RemcosRAT
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for ulike malware-trusler som er samlet inn og analysert av vårt forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjelp av flere beregninger, inkludert reelle og potensielle risikofaktorer, trender, frekvens, utbredelse og utholdenhet. EnigmaSoft Threat Scorecards oppdateres regelmessig basert på våre forskningsdata og beregninger og er nyttige for et bredt spekter av databrukere, fra sluttbrukere som søker løsninger for å fjerne skadelig programvare fra systemene deres til sikkerhetseksperter som analyserer trusler.
EnigmaSoft Threat Scorecards viser en rekke nyttig informasjon, inkludert:
Rangering: Rangeringen av en bestemt trussel i EnigmaSofts trusseldatabase.
Alvorlighetsnivå: Det fastslåtte alvorlighetsnivået til et objekt, representert numerisk, basert på vår risikomodelleringsprosess og forskning, som forklart i våre trusselvurderingskriterier .
Infiserte datamaskiner: Antall bekreftede og mistenkte tilfeller av en bestemt trussel oppdaget på infiserte datamaskiner som rapportert av SpyHunter.
Se også Kriterier for trusselvurdering .
Rangering: | 4,425 |
Trusselnivå: | 80 % (Høy) |
Infiserte datamaskiner: | 26,563 |
Først sett: | October 16, 2016 |
Sist sett: | August 5, 2024 |
OS(er) berørt: | Windows |
Remcos RAT (Remote Access Trojan) er en sofistikert skadelig programvare utviklet for å infiltrere og kontrollere Windows-operativsystemer. Utviklet og solgt av et tysk selskap ved navn Breaking Security som et legitimt fjernkontroll- og overvåkingsverktøy, blir Remcos ofte misbrukt av nettkriminelle til ondsinnede formål. Denne artikkelen fordyper seg i egenskapene, egenskapene, virkningene og forsvarene knyttet til Remcos RAT, samt nylige bemerkelsesverdige hendelser som involverer utplasseringen.
Innholdsfortegnelse
Utplassering og infeksjonsmetoder
Phishing-angrep
Remcos distribueres vanligvis gjennom phishing-angrep, der intetanende brukere blir lurt til å laste ned og kjøre ondsinnede filer. Disse phishing-e-postene inneholder ofte:
Ondsinnede ZIP-filer forkledd som PDF-er, som hevder å være fakturaer eller bestillinger.
Microsoft Office-dokumenter med innebygde ondsinnede makroer designet for å distribuere skadelig programvare ved aktivering.
Unngåelsesteknikker
For å unngå oppdagelse bruker Remcos avanserte teknikker som:
- Prosessinjeksjon eller prosessuthuling : Denne metoden lar Remcos kjøre innenfor en legitim prosess, og unngår derved oppdagelse av antivirusprogramvare.
- Vedvarende mekanismer : Når den er installert, sikrer Remcos at den forblir aktiv ved å bruke mekanismer som lar den kjøre i bakgrunnen, skjult for brukeren.
Kommando-og-kontroll (C2) infrastruktur
En kjernefunksjon til Remcos er dens Command-and-Control (C2) funksjonalitet. Skadevaren krypterer kommunikasjonstrafikken på vei til C2-serveren, noe som gjør det vanskelig for nettverkssikkerhetstiltak å fange opp og analysere dataene. Remcos bruker distribuert DNS (DDNS) for å lage flere domener for sine C2-servere. Denne teknikken hjelper skadelig programvare med å unngå sikkerhetsbeskyttelse som er avhengig av å filtrere trafikk til kjente ondsinnede domener, noe som øker motstandskraften og utholdenheten.
Mulighetene til Remcos RAT
Remcos RAT er et kraftig verktøy som tilbyr en rekke funksjoner til angripere, som muliggjør omfattende kontroll og utnyttelse av infiserte systemer:
Privilegiumhøyde
Remcos kan få administratorrettigheter på et infisert system, slik at det kan:
- Deaktiver brukerkontokontroll (UAC).
- Utfør ulike ondsinnede funksjoner med forhøyede rettigheter.
Forsvarsunndragelse
Ved å bruke prosessinjeksjon bygger Remcos seg inn i legitime prosesser, noe som gjør det utfordrende for antivirusprogramvare å oppdage. I tillegg skjuler evnen til å kjøre i bakgrunnen sin tilstedeværelse for brukere.
