RemcosRAT
Grėsmių rezultatų kortelė
„EnigmaSoft“ grėsmių rezultatų kortelė
„EnigmaSoft Threat Scorecard“ yra įvairių kenkėjiškų programų grėsmių įvertinimo ataskaitos, kurias surinko ir išanalizavo mūsų tyrimų komanda. „EnigmaSoft Threat Scorecard“ įvertina ir reitinguoja grėsmes, naudodama keletą metrikų, įskaitant realius ir galimus rizikos veiksnius, tendencijas, dažnumą, paplitimą ir pastovumą. „EnigmaSoft Threat Scorecards“ yra reguliariai atnaujinamos remiantis mūsų tyrimų duomenimis ir metrika ir yra naudingos daugeliui kompiuterių vartotojų – nuo galutinių vartotojų, ieškančių sprendimų, kaip pašalinti kenkėjiškas programas iš savo sistemų, iki saugumo ekspertų, analizuojančių grėsmes.
„EnigmaSoft Threat Scorecard“ rodo įvairią naudingą informaciją, įskaitant:
Reitingas: konkrečios grėsmės reitingas „EnigmaSoft“ grėsmių duomenų bazėje.
Sunkumo lygis: nustatytas objekto sunkumo lygis, pavaizduotas skaičiais, remiantis mūsų rizikos modeliavimo procesu ir tyrimais, kaip paaiškinta mūsų grėsmių vertinimo kriterijuose.
Užkrėsti kompiuteriai: „SpyHunter“ užfiksuotas patvirtintų ir įtariamų tam tikros grėsmės atvejų, aptiktų užkrėstuose kompiuteriuose, skaičius.
Taip pat žr. Grėsmių vertinimo kriterijus .
Reitingas: | 4,425 |
Grėsmės lygis: | 80 % (Aukštas) |
Užkrėsti kompiuteriai: | 26,563 |
Pirmą kartą pamatytas: | October 16, 2016 |
Paskutinį kartą matytas: | August 5, 2024 |
Paveikta (-os) OS: | Windows |
Remcos RAT (Remote Access Trojan) yra sudėtinga kenkėjiška programa, skirta įsiskverbti ir valdyti Windows operacines sistemas. Remcos, kurį sukūrė ir parduoda Vokietijos įmonė Breaking Security kaip teisėtą nuotolinio valdymo ir stebėjimo įrankį, kibernetiniai nusikaltėliai dažnai piktnaudžiauja piktybiniais tikslais. Šiame straipsnyje aptariamos su Remcos RAT susijusios savybės, galimybės, poveikis ir apsauga, taip pat naujausi reikšmingi incidentai, susiję su jo diegimu.
Turinys
Diegimo ir užsikrėtimo metodai
Sukčiavimo išpuoliai
Remcos paprastai platinamas per sukčiavimo atakas, kurių metu nieko neįtariantys vartotojai yra apgaudinėjami atsisiųsti ir vykdyti kenkėjiškus failus. Šiuose sukčiavimo el. laiškuose dažnai yra:
Kenkėjiški ZIP failai, užmaskuoti kaip PDF, teigiantys, kad tai sąskaitos faktūros arba užsakymai.
„Microsoft Office“ dokumentai su įterptomis kenkėjiškomis makrokomandomis, skirtomis kenkėjiškoms programoms įdiegti suaktyvinus.
Vengimo būdai
Kad išvengtų aptikimo, Remcos naudoja pažangias technologijas, tokias kaip:
- Proceso įpurškimas arba proceso tuščiaviduris : šis metodas leidžia Remcos vykdyti teisėtą procesą, taip išvengiant antivirusinės programinės įrangos aptikimo.
- Patvarumo mechanizmai : įdiegus, Remcos užtikrina, kad jis išliktų aktyvus, naudodamas mechanizmus, leidžiančius veikti fone, paslėptas nuo vartotojo.
Komandų ir valdymo (C2) infrastruktūra
Pagrindinė Remcos galimybė yra jos komandų ir valdymo (C2) funkcija. Kenkėjiška programa užšifruoja savo ryšio srautą pakeliui į C2 serverį, todėl tinklo saugumo priemonėms sunku perimti ir analizuoti duomenis. Remcos naudoja paskirstytą DNS (DDNS), kad sukurtų kelis domenus savo C2 serveriams. Ši technika padeda kenkėjiškoms programoms išvengti saugos priemonių, kurios priklauso nuo srauto filtravimo į žinomus kenkėjiškus domenus, taip padidinant jos atsparumą ir patvarumą.
Remcos RAT galimybės
Remcos RAT yra galingas įrankis, kuris užpuolikams siūlo daugybę galimybių, leidžiančių plačiai kontroliuoti ir išnaudoti užkrėstas sistemas:
Privilegijų pakėlimas
Remcos gali gauti administratoriaus teises užkrėstoje sistemoje, leidžiančią:
- Išjungti vartotojo abonemento valdymą (UAC).
- Vykdykite įvairias kenkėjiškas funkcijas su padidintomis privilegijomis.
Gynybos išsisukinėjimas
Naudodama proceso injekciją, Remcos įsilieja į teisėtus procesus, todėl antivirusinei programinei įrangai sunku aptikti. Be to, jo galimybė veikti fone dar labiau slepia savo buvimą nuo vartotojų.
Duomenų rinkimas
Remcos geba rinkti įvairius duomenis iš užkrėstos sistemos, įskaitant:
- Klavišų paspaudimai
- Ekrano nuotraukos
- Garso įrašai
- Iškarpinės turinys
- Išsaugoti slaptažodžiai
Remcos RAT infekcijos poveikis
Remcos infekcijos pasekmės yra reikšmingos ir daugialypės, turinčios įtakos tiek individualiems vartotojams, tiek organizacijoms:
- Paskyros perėmimas
Registruodama klavišų paspaudimus ir vogdama slaptažodžius, Remcos leidžia užpuolikams perimti internetines paskyras ir kitas sistemas, o tai gali sukelti tolesnę duomenų vagystę ir neteisėtą prieigą organizacijos tinkle. - Duomenų vagystė
Remcos gali išfiltruoti slaptus duomenis iš užkrėstos sistemos. Dėl to galimi duomenų pažeidimai tiesiogiai iš pažeisto kompiuterio arba iš kitų sistemų, prie kurių prisijungta naudojant pavogtus kredencialus. - Tolesnės infekcijos
„Remcos“ infekcija gali būti kaip vartai diegti papildomus kenkėjiškų programų variantus. Tai padidina vėlesnių atakų, pvz., išpirkos reikalaujančios programinės įrangos infekcijų, riziką, o tai dar labiau padidina žalą.
Apsauga nuo Remcos kenkėjiškų programų
Organizacijos, siekdamos apsisaugoti nuo Remcos infekcijų, gali taikyti keletą strategijų ir geriausios praktikos:
El. pašto nuskaitymas
Įdiegę el. pašto nuskaitymo sprendimus, kurie identifikuoja ir blokuoja įtartinus el. laiškus, gali užkirsti kelią pirminiam Remcos pristatymui į vartotojų pašto dėžutes.
Domeno analizė
Galinių taškų reikalaujamų domeno įrašų stebėjimas ir analizė gali padėti nustatyti ir blokuoti jaunus ar įtartinus domenus, kurie gali būti susieti su Remcos.
Tinklo srauto analizė
Remcos variantai, šifruojantys srautą naudojant nestandartinius protokolus, gali būti aptikti atliekant tinklo srauto analizę, kuri gali pažymėti neįprastus srauto modelius tolesniam tyrimui.
Endpoint Security
Labai svarbu įdiegti galutinio taško saugos sprendimus, galinčius aptikti ir ištaisyti Remcos infekcijas. Šie sprendimai remiasi nustatytais kompromiso rodikliais, siekiant nustatyti ir neutralizuoti kenkėjišką programą.
„CrowdStrike“ nutraukimo išnaudojimas
Neseniai įvykusio incidento metu kibernetiniai nusikaltėliai pasinaudojo pasauliniu kibernetinio saugumo įmonės „CrowdStrike“ veiklos sutrikimu, kad platintų Remcos RAT. Užpuolikai nusitaikė į „CrowdStrike“ klientus Lotynų Amerikoje, platindami ZIP archyvo failą pavadinimu „crowdstrike-hotfix.zip“. Šiame faile buvo kenkėjiškų programų įkroviklis Hijack Loader, kuris vėliau paleido Remcos RAT naudingąjį apkrovą.
Į ZIP archyvą buvo įtrauktas tekstinis failas („instrucciones.txt“) su instrukcijomis ispanų kalba, raginantis taikinius paleisti vykdomąjį failą („setup.exe“), kad būtų galima tariamai ištaisyti problemą. Ispaniškų failų pavadinimų ir instrukcijų naudojimas rodo tikslinę kampaniją, skirtą Lotynų Amerikoje įsikūrusiems „CrowdStrike“ klientams.
Išvada
Remcos RAT yra galinga ir universali kenkėjiška programa, kelianti didelę grėsmę Windows sistemoms. Dėl galimybės išvengti aptikimo, įgyti daugiau privilegijų ir rinkti didelius duomenis, jis yra mėgstamas įrankis tarp kibernetinių nusikaltėlių. Suprasdamos jos diegimo metodus, galimybes ir poveikį, organizacijos gali geriau apsisaugoti nuo šios kenkėjiškos programinės įrangos. Tvirtas saugumo priemonių įgyvendinimas ir budrumas prieš sukčiavimo atakas yra esminiai žingsniai mažinant Remcos RAT keliamą riziką.
„SpyHunter“ aptinka ir pašalina RemcosRAT
RemcosRAT vaizdo įrašas
Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .
Failų sistemos informacija
# | Failo pavadinimas | MD5 |
Aptikimai
Aptikimai: „SpyHunter“ užfiksuotas patvirtintų ir įtariamų tam tikros grėsmės atvejų, aptiktų užkrėstuose kompiuteriuose, skaičius.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Registro duomenys
Katalogai
RemcosRAT gali sukurti šį katalogą ar katalogus:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |