RemcosRAT

Grėsmių rezultatų kortelė

Reitingas: 4,425
Grėsmės lygis: 80 % (Aukštas)
Užkrėsti kompiuteriai: 26,563
Pirmą kartą pamatytas: October 16, 2016
Paskutinį kartą matytas: August 5, 2024
Paveikta (-os) OS: Windows

Remcos RAT (Remote Access Trojan) yra sudėtinga kenkėjiška programa, skirta įsiskverbti ir valdyti Windows operacines sistemas. Remcos, kurį sukūrė ir parduoda Vokietijos įmonė Breaking Security kaip teisėtą nuotolinio valdymo ir stebėjimo įrankį, kibernetiniai nusikaltėliai dažnai piktnaudžiauja piktybiniais tikslais. Šiame straipsnyje aptariamos su Remcos RAT susijusios savybės, galimybės, poveikis ir apsauga, taip pat naujausi reikšmingi incidentai, susiję su jo diegimu.

Diegimo ir užsikrėtimo metodai

Sukčiavimo išpuoliai
Remcos paprastai platinamas per sukčiavimo atakas, kurių metu nieko neįtariantys vartotojai yra apgaudinėjami atsisiųsti ir vykdyti kenkėjiškus failus. Šiuose sukčiavimo el. laiškuose dažnai yra:

Kenkėjiški ZIP failai, užmaskuoti kaip PDF, teigiantys, kad tai sąskaitos faktūros arba užsakymai.
„Microsoft Office“ dokumentai su įterptomis kenkėjiškomis makrokomandomis, skirtomis kenkėjiškoms programoms įdiegti suaktyvinus.

Vengimo būdai
Kad išvengtų aptikimo, Remcos naudoja pažangias technologijas, tokias kaip:

  • Proceso įpurškimas arba proceso tuščiaviduris : šis metodas leidžia Remcos vykdyti teisėtą procesą, taip išvengiant antivirusinės programinės įrangos aptikimo.
  • Patvarumo mechanizmai : įdiegus, Remcos užtikrina, kad jis išliktų aktyvus, naudodamas mechanizmus, leidžiančius veikti fone, paslėptas nuo vartotojo.

Komandų ir valdymo (C2) infrastruktūra

Pagrindinė Remcos galimybė yra jos komandų ir valdymo (C2) funkcija. Kenkėjiška programa užšifruoja savo ryšio srautą pakeliui į C2 serverį, todėl tinklo saugumo priemonėms sunku perimti ir analizuoti duomenis. Remcos naudoja paskirstytą DNS (DDNS), kad sukurtų kelis domenus savo C2 serveriams. Ši technika padeda kenkėjiškoms programoms išvengti saugos priemonių, kurios priklauso nuo srauto filtravimo į žinomus kenkėjiškus domenus, taip padidinant jos atsparumą ir patvarumą.

Remcos RAT galimybės

Remcos RAT yra galingas įrankis, kuris užpuolikams siūlo daugybę galimybių, leidžiančių plačiai kontroliuoti ir išnaudoti užkrėstas sistemas:

Privilegijų pakėlimas
Remcos gali gauti administratoriaus teises užkrėstoje sistemoje, leidžiančią:

  • Išjungti vartotojo abonemento valdymą (UAC).
  • Vykdykite įvairias kenkėjiškas funkcijas su padidintomis privilegijomis.

Gynybos išsisukinėjimas
Naudodama proceso injekciją, Remcos įsilieja į teisėtus procesus, todėl antivirusinei programinei įrangai sunku aptikti. Be to, jo galimybė veikti fone dar labiau slepia savo buvimą nuo vartotojų.

Duomenų rinkimas

Remcos geba rinkti įvairius duomenis iš užkrėstos sistemos, įskaitant:

  • Klavišų paspaudimai
  • Ekrano nuotraukos
  • Garso įrašai
  • Iškarpinės turinys
  • Išsaugoti slaptažodžiai

Remcos RAT infekcijos poveikis

Remcos infekcijos pasekmės yra reikšmingos ir daugialypės, turinčios įtakos tiek individualiems vartotojams, tiek organizacijoms:

  • Paskyros perėmimas
    Registruodama klavišų paspaudimus ir vogdama slaptažodžius, Remcos leidžia užpuolikams perimti internetines paskyras ir kitas sistemas, o tai gali sukelti tolesnę duomenų vagystę ir neteisėtą prieigą organizacijos tinkle.
  • Duomenų vagystė
    Remcos gali išfiltruoti slaptus duomenis iš užkrėstos sistemos. Dėl to galimi duomenų pažeidimai tiesiogiai iš pažeisto kompiuterio arba iš kitų sistemų, prie kurių prisijungta naudojant pavogtus kredencialus.
  • Tolesnės infekcijos
    „Remcos“ infekcija gali būti kaip vartai diegti papildomus kenkėjiškų programų variantus. Tai padidina vėlesnių atakų, pvz., išpirkos reikalaujančios programinės įrangos infekcijų, riziką, o tai dar labiau padidina žalą.

Apsauga nuo Remcos kenkėjiškų programų

Organizacijos, siekdamos apsisaugoti nuo Remcos infekcijų, gali taikyti keletą strategijų ir geriausios praktikos:

El. pašto nuskaitymas
Įdiegę el. pašto nuskaitymo sprendimus, kurie identifikuoja ir blokuoja įtartinus el. laiškus, gali užkirsti kelią pirminiam Remcos pristatymui į vartotojų pašto dėžutes.

Domeno analizė
Galinių taškų reikalaujamų domeno įrašų stebėjimas ir analizė gali padėti nustatyti ir blokuoti jaunus ar įtartinus domenus, kurie gali būti susieti su Remcos.

Tinklo srauto analizė
Remcos variantai, šifruojantys srautą naudojant nestandartinius protokolus, gali būti aptikti atliekant tinklo srauto analizę, kuri gali pažymėti neįprastus srauto modelius tolesniam tyrimui.

Endpoint Security
Labai svarbu įdiegti galutinio taško saugos sprendimus, galinčius aptikti ir ištaisyti Remcos infekcijas. Šie sprendimai remiasi nustatytais kompromiso rodikliais, siekiant nustatyti ir neutralizuoti kenkėjišką programą.

„CrowdStrike“ nutraukimo išnaudojimas

Neseniai įvykusio incidento metu kibernetiniai nusikaltėliai pasinaudojo pasauliniu kibernetinio saugumo įmonės „CrowdStrike“ veiklos sutrikimu, kad platintų Remcos RAT. Užpuolikai nusitaikė į „CrowdStrike“ klientus Lotynų Amerikoje, platindami ZIP archyvo failą pavadinimu „crowdstrike-hotfix.zip“. Šiame faile buvo kenkėjiškų programų įkroviklis Hijack Loader, kuris vėliau paleido Remcos RAT naudingąjį apkrovą.

Į ZIP archyvą buvo įtrauktas tekstinis failas („instrucciones.txt“) su instrukcijomis ispanų kalba, raginantis taikinius paleisti vykdomąjį failą („setup.exe“), kad būtų galima tariamai ištaisyti problemą. Ispaniškų failų pavadinimų ir instrukcijų naudojimas rodo tikslinę kampaniją, skirtą Lotynų Amerikoje įsikūrusiems „CrowdStrike“ klientams.

Išvada

Remcos RAT yra galinga ir universali kenkėjiška programa, kelianti didelę grėsmę Windows sistemoms. Dėl galimybės išvengti aptikimo, įgyti daugiau privilegijų ir rinkti didelius duomenis, jis yra mėgstamas įrankis tarp kibernetinių nusikaltėlių. Suprasdamos jos diegimo metodus, galimybes ir poveikį, organizacijos gali geriau apsisaugoti nuo šios kenkėjiškos programinės įrangos. Tvirtas saugumo priemonių įgyvendinimas ir budrumas prieš sukčiavimo atakas yra esminiai žingsniai mažinant Remcos RAT keliamą riziką.

„SpyHunter“ aptinka ir pašalina RemcosRAT

RemcosRAT vaizdo įrašas

Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .

Failų sistemos informacija

RemcosRAT gali sukurti šį (-ius) failą (-us):
# Failo pavadinimas MD5 Aptikimai
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Registro duomenys

RemcosRAT gali sukurti šį registro įrašą arba registro įrašus:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Katalogai

RemcosRAT gali sukurti šį katalogą ar katalogus:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Tendencijos

Labiausiai žiūrima

Įkeliama...