RemcosRAT

Prehľad hrozieb

Poradie: 4,425
Stupeň ohrozenia: 80 % (Vysoká)
Infikované počítače: 26,563
Prvýkrát videný: October 16, 2016
Naposledy videný: August 5, 2024
Ovplyvnené OS: Windows

Remcos RAT (Remote Access Trojan) je sofistikovaný malvér určený na infiltráciu a kontrolu operačných systémov Windows. Remcos, vyvinutý a predávaný nemeckou spoločnosťou Breaking Security ako legitímny nástroj diaľkového ovládania a sledovania, je často zneužívaný počítačovými zločincami na škodlivé účely. Tento článok sa zaoberá charakteristikami, schopnosťami, dopadmi a obranou súvisiacimi s Remcos RAT, ako aj nedávnymi pozoruhodnými incidentmi spojenými s jeho nasadením.

Metódy nasadenia a infekcie

Phishingové útoky
Remcos sa zvyčajne distribuuje prostredníctvom phishingových útokov, pri ktorých sú nič netušiaci používatelia oklamaní, aby stiahli a spustili škodlivé súbory. Tieto phishingové e-maily často obsahujú:

Škodlivé súbory ZIP maskované ako súbory PDF, ktoré sa vydávajú za faktúry alebo objednávky.
Dokumenty balíka Microsoft Office so zabudovanými škodlivými makrami určenými na nasadenie malvéru po aktivácii.

Únikové techniky
Aby sa vyhla detekcii, Remcos využíva pokročilé techniky, ako napríklad:

  • Process Injection alebo Process Hollowing : Táto metóda umožňuje Remcos vykonávať v rámci legitímneho procesu, čím sa vyhýba detekcii antivírusovým softvérom.
  • Mechanizmy perzistencie : Po nainštalovaní Remcos zaisťuje, že zostane aktívny pomocou mechanizmov, ktoré mu umožňujú bežať na pozadí, skryté pred používateľom.

Infraštruktúra velenia a riadenia (C2).

Hlavnou funkciou Remcos je funkcia Command-and-Control (C2). Malvér šifruje svoju komunikačnú prevádzku na ceste k serveru C2, čo sťažuje sieťovým bezpečnostným opatreniam zachytiť a analyzovať údaje. Remcos používa distribuované DNS (DDNS) na vytvorenie viacerých domén pre svoje servery C2. Táto technika pomáha malvéru obchádzať bezpečnostné ochrany, ktoré sa spoliehajú na filtrovanie prevádzky do známych škodlivých domén, čím sa zvyšuje jeho odolnosť a vytrvalosť.

Schopnosti Remcos RAT

Remcos RAT je výkonný nástroj, ktorý útočníkom ponúka množstvo možností a umožňuje rozsiahlu kontrolu a využívanie infikovaných systémov:

Privilege Elevation
Remcos môže získať oprávnenia správcu na infikovanom systéme, čo mu umožňuje:

  • Zakázať kontrolu používateľských účtov (UAC).
  • Vykonávajte rôzne škodlivé funkcie so zvýšenými oprávneniami.

Obranný únik
Pomocou vstrekovania procesov sa Remcos začlení do legitímnych procesov, čo sťažuje detekciu antivírusového softvéru. Navyše jeho schopnosť bežať na pozadí ďalej skrýva svoju prítomnosť pred používateľmi.

Zber dát

Remcos je zbehlý v zhromažďovaní širokého spektra údajov z infikovaného systému, vrátane:

  • Stlačenie klávesov
  • Snímky obrazovky
  • Zvukové nahrávky
  • Obsah schránky
  • Uložené heslá

Vplyv infekcie Remcos RAT

Dôsledky infekcie Remcos sú významné a mnohostranné a ovplyvňujú jednotlivých používateľov aj organizácie:

  • Prevzatie účtu
    Zaznamenávaním stlačených klávesov a krádežou hesiel umožňuje Remcos útočníkom prevziať online účty a iné systémy, čo môže viesť k ďalšej krádeži údajov a neoprávnenému prístupu v rámci siete organizácie.
  • Krádež údajov
    Remcos je schopný exfiltrovať citlivé údaje z infikovaného systému. To môže viesť k narušeniu údajov buď priamo z napadnutého počítača alebo z iných systémov, ku ktorým sa pristupuje pomocou ukradnutých poverení.
  • Následné infekcie
    Infekcia Remcos môže slúžiť ako brána na nasadenie ďalších variantov malvéru. To zvyšuje riziko následných útokov, ako sú ransomvérové infekcie, čo ešte viac zhoršuje poškodenie.

Ochrana proti škodlivému softvéru Remcos

Organizácie môžu prijať niekoľko stratégií a osvedčených postupov na ochranu pred infekciami Remcos:

Skenovanie e-mailov
Implementácia riešení skenovania e-mailov, ktoré identifikujú a blokujú podozrivé e-maily, môže zabrániť počiatočnému doručovaniu Remcos do priečinkov doručenej pošty používateľov.

Doménová analýza
Monitorovanie a analýza doménových záznamov požadovaných koncovými bodmi môže pomôcť identifikovať a blokovať mladé alebo podozrivé domény, ktoré môžu byť spojené s Remcos.

Analýza sieťovej prevádzky
Varianty Remcos, ktoré šifrujú svoju prevádzku pomocou neštandardných protokolov, sa dajú zistiť pomocou analýzy sieťovej prevádzky, ktorá môže naznačiť nezvyčajné vzory premávky na ďalšie vyšetrovanie.

Zabezpečenie koncového bodu
Rozhodujúce je nasadenie riešení zabezpečenia koncových bodov so schopnosťou detekovať a odstraňovať infekcie Remcos. Tieto riešenia sa spoliehajú na zavedené indikátory kompromisu na identifikáciu a neutralizáciu škodlivého softvéru.

Využitie výpadku CrowdStrike

V nedávnom incidente kyberzločinci využili celosvetový výpadok firmy CrowdStrike v oblasti kybernetickej bezpečnosti na distribúciu Remcos RAT. Útočníci sa zamerali na zákazníkov CrowdStrike v Latinskej Amerike distribúciou archívneho súboru ZIP s názvom „crowdstrike-hotfix.zip“. Tento súbor obsahoval nakladač škodlivého softvéru Hijack Loader, ktorý následne spustil užitočné zaťaženie Remcos RAT.

Archív ZIP obsahoval textový súbor ('instrucciones.txt') s inštrukciami v španielčine, ktoré vyzývali ciele, aby spustili spustiteľný súbor ('setup.exe'), aby sa problém údajne zotavili. Použitie španielskych názvov súborov a pokynov naznačuje cielenú kampaň zameranú na zákazníkov CrowdStrike so sídlom v Latinskej Amerike.

Záver

Remcos RAT je silný a všestranný malvér, ktorý predstavuje významnú hrozbu pre systémy Windows. Jeho schopnosť vyhnúť sa detekcii, získať zvýšené privilégiá a zbierať rozsiahle údaje z neho robí obľúbený nástroj medzi kyberzločincami. Pochopením metód, možností a dopadov jeho nasadenia sa môžu organizácie lepšie brániť proti tomuto škodlivému softvéru. Implementácia robustných bezpečnostných opatrení a ostražitosť voči phishingovým útokom sú kľúčové kroky pri zmierňovaní rizika, ktoré predstavuje Remcos RAT.

SpyHunter Detects & Remove RemcosRAT

RemcosRAT Video

Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .

Podrobnosti o súborovom systéme

RemcosRAT môže vytvoriť nasledujúce súbory:
# Názov súboru MD5 Detekcie
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Podrobnosti registra

RemcosRAT môže vytvoriť nasledujúcu položku alebo položky registra:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Adresáre

RemcosRAT môže vytvoriť nasledujúci adresár alebo adresáre:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Trendy

Najviac videné

Načítava...