RemcosRAT

Trusselscorekort

Rangering: 4,425
Trusselnivå: 80 % (Høy)
Infiserte datamaskiner: 26,563
Først sett: October 16, 2016
Sist sett: August 5, 2024
OS(er) berørt: Windows

Remcos RAT (Remote Access Trojan) er en sofistikert skadelig programvare utviklet for å infiltrere og kontrollere Windows-operativsystemer. Utviklet og solgt av et tysk selskap ved navn Breaking Security som et legitimt fjernkontroll- og overvåkingsverktøy, blir Remcos ofte misbrukt av nettkriminelle til ondsinnede formål. Denne artikkelen fordyper seg i egenskapene, egenskapene, virkningene og forsvarene knyttet til Remcos RAT, samt nylige bemerkelsesverdige hendelser som involverer utplasseringen.

Utplassering og infeksjonsmetoder

Phishing-angrep
Remcos distribueres vanligvis gjennom phishing-angrep, der intetanende brukere blir lurt til å laste ned og kjøre ondsinnede filer. Disse phishing-e-postene inneholder ofte:

Ondsinnede ZIP-filer forkledd som PDF-er, som hevder å være fakturaer eller bestillinger.
Microsoft Office-dokumenter med innebygde ondsinnede makroer designet for å distribuere skadelig programvare ved aktivering.

Unngåelsesteknikker
For å unngå oppdagelse bruker Remcos avanserte teknikker som:

  • Prosessinjeksjon eller prosessuthuling : Denne metoden lar Remcos kjøre innenfor en legitim prosess, og unngår derved oppdagelse av antivirusprogramvare.
  • Vedvarende mekanismer : Når den er installert, sikrer Remcos at den forblir aktiv ved å bruke mekanismer som lar den kjøre i bakgrunnen, skjult for brukeren.

Kommando-og-kontroll (C2) infrastruktur

En kjernefunksjon til Remcos er dens Command-and-Control (C2) funksjonalitet. Skadevaren krypterer kommunikasjonstrafikken på vei til C2-serveren, noe som gjør det vanskelig for nettverkssikkerhetstiltak å fange opp og analysere dataene. Remcos bruker distribuert DNS (DDNS) for å lage flere domener for sine C2-servere. Denne teknikken hjelper skadelig programvare med å unngå sikkerhetsbeskyttelse som er avhengig av å filtrere trafikk til kjente ondsinnede domener, noe som øker motstandskraften og utholdenheten.

Mulighetene til Remcos RAT

Remcos RAT er et kraftig verktøy som tilbyr en rekke funksjoner til angripere, som muliggjør omfattende kontroll og utnyttelse av infiserte systemer:

Privilegiumhøyde
Remcos kan få administratorrettigheter på et infisert system, slik at det kan:

  • Deaktiver brukerkontokontroll (UAC).
  • Utfør ulike ondsinnede funksjoner med forhøyede rettigheter.

Forsvarsunndragelse
Ved å bruke prosessinjeksjon bygger Remcos seg inn i legitime prosesser, noe som gjør det utfordrende for antivirusprogramvare å oppdage. I tillegg skjuler evnen til å kjøre i bakgrunnen sin tilstedeværelse for brukere.

Datainnsamling

Remcos er dyktig til å samle inn et bredt spekter av data fra det infiserte systemet, inkludert:

  • Tastetrykk
  • Skjermbilder
  • Lydopptak
  • Innhold på utklippstavlen
  • Lagrede passord

Virkningen av en Remcos RAT-infeksjon

Konsekvensene av en Remcos-infeksjon er betydelige og mangefasetterte, og påvirker både individuelle brukere og organisasjoner:

  • Kontoovertakelse
    Ved å logge tastetrykk og stjele passord, gjør Remcos det mulig for angripere å overta nettkontoer og andre systemer, noe som potensielt kan føre til ytterligere datatyveri og uautorisert tilgang i en organisasjons nettverk.
  • Datatyveri
    Remcos er i stand til å eksfiltrere sensitive data fra det infiserte systemet. Dette kan resultere i datainnbrudd, enten direkte fra den kompromitterte datamaskinen eller fra andre systemer som du får tilgang til ved hjelp av stjålet legitimasjon.
  • Oppfølgende infeksjoner
    En infeksjon med Remcos kan tjene som en inngangsport for utrulling av flere malware-varianter. Dette øker risikoen for påfølgende angrep, for eksempel ransomware-infeksjoner, som ytterligere forverrer skaden.

Beskyttelse mot Remcos skadelig programvare

Organisasjoner kan ta i bruk flere strategier og beste praksis for å beskytte mot Remcos-infeksjoner:

E-postskanning
Implementering av e-postskanningsløsninger som identifiserer og blokkerer mistenkelige e-poster kan forhindre den første leveringen av Remcos til brukernes innbokser.

Domeneanalyse
Overvåking og analyse av domeneposter forespurt av endepunkter kan bidra til å identifisere og blokkere unge eller mistenkelige domener som kan være assosiert med Remcos.

Nettverkstrafikkanalyse
Remcos-varianter som krypterer trafikken deres ved hjelp av ikke-standardiserte protokoller kan oppdages gjennom nettverkstrafikkanalyse, som kan flagge uvanlige trafikkmønstre for videre undersøkelse.

Endpoint Security
Det er avgjørende å distribuere endepunktsikkerhetsløsninger med evnen til å oppdage og utbedre Remcos-infeksjoner. Disse løsningene er avhengige av etablerte indikatorer på kompromiss for å identifisere og nøytralisere skadelig programvare.

Utnyttelse av CrowdStrike-avbrudd

I en nylig hendelse utnyttet nettkriminelle et verdensomspennende avbrudd av nettsikkerhetsfirmaet CrowdStrike for å distribuere Remcos RAT. Angriperne målrettet CrowdStrike-kunder i Latin-Amerika ved å distribuere en ZIP-arkivfil kalt 'crowdstrike-hotfix.zip.' Denne filen inneholdt en malware-laster, Hijack Loader, som senere lanserte Remcos RAT-nyttelasten.

ZIP-arkivet inkluderte en tekstfil ('instrucciones.txt') med spanskspråklige instruksjoner, som oppfordret mål til å kjøre en kjørbar fil ('setup.exe') for å angivelig komme seg fra problemet. Bruken av spanske filnavn og instruksjoner indikerer en målrettet kampanje rettet mot Latin-Amerika-baserte CrowdStrike-kunder.

Konklusjon

Remcos RAT er en potent og allsidig skadelig programvare som utgjør en betydelig trussel mot Windows-systemer. Dens evne til å unndra seg oppdagelse, få økte privilegier og samle inn omfattende data gjør den til et foretrukket verktøy blant nettkriminelle. Ved å forstå distribusjonsmetoder, muligheter og virkninger, kan organisasjoner bedre forsvare seg mot denne skadelige programvaren. Implementering av robuste sikkerhetstiltak og å være årvåken mot phishing-angrep er avgjørende skritt for å redusere risikoen som Remcos RAT utgjør.

SpyHunter oppdager og fjerner RemcosRAT

RemcosRAT video

Tips: Slå lyden og se videoen i fullskjermmodus .

Detaljer om filsystem

RemcosRAT kan opprette følgende fil(er):
# Filnavn MD5 Deteksjoner
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Registreringsdetaljer

RemcosRAT kan opprette følgende registeroppføring eller registeroppføringer:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Kataloger

RemcosRAT kan opprette følgende katalog eller kataloger:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trender

Mest sett

Laster inn...