RemcosRAT
Draudu rādītāju karte
EnigmaSoft draudu rādītāju karte
EnigmaSoft draudu rādītāju kartes ir dažādu ļaunprātīgas programmatūras draudu novērtējuma ziņojumi, kurus ir apkopojusi un analizējusi mūsu pētnieku komanda. EnigmaSoft draudu rādītāju kartes novērtē un sarindo draudus, izmantojot vairākus rādītājus, tostarp reālos un iespējamos riska faktorus, tendences, biežumu, izplatību un noturību. EnigmaSoft draudu rādītāju kartes tiek regulāri atjauninātas, pamatojoties uz mūsu pētījumu datiem un metriku, un tās ir noderīgas plašam datoru lietotāju lokam, sākot no gala lietotājiem, kuri meklē risinājumus ļaunprātīgas programmatūras noņemšanai no savām sistēmām, līdz drošības ekspertiem, kas analizē draudus.
EnigmaSoft Threat Scorecards parāda dažādu noderīgu informāciju, tostarp:
Ranking: konkrētu draudu klasifikācija EnigmaSoft draudu datu bāzē.
Smaguma pakāpe: objekta noteiktais smaguma līmenis, kas attēlots skaitliski, pamatojoties uz mūsu riska modelēšanas procesu un izpēti, kā paskaidrots mūsu draudu novērtēšanas kritērijos .
Inficēti datori: apstiprināto un aizdomīgo gadījumu skaits par konkrētu apdraudējumu, kas atklāts inficētos datoros, kā ziņo SpyHunter.
Skatīt arī draudu novērtēšanas kritērijus .
Reitings: | 4,425 |
Draudu līmenis: | 80 % (Augsts) |
Inficētie datori: | 26,563 |
Pirmo reizi redzēts: | October 16, 2016 |
Pēdējo reizi redzēts: | August 5, 2024 |
Ietekmētā(s) OS(-es): | Windows |
Remcos RAT (attālās piekļuves Trojas zirgs) ir sarežģīta ļaunprātīga programmatūra, kas paredzēta, lai iefiltrētos un kontrolētu Windows operētājsistēmas. Remcos, ko izstrādājis un pārdod Vācijas uzņēmums Breaking Security kā likumīgu tālvadības pults un novērošanas rīku, kibernoziedznieki bieži ļaunprātīgi izmanto Remcos. Šajā rakstā ir aplūkotas ar Remcos RAT saistītās īpašības, iespējas, ietekme un aizsardzība, kā arī nesenie ievērojamie incidenti, kas saistīti ar tā izvietošanu.
Satura rādītājs
Izvietošanas un inficēšanas metodes
Pikšķerēšanas uzbrukumi
Remcos parasti tiek izplatīts, izmantojot pikšķerēšanas uzbrukumus, kuros nenojauši lietotāji tiek pievilināti, lai lejupielādētu un izpildītu ļaunprātīgus failus. Šajos pikšķerēšanas e-pasta ziņojumos bieži ir ietverts:
Ļaunprātīgi ZIP faili, kas ir maskēti kā PDF faili un tiek apgalvots, ka tie ir rēķini vai pasūtījumi.
Microsoft Office dokumenti ar iegultiem ļaunprātīgiem makro, kas paredzēti ļaunprātīgas programmatūras izvietošanai pēc aktivizēšanas.
Izvairīšanās paņēmieni
Lai izvairītos no atklāšanas, Remcos izmanto progresīvas metodes, piemēram:
- Procesa ievadīšana vai procesa dobšana : šī metode ļauj Remcos izpildīt likumīgā procesā, tādējādi novēršot pretvīrusu programmatūras atklāšanu.
- Noturības mehānismi : pēc instalēšanas Remcos nodrošina, ka tas paliek aktīvs, izmantojot mehānismus, kas ļauj tai darboties fonā, paslēpts no lietotāja.
Komandu un kontroles (C2) infrastruktūra
Remcos galvenā iespēja ir tā Command-and-Control (C2) funkcionalitāte. Ļaunprātīga programmatūra šifrē savu saziņas trafiku ceļā uz serveri C2, apgrūtinot tīkla drošības pasākumu veikšanu datu pārtveršanā un analīzē. Remcos izmanto izplatīto DNS (DDNS), lai saviem C2 serveriem izveidotu vairākus domēnus. Šis paņēmiens palīdz ļaunprātīgai programmatūrai izvairīties no drošības aizsardzības, kas balstās uz trafika filtrēšanu uz zināmiem ļaunprātīgiem domēniem, uzlabojot tās noturību un noturību.
Remcos RAT iespējas
Remcos RAT ir spēcīgs rīks, kas uzbrucējiem piedāvā daudzas iespējas, ļaujot plaši kontrolēt un izmantot inficētās sistēmas:
Privilēģiju paaugstināšana
Remcos var iegūt administratora atļaujas inficētā sistēmā, ļaujot tai:
- Atspējot lietotāja konta kontroli (UAC).
- Veiciet dažādas ļaunprātīgas funkcijas ar paaugstinātām privilēģijām.
Izvairīšanās no aizsardzības
Izmantojot procesa ievadīšanu, Remcos iekļaujas likumīgos procesos, padarot pretvīrusu programmatūras noteikšanu sarežģītu. Turklāt tā spēja darboties fonā vēl vairāk slēpj tās klātbūtni no lietotājiem.
Datu vākšana
Remcos spēj vākt plašu datu klāstu no inficētās sistēmas, tostarp:
- Taustiņu nospiešanas
- Ekrānuzņēmumi
- Audio ieraksti
- Starpliktuves saturs
- Saglabātās paroles
Remcos RAT infekcijas ietekme
Remcos infekcijas sekas ir nozīmīgas un daudzpusīgas, un tās ietekmē gan atsevišķus lietotājus, gan organizācijas:
- Konta pārņemšana
Reģistrējot taustiņsitienus un zogot paroles, Remcos ļauj uzbrucējiem pārņemt tiešsaistes kontus un citas sistēmas, kas, iespējams, var izraisīt turpmāku datu zādzību un nesankcionētu piekļuvi organizācijas tīklam. - Datu zādzība
Remcos spēj izfiltrēt sensitīvus datus no inficētās sistēmas. Tas var izraisīt datu pārkāpumus vai nu tieši no apdraudētā datora, vai no citām sistēmām, kurām piekļūst, izmantojot zagtus akreditācijas datus. - Sekojošas infekcijas
Inficēšanās ar Remcos var kalpot kā vārteja papildu ļaunprātīgas programmatūras variantu izvietošanai. Tas palielina turpmāku uzbrukumu, piemēram, izpirkuma programmatūras infekciju, risku, vēl vairāk saasinot bojājumus.
Aizsardzība pret Remcos ļaunprātīgu programmatūru
Organizācijas var pieņemt vairākas stratēģijas un labāko praksi, lai aizsargātu pret Remcos infekcijām:
E-pasta skenēšana
Ieviešot e-pasta skenēšanas risinājumus, kas identificē un bloķē aizdomīgus e-pastus, var novērst Remcos sākotnējo piegādi lietotāju iesūtnēs.
Domēna analīze
Galapunktu pieprasīto domēna ierakstu pārraudzība un analīze var palīdzēt identificēt un bloķēt jaunus vai aizdomīgus domēnus, kas var būt saistīti ar Remcos.
Tīkla trafika analīze
Remcos variantus, kas šifrē trafiku, izmantojot nestandarta protokolus, var noteikt, izmantojot tīkla trafika analīzi, kas var atzīmēt neparastus trafika modeļus turpmākai izmeklēšanai.
Galapunkta drošība
Ir ļoti svarīgi ieviest galapunkta drošības risinājumus, kas spēj noteikt un novērst Remcos infekcijas. Šie risinājumi balstās uz noteiktiem kompromisa rādītājiem, lai identificētu un neitralizētu ļaunprātīgu programmatūru.
CrowdStrike pārtraukuma izmantošana
Nesenā incidentā kibernoziedznieki izmantoja kiberdrošības uzņēmuma CrowdStrike darbības pārtraukumu visā pasaulē, lai izplatītu Remcos RAT. Uzbrucēji uzbruka CrowdStrike klientiem Latīņamerikā, izplatot ZIP arhīva failu ar nosaukumu “crowdstrike-hotfix.zip”. Šajā failā bija ļaunprogrammatūras ielādētājs Hijack Loader, kas pēc tam palaida Remcos RAT lietderīgo slodzi.
ZIP arhīvā bija iekļauts teksta fails ("instrucciones.txt") ar instrukcijām spāņu valodā, mudinot mērķus palaist izpildāmo failu ("setup.exe"), lai it kā atgūtos no problēmas. Spāņu valodas failu nosaukumu un instrukciju izmantošana norāda uz mērķtiecīgu kampaņu, kas paredzēta Latīņamerikas CrowdStrike klientiem.
Secinājums
Remcos RAT ir spēcīga un daudzpusīga ļaunprogrammatūra, kas nopietni apdraud Windows sistēmas. Tā spēja izvairīties no atklāšanas, iegūt augstākas privilēģijas un vākt plašus datus padara to par iecienītu rīku kibernoziedznieku vidū. Izprotot tās izvietošanas metodes, iespējas un ietekmi, organizācijas var labāk aizsargāties pret šo ļaunprātīgo programmatūru. Stingru drošības pasākumu ieviešana un modrība pret pikšķerēšanas uzbrukumiem ir izšķiroši soļi Remcos RAT radītā riska mazināšanā.
SpyHunter atklāj un noņem RemcosRAT
RemcosRAT video
Padoms. Ieslēdziet skaņu un skatieties video pilnekrāna režīmā .
Sīkāka informācija par failu sistēmu
# | Faila nosaukums | MD5 |
Atklājumi
Atklāšanas gadījumi: apstiprināto un aizdomīgo gadījumu skaits par konkrētu apdraudējumu, kas atklāts inficētos datoros, kā ziņo SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Reģistra informācija
Katalogi
RemcosRAT var izveidot šādu direktoriju vai direktorijus:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |