបស់វា។

សមត្ថភាពរបស់ Remcos RAT

Remcos RAT គឺជាឧបករណ៍ដ៏មានអានុភាពដែលផ្តល់នូវសមត្ថភាពជាច្រើនដល់អ្នកវាយប្រហារ បើកការគ្រប់គ្រងយ៉ាងទូលំទូលាយ និងការកេងប្រវ័ញ្ចលើប្រព័ន្ធមេរោគ៖

ការកាត់បន្ថយសិទ្ធិ
Remcos អាចទទួលបានការអនុញ្ញាតពីអ្នកគ្រប់គ្រងនៅលើប្រព័ន្ធដែលមានមេរោគ ដែលអនុញ្ញាតឱ្យវា៖

  • បិទការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ (UAC)។
  • អនុវត្តមុខងារព្យាបាទផ្សេងៗជាមួយនឹងសិទ្ធិកើនឡើង។

ការគេចចេញពីការការពារ
ដោយប្រើការចាក់ដំណើរការ Remcos បង្កប់ខ្លួននៅក្នុងដំណើរការស្របច្បាប់ ដែលធ្វើឱ្យវាពិបាកសម្រាប់កម្មវិធីកំចាត់មេរោគក្នុងការរកឃើញ។ លើសពីនេះ សមត្ថភាពរបស់វាក្នុងការដំណើរការក្នុងផ្ទៃខាងក្រោយកាន់តែលាក់បាំងវត្តមានរបស់វាពីអ្នកប្រើប្រាស់។

ការ​ប្រមូល​ទិន្នន័យ

Remcos មានភាពប៉ិនប្រសប់ក្នុងការប្រមូលទិន្នន័យជាច្រើនពីប្រព័ន្ធដែលឆ្លងមេរោគ រួមមានៈ

  • ការចុចគ្រាប់ចុច
  • រូបថតអេក្រង់
  • ការថតសំឡេង
  • មាតិកាក្ដារតម្បៀតខ្ទាស់
  • ពាក្យសម្ងាត់ដែលបានរក្សាទុក

ផលប៉ះពាល់នៃការឆ្លងមេរោគ Remcos RAT

ផលវិបាកនៃការឆ្លងមេរោគ Remcos គឺមានសារៈសំខាន់ និងច្រើន ដែលប៉ះពាល់ដល់អ្នកប្រើប្រាស់ និងស្ថាប័ននីមួយៗ៖

  • ការកាន់កាប់គណនី
    តាមរយៈការកត់ត្រាការចុចគ្រាប់ចុច និងការលួចពាក្យសម្ងាត់ Remcos អនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលកាន់កាប់គណនីអនឡាញ និងប្រព័ន្ធផ្សេងទៀត ដែលអាចនាំឱ្យមានការលួចទិន្នន័យបន្ថែមទៀត និងការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតនៅក្នុងបណ្តាញរបស់ស្ថាប័នមួយ។
  • ការលួចទិន្នន័យ
    Remcos មានសមត្ថភាពទាញយកទិន្នន័យរសើបចេញពីប្រព័ន្ធមេរោគ។ នេះអាចបណ្តាលឱ្យមានការបំពានទិន្នន័យ ដោយផ្ទាល់ពីកុំព្យូទ័រដែលត្រូវបានសម្របសម្រួល ឬពីប្រព័ន្ធផ្សេងទៀតដែលបានចូលប្រើដោយប្រើព័ត៌មានសម្ងាត់ដែលត្រូវបានលួច។
  • ការឆ្លងតាមក្រោយ
    ការឆ្លងមេរោគជាមួយ Remcos អាចបម្រើជាច្រកសម្រាប់ដាក់ពង្រាយវ៉ារ្យ៉ង់មេរោគបន្ថែម។ នេះបង្កើនហានិភ័យនៃការវាយប្រហារជាបន្តបន្ទាប់ ដូចជាការឆ្លងមេរោគ ransomware ធ្វើឱ្យការខូចខាតកាន់តែធ្ងន់ធ្ងរ។

ការការពារប្រឆាំងនឹងមេរោគ Remcos

អង្គការអាចអនុម័តយុទ្ធសាស្ត្រ និងការអនុវត្តល្អបំផុតមួយចំនួនដើម្បីការពារប្រឆាំងនឹងការឆ្លងមេរោគ Remcos៖

ការស្កេនអ៊ីមែល
ការអនុវត្តដំណោះស្រាយស្កេនអ៊ីមែលដែលកំណត់អត្តសញ្ញាណ និងរារាំងអ៊ីមែលដែលគួរឱ្យសង្ស័យអាចការពារការបញ្ជូនដំបូងនៃ Remcos ទៅកាន់ប្រអប់ទទួលរបស់អ្នកប្រើប្រាស់។

ការវិភាគដែន
ការត្រួតពិនិត្យ និងវិភាគកំណត់ត្រាដែនដែលបានស្នើសុំដោយចំណុចបញ្ចប់អាចជួយកំណត់អត្តសញ្ញាណ និងទប់ស្កាត់ដែនវ័យក្មេង ឬគួរឱ្យសង្ស័យដែលអាចត្រូវបានផ្សារភ្ជាប់ជាមួយនឹង Remcos ។

ការវិភាគចរាចរណ៍បណ្តាញ
វ៉ារ្យ៉ង់ Remcos ដែលអ៊ិនគ្រីបចរាចរណ៍របស់ពួកគេដោយប្រើពិធីការមិនស្តង់ដារអាចត្រូវបានរកឃើញតាមរយៈការវិភាគចរាចរណ៍បណ្តាញ ដែលអាចដាក់ទង់គំរូចរាចរណ៍មិនធម្មតាសម្រាប់ការស៊ើបអង្កេតបន្ថែម។

សុវត្ថិភាពចំណុចបញ្ចប់
ការដាក់ពង្រាយដំណោះស្រាយសុវត្ថិភាពចំនុចបញ្ចប់ជាមួយនឹងសមត្ថភាពក្នុងការរកឃើញ និងដោះស្រាយការឆ្លងមេរោគ Remcos គឺមានសារៈសំខាន់ណាស់។ ដំណោះស្រាយទាំងនេះពឹងផ្អែកលើសូចនាករដែលបានបង្កើតឡើងនៃការសម្របសម្រួលដើម្បីកំណត់អត្តសញ្ញាណ និងបន្សាបមេរោគ។

ការកេងប្រវ័ញ្ចនៃការដាច់ CrowdStrike

នៅក្នុងឧប្បត្តិហេតុថ្មីៗនេះ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានកេងប្រវ័ញ្ចលើការដាច់ចរន្តទូទាំងពិភពលោករបស់ក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិត CrowdStrike ដើម្បីចែកចាយ Remcos RAT ។ អ្នកវាយប្រហារបានកំណត់គោលដៅអតិថិជន CrowdStrike នៅអាមេរិកឡាទីនដោយចែកចាយឯកសារឯកសារ ZIP ដែលមានឈ្មោះថា 'crowdstrike-hotfix.zip'។ ឯកសារនេះមានកម្មវិធីផ្ទុកមេរោគ Hijack Loader ដែលបានបើកដំណើរការកម្មវិធី Remcos RAT ជាបន្តបន្ទាប់។

បណ្ណសារ ZIP រួមបញ្ចូលឯកសារអត្ថបទ ('instrucciones.txt') ជាមួយនឹងការណែនាំជាភាសាអេស្ប៉ាញ ដោយជំរុញឱ្យគោលដៅដំណើរការឯកសារដែលអាចប្រតិបត្តិបាន ('setup.exe') ដើម្បីសង្គ្រោះពីបញ្ហានេះ។ ការប្រើប្រាស់ឈ្មោះឯកសារ និងការណែនាំជាភាសាអេស្ប៉ាញ បង្ហាញពីយុទ្ធនាការដែលកំណត់គោលដៅសម្រាប់អតិថិជន CrowdStrike ដែលមានមូលដ្ឋាននៅអាមេរិកឡាទីន។

សេចក្តីសន្និដ្ឋាន

Remcos RAT គឺជាមេរោគដ៏ខ្លាំងក្លា និងអាចប្រើប្រាស់បានដែលបង្កការគំរាមកំហែងយ៉ាងសំខាន់ដល់ប្រព័ន្ធវីនដូ។ សមត្ថភាពរបស់ខ្លួនក្នុងការគេចពីការរកឃើញ ទទួលបានសិទ្ធិខ្ពស់ និងប្រមូលទិន្នន័យដ៏ទូលំទូលាយធ្វើឱ្យវាក្លាយជាឧបករណ៍ពេញនិយមក្នុងចំណោមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ តាមរយៈការយល់ដឹងអំពីវិធីសាស្រ្តនៃការដាក់ពង្រាយ សមត្ថភាព និងផលប៉ះពាល់របស់វា អង្គការអាចការពារបានប្រសើរជាងមុនប្រឆាំងនឹងកម្មវិធីព្យាបាទនេះ។ ការអនុវត្តវិធានការសន្តិសុខដ៏រឹងមាំ និងការរក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងការវាយប្រហារដោយបន្លំគឺជាជំហានដ៏សំខាន់ក្នុងការកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយ Remcos RAT ។

SpyHunter រកឃើញ & យក RemcosRAT

RemcosRAT វីដេអូ

គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់

ព័ត៌មានលម្អិតអំពីប្រព័ន្ធឯកសារ

RemcosRAT អាចបង្កើតឯកសារខាងក្រោម៖
# ឈ្មោះ​ឯកសារ MD5 ការរកឃើញ
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

ព័ត៌មានលម្អិតនៃការចុះឈ្មោះ

RemcosRAT អាចបង្កើតបញ្ជីឈ្មោះខាងក្រោម ឬធាតុចុះបញ្ជី៖
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

ថតឯកសារ

RemcosRAT អាចបង្កើតថត ឬថតខាងក្រោម៖

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...