Datainnsamling
Remcos er dyktig til å samle inn et bredt spekter av data fra det infiserte systemet, inkludert:
- Tastetrykk
- Skjermbilder
- Lydopptak
- Innhold på utklippstavlen
- Lagrede passord
Virkningen av en Remcos RAT-infeksjon
Konsekvensene av en Remcos-infeksjon er betydelige og mangefasetterte, og påvirker både individuelle brukere og organisasjoner:
- Kontoovertakelse
Ved å logge tastetrykk og stjele passord, gjør Remcos det mulig for angripere å overta nettkontoer og andre systemer, noe som potensielt kan føre til ytterligere datatyveri og uautorisert tilgang i en organisasjons nettverk. - Datatyveri
Remcos er i stand til å eksfiltrere sensitive data fra det infiserte systemet. Dette kan resultere i datainnbrudd, enten direkte fra den kompromitterte datamaskinen eller fra andre systemer som du får tilgang til ved hjelp av stjålet legitimasjon. - Oppfølgende infeksjoner
En infeksjon med Remcos kan tjene som en inngangsport for utrulling av flere malware-varianter. Dette øker risikoen for påfølgende angrep, for eksempel ransomware-infeksjoner, som ytterligere forverrer skaden.
Beskyttelse mot Remcos skadelig programvare
Organisasjoner kan ta i bruk flere strategier og beste praksis for å beskytte mot Remcos-infeksjoner:
E-postskanning
Implementering av e-postskanningsløsninger som identifiserer og blokkerer mistenkelige e-poster kan forhindre den første leveringen av Remcos til brukernes innbokser.
Domeneanalyse
Overvåking og analyse av domeneposter forespurt av endepunkter kan bidra til å identifisere og blokkere unge eller mistenkelige domener som kan være assosiert med Remcos.
Nettverkstrafikkanalyse
Remcos-varianter som krypterer trafikken deres ved hjelp av ikke-standardiserte protokoller kan oppdages gjennom nettverkstrafikkanalyse, som kan flagge uvanlige trafikkmønstre for videre undersøkelse.
Endpoint Security
Det er avgjørende å distribuere endepunktsikkerhetsløsninger med evnen til å oppdage og utbedre Remcos-infeksjoner. Disse løsningene er avhengige av etablerte indikatorer på kompromiss for å identifisere og nøytralisere skadelig programvare.
Utnyttelse av CrowdStrike-avbrudd
I en nylig hendelse utnyttet nettkriminelle et verdensomspennende avbrudd av nettsikkerhetsfirmaet CrowdStrike for å distribuere Remcos RAT. Angriperne målrettet CrowdStrike-kunder i Latin-Amerika ved å distribuere en ZIP-arkivfil kalt 'crowdstrike-hotfix.zip.' Denne filen inneholdt en malware-laster, Hijack Loader, som senere lanserte Remcos RAT-nyttelasten.
ZIP-arkivet inkluderte en tekstfil ('instrucciones.txt') med spanskspråklige instruksjoner, som oppfordret mål til å kjøre en kjørbar fil ('setup.exe') for å angivelig komme seg fra problemet. Bruken av spanske filnavn og instruksjoner indikerer en målrettet kampanje rettet mot Latin-Amerika-baserte CrowdStrike-kunder.
Konklusjon
Remcos RAT er en potent og allsidig skadelig programvare som utgjør en betydelig trussel mot Windows-systemer. Dens evne til å unndra seg oppdagelse, få økte privilegier og samle inn omfattende data gjør den til et foretrukket verktøy blant nettkriminelle. Ved å forstå distribusjonsmetoder, muligheter og virkninger, kan organisasjoner bedre forsvare seg mot denne skadelige programvaren. Implementering av robuste sikkerhetstiltak og å være årvåken mot phishing-angrep er avgjørende skritt for å redusere risikoen som Remcos RAT utgjør.
SpyHunter oppdager og fjerner RemcosRAT
RemcosRAT video
Tips: Slå PÅ lyden og se videoen i fullskjermmodus .
Detaljer om filsystem
# | Filnavn | MD5 |
Deteksjoner
Deteksjoner: Antall bekreftede og mistenkte tilfeller av en bestemt trussel oppdaget på infiserte datamaskiner som rapportert av SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Registreringsdetaljer
Kataloger
RemcosRAT kan opprette følgende katalog eller kataloger:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |