RemcosRAT

Karta wyników zagrożenia

Zaszeregowanie: 4,425
Poziom zagrożenia: 80 % (Wysoka)
Zainfekowane komputery: 26,563
Pierwszy widziany: October 16, 2016
Ostatnio widziany: August 5, 2024
Systemy operacyjne, których dotyczy problem: Windows

Remcos RAT (trojan zdalnego dostępu) to wyrafinowane złośliwe oprogramowanie zaprojektowane w celu infiltracji i kontrolowania systemów operacyjnych Windows. Opracowany i sprzedawany przez niemiecką firmę Breaking Security jako legalne narzędzie do zdalnej kontroli i nadzoru, Remcos jest często wykorzystywany przez cyberprzestępców do złośliwych celów. W tym artykule szczegółowo opisano charakterystykę, możliwości, skutki i zabezpieczenia związane z Remcos RAT, a także ostatnie godne uwagi incydenty związane z jego wdrożeniem.

Metody wdrażania i infekcji

Ataki phishingowe
Remcos jest zwykle rozpowszechniany poprzez ataki phishingowe, podczas których niczego niepodejrzewający użytkownicy zostają nakłonieni do pobrania i uruchomienia złośliwych plików. Te e-maile phishingowe często zawierają:

Złośliwe pliki ZIP podszywające się pod pliki PDF, udające faktury lub zamówienia.
Dokumenty Microsoft Office z osadzonymi złośliwymi makrami zaprojektowanymi w celu wdrożenia szkodliwego oprogramowania po aktywacji.

Techniki uników
Aby uniknąć wykrycia, Remcos stosuje zaawansowane techniki, takie jak:

  • Wstrzykiwanie procesu lub drążenie procesu : ta metoda umożliwia Remcos wykonanie w ramach legalnego procesu, unikając w ten sposób wykrycia przez oprogramowanie antywirusowe.
  • Mechanizmy trwałości : Po zainstalowaniu Remcos zapewnia, że pozostaje aktywny, wykorzystując mechanizmy, które pozwalają mu działać w tle, w ukryciu przed użytkownikiem.

Infrastruktura dowodzenia i kontroli (C2).

Podstawową funkcją Remcos jest funkcja dowodzenia i kontroli (C2). Szkodnik szyfruje ruch komunikacyjny w drodze do serwera C2, utrudniając środkom bezpieczeństwa sieci przechwycenie i analizę danych. Remcos korzysta z rozproszonego DNS (DDNS) do tworzenia wielu domen dla swoich serwerów C2. Technika ta pomaga złośliwemu oprogramowaniu ominąć zabezpieczenia polegające na filtrowaniu ruchu do znanych złośliwych domen, co zwiększa jego odporność i trwałość.

Możliwości Remcos RAT

Remcos RAT to potężne narzędzie oferujące atakującym liczne możliwości, umożliwiające szeroką kontrolę i wykorzystanie zainfekowanych systemów:

Podniesienie uprawnień
Remcos może uzyskać uprawnienia administratora w zainfekowanym systemie, umożliwiając mu:

  • Wyłącz Kontrolę konta użytkownika (UAC).
  • Wykonuj różne złośliwe funkcje z podwyższonymi uprawnieniami.

Unikanie obrony
Korzystając z wstrzykiwania procesów, Remcos osadza się w legalnych procesach, co utrudnia wykrycie oprogramowania antywirusowego. Dodatkowo, jego zdolność do działania w tle jeszcze bardziej ukrywa jego obecność przed użytkownikami.

Zbieranie danych

Remcos jest specjalistą w gromadzeniu szerokiego zakresu danych z zainfekowanego systemu, w tym:

  • Naciśnięcia klawiszy
  • Zrzuty ekranu
  • Nagrania dźwiękowe
  • Zawartość schowka
  • Przechowywane hasła

Wpływ infekcji szczurem Remcos

Konsekwencje infekcji Remcos są znaczące i wieloaspektowe i dotyczą zarówno indywidualnych użytkowników, jak i organizacji:

  • Przejęcie konta
    Rejestrując naciśnięcia klawiszy i kradnąc hasła, Remcos umożliwia atakującym przejęcie kont internetowych i innych systemów, co może prowadzić do dalszej kradzieży danych i nieautoryzowanego dostępu w sieci organizacji.
  • Kradzież danych
    Remcos jest w stanie wydobyć wrażliwe dane z zainfekowanego systemu. Może to skutkować naruszeniem danych bezpośrednio z zaatakowanego komputera lub z innych systemów, do których dostęp uzyskuje się przy użyciu skradzionych danych uwierzytelniających.
  • Infekcje następcze
    Infekcja Remcos może służyć jako brama do wdrożenia dodatkowych wariantów złośliwego oprogramowania. Zwiększa to ryzyko kolejnych ataków, takich jak infekcje ransomware, co jeszcze bardziej pogłębia szkody.

Ochrona przed złośliwym oprogramowaniem Remcos

Organizacje mogą przyjąć kilka strategii i najlepszych praktyk w celu ochrony przed infekcjami Remcos:

Skanowanie poczty e-mail
Wdrożenie rozwiązań do skanowania poczty e-mail, które identyfikują i blokują podejrzane wiadomości e-mail, może uniemożliwić początkowe dostarczenie Remcos do skrzynek odbiorczych użytkowników.

Analiza domeny
Monitorowanie i analizowanie rekordów domen żądanych przez punkty końcowe może pomóc w identyfikowaniu i blokowaniu młodych lub podejrzanych domen, które mogą być powiązane z Remcos.

Analiza ruchu sieciowego
Warianty Remcos, które szyfrują ruch przy użyciu niestandardowych protokołów, można wykryć poprzez analizę ruchu sieciowego, która może wskazać nietypowe wzorce ruchu do dalszego badania.

Bezpieczeństwo punktów końcowych
Wdrażanie rozwiązań zapewniających bezpieczeństwo punktów końcowych z możliwością wykrywania i usuwania infekcji Remcos ma kluczowe znaczenie. Rozwiązania te opierają się na ustalonych wskaźnikach naruszenia w celu identyfikacji i neutralizacji złośliwego oprogramowania.

Wykorzystanie awarii CrowdStrike

Podczas niedawnego incydentu cyberprzestępcy wykorzystali ogólnoświatową awarię firmy CrowdStrike zajmującej się cyberbezpieczeństwem do dystrybucji Remcos RAT. Napastnicy zaatakowali klientów CrowdStrike w Ameryce Łacińskiej, dystrybuując plik archiwum ZIP o nazwie „crowdstrike-hotfix.zip”. Plik ten zawierał program ładujący złośliwe oprogramowanie, Hijack Loader, który następnie uruchomił ładunek Remcos RAT.

Archiwum ZIP zawierało plik tekstowy („instrucciones.txt”) z instrukcjami w języku hiszpańskim, wzywającymi cele do uruchomienia pliku wykonywalnego („setup.exe”) w celu rzekomego naprawienia problemu. Użycie hiszpańskich nazw plików i instrukcji wskazuje na ukierunkowaną kampanię skierowaną do klientów CrowdStrike z Ameryki Łacińskiej.

Wniosek

Remcos RAT to potężne i wszechstronne złośliwe oprogramowanie, które stanowi poważne zagrożenie dla systemów Windows. Jego zdolność do unikania wykrycia, uzyskiwania wyższych przywilejów i gromadzenia obszernych danych sprawia, że jest to ulubione narzędzie cyberprzestępców. Rozumiejąc metody, możliwości i skutki jego wdrażania, organizacje mogą lepiej chronić się przed tym złośliwym oprogramowaniem. Wdrożenie solidnych środków bezpieczeństwa i zachowanie czujności przed atakami typu phishing to kluczowe kroki w ograniczaniu ryzyka stwarzanego przez Remcos RAT.

SpyHunter wykrywa i usuwa RemcosRAT

RemcosRAT wideo

Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.

Szczegóły systemu plików

RemcosRAT może utworzyć następujące pliki:
# Nazwa pliku MD5 Wykrycia
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Szczegóły rejestru

RemcosRAT może utworzyć następujący wpis rejestru lub wpisy rejestru:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Katalogi

RemcosRAT może utworzyć następujący katalog lub katalogi:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Popularne

Najczęściej oglądane

Ładowanie...