RemcosRAT
Kad Skor Ancaman
Kad Skor Ancaman EnigmaSoft
Kad Skor Ancaman EnigmaSoft ialah laporan penilaian untuk ancaman perisian hasad yang berbeza yang telah dikumpulkan dan dianalisis oleh pasukan penyelidik kami. Kad Skor Ancaman EnigmaSoft menilai dan menilai ancaman menggunakan beberapa metrik termasuk faktor risiko dunia sebenar dan potensi, arah aliran, kekerapan, kelaziman dan kegigihan. Kad Skor Ancaman EnigmaSoft dikemas kini secara berkala berdasarkan data dan metrik penyelidikan kami dan berguna untuk pelbagai pengguna komputer, daripada pengguna akhir yang mencari penyelesaian untuk mengalih keluar perisian hasad daripada sistem mereka kepada pakar keselamatan yang menganalisis ancaman.
Kad Skor Ancaman EnigmaSoft memaparkan pelbagai maklumat berguna, termasuk:
Kedudukan: Kedudukan ancaman tertentu dalam Pangkalan Data Ancaman EnigmaSoft.
Tahap Keterukan: Tahap keterukan objek yang ditentukan, diwakili secara berangka, berdasarkan proses dan penyelidikan pemodelan risiko kami, seperti yang dijelaskan dalam Kriteria Penilaian Ancaman kami.
Komputer yang Dijangkiti: Bilangan kes yang disahkan dan disyaki bagi ancaman tertentu yang dikesan pada komputer yang dijangkiti seperti yang dilaporkan oleh SpyHunter.
Lihat juga Kriteria Penilaian Ancaman .
Kedudukan: | 4,425 |
Tahap Ancaman: | 80 % (tinggi) |
Komputer yang Dijangkiti: | 26,563 |
Pertama Dilihat: | October 16, 2016 |
Kali terakhir dilihat: | August 5, 2024 |
OS (es) Terjejas: | Windows |
Remcos RAT (Remote Access Trojan) ialah perisian hasad canggih yang direka untuk menyusup dan mengawal sistem pengendalian Windows. Dibangunkan dan dijual oleh syarikat Jerman bernama Breaking Security sebagai alat kawalan jauh dan pengawasan yang sah, Remcos sering disalahgunakan oleh penjenayah siber untuk tujuan jahat. Artikel ini menyelidiki ciri, keupayaan, impak dan pertahanan yang berkaitan dengan Remcos RAT, serta insiden ketara terkini yang melibatkan penggunaannya.
Isi kandungan
Kaedah Penyebaran dan Jangkitan
Serangan Phishing
Remcos biasanya diedarkan melalui serangan pancingan data, di mana pengguna yang tidak curiga ditipu untuk memuat turun dan melaksanakan fail berniat jahat. E-mel pancingan data ini selalunya mengandungi:
Fail ZIP berniat jahat yang menyamar sebagai PDF, mendakwa sebagai invois atau pesanan.
Dokumen Microsoft Office dengan makro hasad terbenam yang direka bentuk untuk menggunakan perisian hasad semasa pengaktifan.
Teknik Mengelak
Untuk mengelakkan pengesanan, Remcos menggunakan teknik lanjutan seperti:
- Suntikan Proses atau Proses Hollowing : Kaedah ini membenarkan Remcos untuk melaksanakan dalam proses yang sah, dengan itu mengelakkan pengesanan oleh perisian antivirus.
- Mekanisme Kegigihan : Setelah dipasang, Remcos memastikan ia kekal aktif dengan menggunakan mekanisme yang membolehkannya berjalan di latar belakang, tersembunyi daripada pengguna.
Infrastruktur Perintah-dan-Kawalan (C2).
Keupayaan teras Remcos ialah fungsi Command-and-Control (C2). Malware menyulitkan trafik komunikasinya dalam perjalanan ke pelayan C2, menyukarkan langkah keselamatan rangkaian untuk memintas dan menganalisis data. Remcos menggunakan DNS Teragih (DDNS) untuk mencipta berbilang domain untuk pelayan C2nya. Teknik ini membantu perisian hasad mengelak perlindungan keselamatan yang bergantung pada menapis trafik ke domain berniat jahat yang diketahui, meningkatkan daya tahan dan kegigihannya.
Keupayaan Remcos RAT
Remcos RAT ialah alat berkuasa yang menawarkan pelbagai keupayaan kepada penyerang, membolehkan kawalan yang meluas dan eksploitasi sistem yang dijangkiti:
Peningkatan Keistimewaan
Remcos boleh mendapatkan kebenaran Pentadbir pada sistem yang dijangkiti, membolehkannya:
- Lumpuhkan Kawalan Akaun Pengguna (UAC).
- Laksanakan pelbagai fungsi berniat jahat dengan keistimewaan yang tinggi.
Pengelakan Pertahanan
Dengan menggunakan suntikan proses, Remcos membenamkan dirinya dalam proses yang sah, menjadikannya mencabar untuk perisian antivirus untuk dikesan. Selain itu, keupayaannya untuk berjalan di latar belakang terus menyembunyikan kehadirannya daripada pengguna.
Pengumpulan data
Remcos mahir mengumpul pelbagai data daripada sistem yang dijangkiti, termasuk:
- Ketukan kekunci
- Tangkapan skrin
- Rakaman audio
- Kandungan papan klip
- Kata laluan yang disimpan
Kesan Jangkitan RAT Remcos
Akibat jangkitan Remcos adalah penting dan pelbagai rupa, yang menjejaskan kedua-dua pengguna individu dan organisasi:
- Pengambilalihan Akaun
Dengan mengelog ketukan kekunci dan mencuri kata laluan, Remcos membolehkan penyerang mengambil alih akaun dalam talian dan sistem lain, yang berpotensi membawa kepada kecurian data selanjutnya dan akses tanpa kebenaran dalam rangkaian organisasi. - Kecurian Data
Remcos mampu mengeluarkan data sensitif daripada sistem yang dijangkiti. Ini boleh mengakibatkan pelanggaran data, sama ada secara langsung daripada komputer yang terjejas atau daripada sistem lain yang diakses menggunakan bukti kelayakan yang dicuri. - Jangkitan Susulan
Jangkitan dengan Remcos boleh berfungsi sebagai pintu masuk untuk menggunakan varian perisian hasad tambahan. Ini meningkatkan risiko serangan seterusnya, seperti jangkitan ransomware, memburukkan lagi kerosakan.
Perlindungan Terhadap Perisian Hasad Remcos
Organisasi boleh menggunakan beberapa strategi dan amalan terbaik untuk melindungi daripada jangkitan Remcos:
Pengimbasan E-mel
Melaksanakan penyelesaian pengimbasan e-mel yang mengenal pasti dan menyekat e-mel yang mencurigakan boleh menghalang penghantaran awal Remcos ke peti masuk pengguna.
Analisis Domain
Memantau dan menganalisis rekod domain yang diminta oleh titik akhir boleh membantu mengenal pasti dan menyekat domain muda atau mencurigakan yang mungkin dikaitkan dengan Remcos.
Analisis Trafik Rangkaian
Varian Remcos yang menyulitkan trafik mereka menggunakan protokol bukan standard boleh dikesan melalui analisis trafik rangkaian, yang boleh membenderakan corak trafik luar biasa untuk siasatan lanjut.
Keselamatan Titik Akhir
Menggunakan penyelesaian keselamatan titik akhir dengan keupayaan untuk mengesan dan memulihkan jangkitan Remcos adalah penting. Penyelesaian ini bergantung pada penunjuk kompromi yang telah ditetapkan untuk mengenal pasti dan meneutralkan perisian hasad.
Eksploitasi CrowdStrike Outage
Dalam kejadian baru-baru ini, penjenayah siber mengeksploitasi pemadaman firma keselamatan siber CrowdStrike di seluruh dunia untuk mengedarkan Remcos RAT. Penyerang menyasarkan pelanggan CrowdStrike di Amerika Latin dengan mengedarkan fail arkib ZIP bernama 'crowdstrike-hotfix.zip.' Fail ini mengandungi pemuat perisian hasad, Hijack Loader, yang kemudiannya melancarkan muatan RAT Remcos.
Arkib ZIP termasuk fail teks ('instrucciones.txt') dengan arahan bahasa Sepanyol, menggesa sasaran untuk menjalankan fail boleh laku ('setup.exe') untuk dikatakan pulih daripada isu itu. Penggunaan nama fail dan arahan Sepanyol menunjukkan kempen yang disasarkan untuk pelanggan CrowdStrike yang berpangkalan di Amerika Latin.
Kesimpulan
Remcos RAT ialah perisian hasad yang kuat dan serba boleh yang menimbulkan ancaman besar kepada sistem Windows. Keupayaannya untuk mengelak pengesanan, memperoleh keistimewaan yang tinggi dan mengumpul data yang luas menjadikannya alat yang digemari dalam kalangan penjenayah siber. Dengan memahami kaedah penggunaan, keupayaan dan kesannya, organisasi boleh mempertahankan dengan lebih baik daripada perisian hasad ini. Melaksanakan langkah keselamatan yang teguh dan sentiasa berwaspada terhadap serangan pancingan data adalah langkah penting dalam mengurangkan risiko yang ditimbulkan oleh Remcos RAT.
SpyHunter Mengesan & Membuang RemcosRAT
Video RemcosRAT
Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .
Butiran Sistem Fail
# | Nama fail | MD5 |
Pengesanan
Pengesanan: Bilangan kes yang disahkan dan disyaki bagi ancaman tertentu yang dikesan pada komputer yang dijangkiti seperti yang dilaporkan oleh SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Butiran Pendaftaran
Direktori
RemcosRAT boleh mencipta direktori atau direktori berikut:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |