렘코스RAT
위협 스코어카드
EnigmaSoft 위협 스코어카드
EnigmaSoft Threat Scorecard는 당사 연구팀이 수집 및 분석한 다양한 악성코드 위협에 대한 평가 보고서입니다. EnigmaSoft Threat Scorecard는 실제 및 잠재적 위험 요인, 추세, 빈도, 확산 및 지속성을 포함한 여러 메트릭을 사용하여 위협을 평가하고 순위를 지정합니다. EnigmaSoft Threat Scorecard는 당사의 연구 데이터 및 메트릭을 기반으로 정기적으로 업데이트되며 시스템에서 맬웨어를 제거하기 위한 솔루션을 찾는 최종 사용자부터 위협을 분석하는 보안 전문가에 이르기까지 광범위한 컴퓨터 사용자에게 유용합니다.
EnigmaSoft Threat Scorecard는 다음과 같은 다양한 유용한 정보를 표시합니다.
순위: EnigmaSoft의 위협 데이터베이스에서 특정 위협의 순위입니다.
심각도 수준: 위협 평가 기준 에 설명된 대로 위험 모델링 프로세스 및 연구를 기반으로 숫자로 표시된 개체의 결정된 심각도 수준입니다.
감염된 컴퓨터: SpyHunter에서 보고한 감염된 컴퓨터에서 탐지된 특정 위협의 확인 및 의심 사례 수입니다.
위협 평가 기준 도 참조하십시오.
순위: | 4,425 |
위협 수준: | 80 % (높은) |
감염된 컴퓨터: | 26,563 |
처음 본 것: | October 16, 2016 |
마지막으로 본: | August 5, 2024 |
영향을 받는 OS: | Windows |
Remcos RAT(Remote Access Trojan)는 Windows 운영 체제에 침투하여 제어하도록 설계된 정교한 악성 코드입니다. Breaking Security라는 독일 회사가 합법적인 원격 제어 및 감시 도구로 개발 및 판매한 Remcos는 사이버 범죄자들에 의해 악의적인 목적으로 자주 남용됩니다. 이 기사에서는 Remcos RAT와 관련된 특성, 기능, 영향 및 방어뿐만 아니라 Remcos RAT 배포와 관련된 최근 주목할만한 사건에 대해 자세히 설명합니다.
목차
배포 및 감염 방법
피싱 공격
Remcos는 일반적으로 의심하지 않는 사용자를 속여 악성 파일을 다운로드하고 실행하는 피싱 공격을 통해 배포됩니다. 이러한 피싱 이메일에는 다음과 같은 내용이 포함되는 경우가 많습니다.
송장이나 주문을 사칭하는 PDF로 위장한 악성 ZIP 파일입니다.
활성화 시 악성 코드를 배포하도록 설계된 악성 매크로가 내장된 Microsoft Office 문서입니다.
회피 기술
탐지를 회피하기 위해 Remcos는 다음과 같은 고급 기술을 사용합니다.
- 프로세스 주입 또는 프로세스 홀로잉 : 이 방법을 사용하면 Remcos가 합법적인 프로세스 내에서 실행되어 바이러스 백신 소프트웨어의 탐지를 피할 수 있습니다.
- 지속성 메커니즘 : 일단 설치되면 Remcos는 사용자에게 숨겨져 백그라운드에서 실행될 수 있는 메커니즘을 사용하여 활성 상태를 유지합니다.
명령 및 제어(C2) 인프라
Remcos의 핵심 기능은 명령 및 제어(C2) 기능입니다. 악성코드는 C2 서버로 가는 도중에 통신 트래픽을 암호화하므로 네트워크 보안 조치가 데이터를 가로채고 분석하는 것을 어렵게 만듭니다. Remcos는 DDNS(분산 DNS)를 사용하여 C2 서버에 대한 여러 도메인을 생성합니다. 이 기술은 맬웨어가 알려진 악성 도메인에 대한 트래픽 필터링에 의존하는 보안 보호를 회피하여 복원력과 지속성을 향상시키는 데 도움이 됩니다.
Remcos RAT의 기능
Remcos RAT는 공격자에게 다양한 기능을 제공하여 감염된 시스템을 광범위하게 제어하고 악용할 수 있는 강력한 도구입니다.
권한 승격
Remcos는 감염된 시스템에 대해 관리자 권한을 얻어 다음을 수행할 수 있습니다.
- UAC(사용자 계정 컨트롤)를 비활성화합니다.
- 상승된 권한으로 다양한 악성 기능을 실행합니다.
방어회피
Remcos는 프로세스 주입을 사용하여 합법적인 프로세스 내에 자신을 포함시켜 바이러스 백신 소프트웨어가 탐지하기 어렵게 만듭니다. 또한 백그라운드에서 실행될 수 있는 기능으로 인해 사용자가 자신의 존재를 숨길 수 있습니다.
데이터 수집
Remcos는 감염된 시스템에서 다음을 포함하여 광범위한 데이터를 수집하는 데 능숙합니다.
- 키 입력
- 스크린샷
- 오디오 녹음
- 클립보드 내용
- 저장된 비밀번호
Remcos RAT 감염의 영향
Remcos 감염의 결과는 중요하고 다면적이며 개인 사용자와 조직 모두에 영향을 미칩니다.
- 계정 탈취
Remcos는 키 입력을 기록하고 비밀번호를 도용함으로써 공격자가 온라인 계정 및 기타 시스템을 장악할 수 있도록 하여 잠재적으로 조직 네트워크 내에서 추가 데이터 도용 및 무단 액세스로 이어질 수 있습니다. - 데이터 도난
Remcos는 감염된 시스템에서 민감한 데이터를 유출할 수 있습니다. 이로 인해 손상된 컴퓨터에서 직접적으로 또는 도난당한 자격 증명을 사용하여 액세스한 다른 시스템에서 데이터 침해가 발생할 수 있습니다. - 후속 감염
Remcos 감염은 추가 악성 코드 변종을 배포하기 위한 게이트웨이 역할을 할 수 있습니다. 이로 인해 랜섬웨어 감염과 같은 후속 공격의 위험이 증가하여 피해가 더욱 악화됩니다.
Remcos 악성코드로부터 보호
조직은 Remcos 감염으로부터 보호하기 위해 여러 가지 전략과 모범 사례를 채택할 수 있습니다.
이메일 검사
의심스러운 이메일을 식별하고 차단하는 이메일 검사 솔루션을 구현하면 Remcos가 사용자의 받은 편지함으로 처음 전달되는 것을 방지할 수 있습니다.
도메인 분석
엔드포인트에서 요청한 도메인 레코드를 모니터링하고 분석하면 Remcos와 연관될 수 있는 젊거나 의심스러운 도메인을 식별하고 차단하는 데 도움이 될 수 있습니다.
네트워크 트래픽 분석
비표준 프로토콜을 사용하여 트래픽을 암호화하는 Remcos 변종은 네트워크 트래픽 분석을 통해 탐지할 수 있으며, 이를 통해 추가 조사를 위해 비정상적인 트래픽 패턴을 표시할 수 있습니다.
엔드포인트 보안
Remcos 감염을 탐지하고 해결하는 기능을 갖춘 엔드포인트 보안 솔루션을 배포하는 것이 중요합니다. 이러한 솔루션은 악성 코드를 식별하고 무력화하기 위해 확립된 손상 지표를 사용합니다.
CrowdStrike 중단 활용
최근 사건에서 사이버 범죄자들은 Remcos RAT를 배포하기 위해 사이버 보안 회사인 CrowdStrike의 전 세계적인 중단 상황을 악용했습니다. 공격자는 'crowdstrike-hotfix.zip'이라는 ZIP 아카이브 파일을 배포하여 라틴 아메리카의 CrowdStrike 고객을 표적으로 삼았습니다. 이 파일에는 악성 코드 로더인 Hijack Loader가 포함되어 있으며 이후 Remcos RAT 페이로드를 실행했습니다.
ZIP 아카이브에는 스페인어 지침이 포함된 텍스트 파일('instrucciones.txt')이 포함되어 있으며 대상에게 문제를 복구하기 위해 실행 파일('setup.exe')을 실행하도록 촉구했습니다. 스페인어 파일 이름과 지침을 사용하는 것은 라틴 아메리카에 기반을 둔 CrowdStrike 고객을 대상으로 한 캠페인을 나타냅니다.
결론
Remcos RAT는 Windows 시스템에 심각한 위협을 가하는 강력하고 다재다능한 악성 코드입니다. 탐지를 회피하고, 높은 권한을 얻고, 광범위한 데이터를 수집하는 능력 덕분에 사이버 범죄자들이 선호하는 도구입니다. 배포 방법, 기능 및 영향을 이해함으로써 조직은 이 악성 소프트웨어로부터 더 효과적으로 방어할 수 있습니다. 강력한 보안 조치를 구현하고 피싱 공격에 대해 경계하는 것은 Remcos RAT로 인한 위험을 완화하는 데 중요한 단계입니다.
SpyHunter는 렘코스RAT를 감지하고 제거합니다.
렘코스RAT 비디오
팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.
파일 시스템 세부 정보
# | 파일 이름 | MD5 |
탐지
탐지: SpyHunter에서 보고한 감염된 컴퓨터에서 탐지된 특정 위협의 확인 및 의심 사례 수입니다.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
레지스트리 세부 정보
디렉토리
렘코스RAT는 다음 디렉토리를 만들 수 있습니다.
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |