RemcosRAT

Kad Skor Ancaman

Kedudukan: 4,425
Tahap Ancaman: 80 % (tinggi)
Komputer yang Dijangkiti: 26,563
Pertama Dilihat: October 16, 2016
Kali terakhir dilihat: August 5, 2024
OS (es) Terjejas: Windows

Remcos RAT (Remote Access Trojan) ialah perisian hasad canggih yang direka untuk menyusup dan mengawal sistem pengendalian Windows. Dibangunkan dan dijual oleh syarikat Jerman bernama Breaking Security sebagai alat kawalan jauh dan pengawasan yang sah, Remcos sering disalahgunakan oleh penjenayah siber untuk tujuan jahat. Artikel ini menyelidiki ciri, keupayaan, impak dan pertahanan yang berkaitan dengan Remcos RAT, serta insiden ketara terkini yang melibatkan penggunaannya.

Kaedah Penyebaran dan Jangkitan

Serangan Phishing
Remcos biasanya diedarkan melalui serangan pancingan data, di mana pengguna yang tidak curiga ditipu untuk memuat turun dan melaksanakan fail berniat jahat. E-mel pancingan data ini selalunya mengandungi:

Fail ZIP berniat jahat yang menyamar sebagai PDF, mendakwa sebagai invois atau pesanan.
Dokumen Microsoft Office dengan makro hasad terbenam yang direka bentuk untuk menggunakan perisian hasad semasa pengaktifan.

Teknik Mengelak
Untuk mengelakkan pengesanan, Remcos menggunakan teknik lanjutan seperti:

  • Suntikan Proses atau Proses Hollowing : Kaedah ini membenarkan Remcos untuk melaksanakan dalam proses yang sah, dengan itu mengelakkan pengesanan oleh perisian antivirus.
  • Mekanisme Kegigihan : Setelah dipasang, Remcos memastikan ia kekal aktif dengan menggunakan mekanisme yang membolehkannya berjalan di latar belakang, tersembunyi daripada pengguna.

Infrastruktur Perintah-dan-Kawalan (C2).

Keupayaan teras Remcos ialah fungsi Command-and-Control (C2). Malware menyulitkan trafik komunikasinya dalam perjalanan ke pelayan C2, menyukarkan langkah keselamatan rangkaian untuk memintas dan menganalisis data. Remcos menggunakan DNS Teragih (DDNS) untuk mencipta berbilang domain untuk pelayan C2nya. Teknik ini membantu perisian hasad mengelak perlindungan keselamatan yang bergantung pada menapis trafik ke domain berniat jahat yang diketahui, meningkatkan daya tahan dan kegigihannya.

Keupayaan Remcos RAT

Remcos RAT ialah alat berkuasa yang menawarkan pelbagai keupayaan kepada penyerang, membolehkan kawalan yang meluas dan eksploitasi sistem yang dijangkiti:

Peningkatan Keistimewaan
Remcos boleh mendapatkan kebenaran Pentadbir pada sistem yang dijangkiti, membolehkannya:

  • Lumpuhkan Kawalan Akaun Pengguna (UAC).
  • Laksanakan pelbagai fungsi berniat jahat dengan keistimewaan yang tinggi.

Pengelakan Pertahanan
Dengan menggunakan suntikan proses, Remcos membenamkan dirinya dalam proses yang sah, menjadikannya mencabar untuk perisian antivirus untuk dikesan. Selain itu, keupayaannya untuk berjalan di latar belakang terus menyembunyikan kehadirannya daripada pengguna.

Pengumpulan data

Remcos mahir mengumpul pelbagai data daripada sistem yang dijangkiti, termasuk:

  • Ketukan kekunci
  • Tangkapan skrin
  • Rakaman audio
  • Kandungan papan klip
  • Kata laluan yang disimpan

Kesan Jangkitan RAT Remcos

Akibat jangkitan Remcos adalah penting dan pelbagai rupa, yang menjejaskan kedua-dua pengguna individu dan organisasi:

  • Pengambilalihan Akaun
    Dengan mengelog ketukan kekunci dan mencuri kata laluan, Remcos membolehkan penyerang mengambil alih akaun dalam talian dan sistem lain, yang berpotensi membawa kepada kecurian data selanjutnya dan akses tanpa kebenaran dalam rangkaian organisasi.
  • Kecurian Data
    Remcos mampu mengeluarkan data sensitif daripada sistem yang dijangkiti. Ini boleh mengakibatkan pelanggaran data, sama ada secara langsung daripada komputer yang terjejas atau daripada sistem lain yang diakses menggunakan bukti kelayakan yang dicuri.
  • Jangkitan Susulan
    Jangkitan dengan Remcos boleh berfungsi sebagai pintu masuk untuk menggunakan varian perisian hasad tambahan. Ini meningkatkan risiko serangan seterusnya, seperti jangkitan ransomware, memburukkan lagi kerosakan.

Perlindungan Terhadap Perisian Hasad Remcos

Organisasi boleh menggunakan beberapa strategi dan amalan terbaik untuk melindungi daripada jangkitan Remcos:

Pengimbasan E-mel
Melaksanakan penyelesaian pengimbasan e-mel yang mengenal pasti dan menyekat e-mel yang mencurigakan boleh menghalang penghantaran awal Remcos ke peti masuk pengguna.

Analisis Domain
Memantau dan menganalisis rekod domain yang diminta oleh titik akhir boleh membantu mengenal pasti dan menyekat domain muda atau mencurigakan yang mungkin dikaitkan dengan Remcos.

Analisis Trafik Rangkaian
Varian Remcos yang menyulitkan trafik mereka menggunakan protokol bukan standard boleh dikesan melalui analisis trafik rangkaian, yang boleh membenderakan corak trafik luar biasa untuk siasatan lanjut.

Keselamatan Titik Akhir
Menggunakan penyelesaian keselamatan titik akhir dengan keupayaan untuk mengesan dan memulihkan jangkitan Remcos adalah penting. Penyelesaian ini bergantung pada penunjuk kompromi yang telah ditetapkan untuk mengenal pasti dan meneutralkan perisian hasad.

Eksploitasi CrowdStrike Outage

Dalam kejadian baru-baru ini, penjenayah siber mengeksploitasi pemadaman firma keselamatan siber CrowdStrike di seluruh dunia untuk mengedarkan Remcos RAT. Penyerang menyasarkan pelanggan CrowdStrike di Amerika Latin dengan mengedarkan fail arkib ZIP bernama 'crowdstrike-hotfix.zip.' Fail ini mengandungi pemuat perisian hasad, Hijack Loader, yang kemudiannya melancarkan muatan RAT Remcos.

Arkib ZIP termasuk fail teks ('instrucciones.txt') dengan arahan bahasa Sepanyol, menggesa sasaran untuk menjalankan fail boleh laku ('setup.exe') untuk dikatakan pulih daripada isu itu. Penggunaan nama fail dan arahan Sepanyol menunjukkan kempen yang disasarkan untuk pelanggan CrowdStrike yang berpangkalan di Amerika Latin.

Kesimpulan

Remcos RAT ialah perisian hasad yang kuat dan serba boleh yang menimbulkan ancaman besar kepada sistem Windows. Keupayaannya untuk mengelak pengesanan, memperoleh keistimewaan yang tinggi dan mengumpul data yang luas menjadikannya alat yang digemari dalam kalangan penjenayah siber. Dengan memahami kaedah penggunaan, keupayaan dan kesannya, organisasi boleh mempertahankan dengan lebih baik daripada perisian hasad ini. Melaksanakan langkah keselamatan yang teguh dan sentiasa berwaspada terhadap serangan pancingan data adalah langkah penting dalam mengurangkan risiko yang ditimbulkan oleh Remcos RAT.

SpyHunter Mengesan & Membuang RemcosRAT

Video RemcosRAT

Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .

Butiran Sistem Fail

RemcosRAT boleh mencipta fail berikut:
# Nama fail MD5 Pengesanan
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Butiran Pendaftaran

RemcosRAT boleh mencipta entri pendaftaran atau entri pendaftaran berikut:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Direktori

RemcosRAT boleh mencipta direktori atau direktori berikut:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trending

Paling banyak dilihat

Memuatkan...