RemcosRAT
Prehľad hrozieb
Prehľad hrozieb EnigmaSoft
EnigmaSoft Threat Scorecards sú hodnotiace správy pre rôzne malvérové hrozby, ktoré zhromaždil a analyzoval náš výskumný tím. EnigmaSoft Threat Scorecards vyhodnocujú a hodnotia hrozby pomocou niekoľkých metrík vrátane skutočných a potenciálnych rizikových faktorov, trendov, frekvencie, prevalencie a pretrvávania. Prehľady hrozieb EnigmaSoft sa pravidelne aktualizujú na základe našich výskumných údajov a metrík a sú užitočné pre širokú škálu používateľov počítačov, od koncových používateľov, ktorí hľadajú riešenia na odstránenie škodlivého softvéru zo svojich systémov, až po bezpečnostných expertov analyzujúcich hrozby.
EnigmaSoft Threat Scorecards zobrazuje množstvo užitočných informácií, vrátane:
Hodnotenie: Poradie konkrétnej hrozby v databáze hrozieb EnigmaSoft.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjadrená číselne, na základe nášho procesu modelovania rizika a výskumu, ako je vysvetlené v našich kritériách hodnotenia hrozieb .
Infikované počítače: Počet potvrdených a podozrivých prípadov konkrétnej hrozby zistených na infikovaných počítačoch podľa správy SpyHunter.
Pozri tiež Kritériá hodnotenia hrozieb .
Poradie: | 4,425 |
Stupeň ohrozenia: | 80 % (Vysoká) |
Infikované počítače: | 26,563 |
Prvýkrát videný: | October 16, 2016 |
Naposledy videný: | August 5, 2024 |
Ovplyvnené OS: | Windows |
Remcos RAT (Remote Access Trojan) je sofistikovaný malvér určený na infiltráciu a kontrolu operačných systémov Windows. Remcos, vyvinutý a predávaný nemeckou spoločnosťou Breaking Security ako legitímny nástroj diaľkového ovládania a sledovania, je často zneužívaný počítačovými zločincami na škodlivé účely. Tento článok sa zaoberá charakteristikami, schopnosťami, dopadmi a obranou súvisiacimi s Remcos RAT, ako aj nedávnymi pozoruhodnými incidentmi spojenými s jeho nasadením.
Obsah
Metódy nasadenia a infekcie
Phishingové útoky
Remcos sa zvyčajne distribuuje prostredníctvom phishingových útokov, pri ktorých sú nič netušiaci používatelia oklamaní, aby stiahli a spustili škodlivé súbory. Tieto phishingové e-maily často obsahujú:
Škodlivé súbory ZIP maskované ako súbory PDF, ktoré sa vydávajú za faktúry alebo objednávky.
Dokumenty balíka Microsoft Office so zabudovanými škodlivými makrami určenými na nasadenie malvéru po aktivácii.
Únikové techniky
Aby sa vyhla detekcii, Remcos využíva pokročilé techniky, ako napríklad:
- Process Injection alebo Process Hollowing : Táto metóda umožňuje Remcos vykonávať v rámci legitímneho procesu, čím sa vyhýba detekcii antivírusovým softvérom.
- Mechanizmy perzistencie : Po nainštalovaní Remcos zaisťuje, že zostane aktívny pomocou mechanizmov, ktoré mu umožňujú bežať na pozadí, skryté pred používateľom.
Infraštruktúra velenia a riadenia (C2).
Hlavnou funkciou Remcos je funkcia Command-and-Control (C2). Malvér šifruje svoju komunikačnú prevádzku na ceste k serveru C2, čo sťažuje sieťovým bezpečnostným opatreniam zachytiť a analyzovať údaje. Remcos používa distribuované DNS (DDNS) na vytvorenie viacerých domén pre svoje servery C2. Táto technika pomáha malvéru obchádzať bezpečnostné ochrany, ktoré sa spoliehajú na filtrovanie prevádzky do známych škodlivých domén, čím sa zvyšuje jeho odolnosť a vytrvalosť.
Schopnosti Remcos RAT
Remcos RAT je výkonný nástroj, ktorý útočníkom ponúka množstvo možností a umožňuje rozsiahlu kontrolu a využívanie infikovaných systémov:
Privilege Elevation
Remcos môže získať oprávnenia správcu na infikovanom systéme, čo mu umožňuje:
- Zakázať kontrolu používateľských účtov (UAC).
- Vykonávajte rôzne škodlivé funkcie so zvýšenými oprávneniami.
Obranný únik
Pomocou vstrekovania procesov sa Remcos začlení do legitímnych procesov, čo sťažuje detekciu antivírusového softvéru. Navyše jeho schopnosť bežať na pozadí ďalej skrýva svoju prítomnosť pred používateľmi.
Zber dát
Remcos je zbehlý v zhromažďovaní širokého spektra údajov z infikovaného systému, vrátane:
- Stlačenie klávesov
- Snímky obrazovky
- Zvukové nahrávky
- Obsah schránky
- Uložené heslá
Vplyv infekcie Remcos RAT
Dôsledky infekcie Remcos sú významné a mnohostranné a ovplyvňujú jednotlivých používateľov aj organizácie:
- Prevzatie účtu
Zaznamenávaním stlačených klávesov a krádežou hesiel umožňuje Remcos útočníkom prevziať online účty a iné systémy, čo môže viesť k ďalšej krádeži údajov a neoprávnenému prístupu v rámci siete organizácie. - Krádež údajov
Remcos je schopný exfiltrovať citlivé údaje z infikovaného systému. To môže viesť k narušeniu údajov buď priamo z napadnutého počítača alebo z iných systémov, ku ktorým sa pristupuje pomocou ukradnutých poverení. - Následné infekcie
Infekcia Remcos môže slúžiť ako brána na nasadenie ďalších variantov malvéru. To zvyšuje riziko následných útokov, ako sú ransomvérové infekcie, čo ešte viac zhoršuje poškodenie.
Ochrana proti škodlivému softvéru Remcos
Organizácie môžu prijať niekoľko stratégií a osvedčených postupov na ochranu pred infekciami Remcos:
Skenovanie e-mailov
Implementácia riešení skenovania e-mailov, ktoré identifikujú a blokujú podozrivé e-maily, môže zabrániť počiatočnému doručovaniu Remcos do priečinkov doručenej pošty používateľov.
Doménová analýza
Monitorovanie a analýza doménových záznamov požadovaných koncovými bodmi môže pomôcť identifikovať a blokovať mladé alebo podozrivé domény, ktoré môžu byť spojené s Remcos.
Analýza sieťovej prevádzky
Varianty Remcos, ktoré šifrujú svoju prevádzku pomocou neštandardných protokolov, sa dajú zistiť pomocou analýzy sieťovej prevádzky, ktorá môže naznačiť nezvyčajné vzory premávky na ďalšie vyšetrovanie.
Zabezpečenie koncového bodu
Rozhodujúce je nasadenie riešení zabezpečenia koncových bodov so schopnosťou detekovať a odstraňovať infekcie Remcos. Tieto riešenia sa spoliehajú na zavedené indikátory kompromisu na identifikáciu a neutralizáciu škodlivého softvéru.
Využitie výpadku CrowdStrike
V nedávnom incidente kyberzločinci využili celosvetový výpadok firmy CrowdStrike v oblasti kybernetickej bezpečnosti na distribúciu Remcos RAT. Útočníci sa zamerali na zákazníkov CrowdStrike v Latinskej Amerike distribúciou archívneho súboru ZIP s názvom „crowdstrike-hotfix.zip“. Tento súbor obsahoval nakladač škodlivého softvéru Hijack Loader, ktorý následne spustil užitočné zaťaženie Remcos RAT.
Archív ZIP obsahoval textový súbor ('instrucciones.txt') s inštrukciami v španielčine, ktoré vyzývali ciele, aby spustili spustiteľný súbor ('setup.exe'), aby sa problém údajne zotavili. Použitie španielskych názvov súborov a pokynov naznačuje cielenú kampaň zameranú na zákazníkov CrowdStrike so sídlom v Latinskej Amerike.
Záver
Remcos RAT je silný a všestranný malvér, ktorý predstavuje významnú hrozbu pre systémy Windows. Jeho schopnosť vyhnúť sa detekcii, získať zvýšené privilégiá a zbierať rozsiahle údaje z neho robí obľúbený nástroj medzi kyberzločincami. Pochopením metód, možností a dopadov jeho nasadenia sa môžu organizácie lepšie brániť proti tomuto škodlivému softvéru. Implementácia robustných bezpečnostných opatrení a ostražitosť voči phishingovým útokom sú kľúčové kroky pri zmierňovaní rizika, ktoré predstavuje Remcos RAT.
SpyHunter Detects & Remove RemcosRAT
RemcosRAT Video
Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .
Podrobnosti o súborovom systéme
# | Názov súboru | MD5 |
Detekcie
Detekcie: Počet potvrdených a podozrivých prípadov konkrétnej hrozby zistených na infikovaných počítačoch podľa správy SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Podrobnosti registra
Adresáre
RemcosRAT môže vytvoriť nasledujúci adresár alebo adresáre:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |