RemcosRAT
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Ranking: Ranking konkretnego zagrożenia w bazie danych zagrożeń EnigmaSoft.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
Zaszeregowanie: | 4,425 |
Poziom zagrożenia: | 80 % (Wysoka) |
Zainfekowane komputery: | 26,563 |
Pierwszy widziany: | October 16, 2016 |
Ostatnio widziany: | August 5, 2024 |
Systemy operacyjne, których dotyczy problem: | Windows |
Remcos RAT (trojan zdalnego dostępu) to wyrafinowane złośliwe oprogramowanie zaprojektowane w celu infiltracji i kontrolowania systemów operacyjnych Windows. Opracowany i sprzedawany przez niemiecką firmę Breaking Security jako legalne narzędzie do zdalnej kontroli i nadzoru, Remcos jest często wykorzystywany przez cyberprzestępców do złośliwych celów. W tym artykule szczegółowo opisano charakterystykę, możliwości, skutki i zabezpieczenia związane z Remcos RAT, a także ostatnie godne uwagi incydenty związane z jego wdrożeniem.
Spis treści
Metody wdrażania i infekcji
Ataki phishingowe
Remcos jest zwykle rozpowszechniany poprzez ataki phishingowe, podczas których niczego niepodejrzewający użytkownicy zostają nakłonieni do pobrania i uruchomienia złośliwych plików. Te e-maile phishingowe często zawierają:
Złośliwe pliki ZIP podszywające się pod pliki PDF, udające faktury lub zamówienia.
Dokumenty Microsoft Office z osadzonymi złośliwymi makrami zaprojektowanymi w celu wdrożenia szkodliwego oprogramowania po aktywacji.
Techniki uników
Aby uniknąć wykrycia, Remcos stosuje zaawansowane techniki, takie jak:
- Wstrzykiwanie procesu lub drążenie procesu : ta metoda umożliwia Remcos wykonanie w ramach legalnego procesu, unikając w ten sposób wykrycia przez oprogramowanie antywirusowe.
- Mechanizmy trwałości : Po zainstalowaniu Remcos zapewnia, że pozostaje aktywny, wykorzystując mechanizmy, które pozwalają mu działać w tle, w ukryciu przed użytkownikiem.
Infrastruktura dowodzenia i kontroli (C2).
Podstawową funkcją Remcos jest funkcja dowodzenia i kontroli (C2). Szkodnik szyfruje ruch komunikacyjny w drodze do serwera C2, utrudniając środkom bezpieczeństwa sieci przechwycenie i analizę danych. Remcos korzysta z rozproszonego DNS (DDNS) do tworzenia wielu domen dla swoich serwerów C2. Technika ta pomaga złośliwemu oprogramowaniu ominąć zabezpieczenia polegające na filtrowaniu ruchu do znanych złośliwych domen, co zwiększa jego odporność i trwałość.
Możliwości Remcos RAT
Remcos RAT to potężne narzędzie oferujące atakującym liczne możliwości, umożliwiające szeroką kontrolę i wykorzystanie zainfekowanych systemów:
Podniesienie uprawnień
Remcos może uzyskać uprawnienia administratora w zainfekowanym systemie, umożliwiając mu:
- Wyłącz Kontrolę konta użytkownika (UAC).
- Wykonuj różne złośliwe funkcje z podwyższonymi uprawnieniami.
Unikanie obrony
Korzystając z wstrzykiwania procesów, Remcos osadza się w legalnych procesach, co utrudnia wykrycie oprogramowania antywirusowego. Dodatkowo, jego zdolność do działania w tle jeszcze bardziej ukrywa jego obecność przed użytkownikami.
Zbieranie danych
Remcos jest specjalistą w gromadzeniu szerokiego zakresu danych z zainfekowanego systemu, w tym:
- Naciśnięcia klawiszy
- Zrzuty ekranu
- Nagrania dźwiękowe
- Zawartość schowka
- Przechowywane hasła
Wpływ infekcji szczurem Remcos
Konsekwencje infekcji Remcos są znaczące i wieloaspektowe i dotyczą zarówno indywidualnych użytkowników, jak i organizacji:
- Przejęcie konta
Rejestrując naciśnięcia klawiszy i kradnąc hasła, Remcos umożliwia atakującym przejęcie kont internetowych i innych systemów, co może prowadzić do dalszej kradzieży danych i nieautoryzowanego dostępu w sieci organizacji. - Kradzież danych
Remcos jest w stanie wydobyć wrażliwe dane z zainfekowanego systemu. Może to skutkować naruszeniem danych bezpośrednio z zaatakowanego komputera lub z innych systemów, do których dostęp uzyskuje się przy użyciu skradzionych danych uwierzytelniających. - Infekcje następcze
Infekcja Remcos może służyć jako brama do wdrożenia dodatkowych wariantów złośliwego oprogramowania. Zwiększa to ryzyko kolejnych ataków, takich jak infekcje ransomware, co jeszcze bardziej pogłębia szkody.
Ochrona przed złośliwym oprogramowaniem Remcos
Organizacje mogą przyjąć kilka strategii i najlepszych praktyk w celu ochrony przed infekcjami Remcos:
Skanowanie poczty e-mail
Wdrożenie rozwiązań do skanowania poczty e-mail, które identyfikują i blokują podejrzane wiadomości e-mail, może uniemożliwić początkowe dostarczenie Remcos do skrzynek odbiorczych użytkowników.
Analiza domeny
Monitorowanie i analizowanie rekordów domen żądanych przez punkty końcowe może pomóc w identyfikowaniu i blokowaniu młodych lub podejrzanych domen, które mogą być powiązane z Remcos.
Analiza ruchu sieciowego
Warianty Remcos, które szyfrują ruch przy użyciu niestandardowych protokołów, można wykryć poprzez analizę ruchu sieciowego, która może wskazać nietypowe wzorce ruchu do dalszego badania.
Bezpieczeństwo punktów końcowych
Wdrażanie rozwiązań zapewniających bezpieczeństwo punktów końcowych z możliwością wykrywania i usuwania infekcji Remcos ma kluczowe znaczenie. Rozwiązania te opierają się na ustalonych wskaźnikach naruszenia w celu identyfikacji i neutralizacji złośliwego oprogramowania.
Wykorzystanie awarii CrowdStrike
Podczas niedawnego incydentu cyberprzestępcy wykorzystali ogólnoświatową awarię firmy CrowdStrike zajmującej się cyberbezpieczeństwem do dystrybucji Remcos RAT. Napastnicy zaatakowali klientów CrowdStrike w Ameryce Łacińskiej, dystrybuując plik archiwum ZIP o nazwie „crowdstrike-hotfix.zip”. Plik ten zawierał program ładujący złośliwe oprogramowanie, Hijack Loader, który następnie uruchomił ładunek Remcos RAT.
Archiwum ZIP zawierało plik tekstowy („instrucciones.txt”) z instrukcjami w języku hiszpańskim, wzywającymi cele do uruchomienia pliku wykonywalnego („setup.exe”) w celu rzekomego naprawienia problemu. Użycie hiszpańskich nazw plików i instrukcji wskazuje na ukierunkowaną kampanię skierowaną do klientów CrowdStrike z Ameryki Łacińskiej.
Wniosek
Remcos RAT to potężne i wszechstronne złośliwe oprogramowanie, które stanowi poważne zagrożenie dla systemów Windows. Jego zdolność do unikania wykrycia, uzyskiwania wyższych przywilejów i gromadzenia obszernych danych sprawia, że jest to ulubione narzędzie cyberprzestępców. Rozumiejąc metody, możliwości i skutki jego wdrażania, organizacje mogą lepiej chronić się przed tym złośliwym oprogramowaniem. Wdrożenie solidnych środków bezpieczeństwa i zachowanie czujności przed atakami typu phishing to kluczowe kroki w ograniczaniu ryzyka stwarzanego przez Remcos RAT.
SpyHunter wykrywa i usuwa RemcosRAT
RemcosRAT wideo
Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.
Szczegóły systemu plików
# | Nazwa pliku | MD5 |
Wykrycia
Wykrycia: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Szczegóły rejestru
Katalogi
RemcosRAT może utworzyć następujący katalog lub katalogi:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |