РемцосРАТ
Тхреат Сцорецард
ЕнигмаСофт Тхреат Сцорецард
ЕнигмаСофт Тхреат Сцорецардс су извештаји о процени различитих претњи од малвера које је прикупио и анализирао наш истраживачки тим. ЕнигмаСофт Тхреат Сцорецардс процењује и рангира претње користећи неколико метрика укључујући стварне и потенцијалне факторе ризика, трендове, учесталост, распрострањеност и постојаност. ЕнигмаСофт картице са резултатима за претње се редовно ажурирају на основу наших истраживачких података и метрика и корисне су за широк спектар корисника рачунара, од крајњих корисника који траже решења за уклањање малвера из својих система до стручњака за безбедност који анализирају претње.
ЕнигмаСофт Тхреат Сцорецардс приказују низ корисних информација, укључујући:
Рангирање: Рангирање одређене претње у ЕнигмаСофтовој бази података претњи.
Ниво озбиљности: Утврђени ниво озбиљности објекта, представљен нумерички, на основу нашег процеса моделирања ризика и истраживања, као што је објашњено у нашим Критеријумима за процену претње .
Заражени рачунари: Број потврђених и сумњивих случајева одређене претње откривених на зараженим рачунарима према извештају СпиХунтер.
Такође погледајте Критеријуми за процену претње .
Рангирање: | 4,425 |
Ниво претње: | 80 % (Високо) |
Заражени рачунари: | 26,563 |
Први пут виђено: | October 16, 2016 |
Последњи пут виђен: | August 5, 2024 |
ОС на које утиче: | Windows |
Ремцос РАТ (Ремоте Аццесс Тројан) је софистицирани малвер дизајниран да се инфилтрира и контролише Виндовс оперативне системе. Развијен и продат од стране немачке компаније Бреакинг Сецурити као легитиман алат за даљинско управљање и надзор, сајбер криминалци често злоупотребљавају Ремцос у злонамерне сврхе. Овај чланак се бави карактеристикама, могућностима, утицајима и одбранама у вези са Ремцос РАТ, као и недавним значајним инцидентима који укључују његову примену.
Преглед садржаја
Методе примене и инфекције
Пхисхинг Аттацкс
Ремцос се обично дистрибуира путем пхисхинг напада, при чему су несуђени корисници преварени да преузму и изврше злонамерне датотеке. Ове е-поруке за „пецање“ често садрже:
Злонамерне ЗИП датотеке прерушене у ПДФ-ове, за које се тврди да су фактуре или поруџбине.
Мицрософт Оффице документи са уграђеним злонамерним макроима дизајнираним за примену малвера након активације.
Евасион Тецхникуес
Да би избегао откривање, Ремцос користи напредне технике као што су:
- Процес Ињецтион или Процесс Холловинг : Овај метод омогућава Ремцос-у да се изврши у оквиру легитимног процеса, чиме се избегава откривање од стране антивирусног софтвера.
- Механизми постојаности : Једном инсталиран, Ремцос осигурава да остане активан користећи механизме који му омогућавају да ради у позадини, скривен од корисника.
Командно-контролна (Ц2) инфраструктура
Основна способност Ремцос-а је његова функција Цомманд-анд-Цонтрол (Ц2). Малвер шифрује свој комуникациони саобраћај на путу до Ц2 сервера, што отежава мере безбедности мреже да пресретну и анализирају податке. Ремцос користи дистрибуирани ДНС (ДДНС) за креирање више домена за своје Ц2 сервере. Ова техника помаже малверу да избегне безбедносне заштите које се ослањају на филтрирање саобраћаја до познатих злонамерних домена, побољшавајући његову отпорност и постојаност.
Могућности Ремцос РАТ
Ремцос РАТ је моћан алат који нападачима нуди бројне могућности, омогућавајући опсежну контролу и експлоатацију заражених система:
Привилеге Елеватион
Ремцос може добити администраторске дозволе на зараженом систему, омогућавајући му да:
- Онемогућите контролу корисничког налога (УАЦ).
- Извршава различите злонамерне функције са повишеним привилегијама.
Дефенсе Евасион
Коришћењем убризгавања процеса, Ремцос се уграђује у легитимне процесе, што га чини изазовним за антивирусни софтвер да открије. Поред тога, његова способност да ради у позадини додатно прикрива своје присуство од корисника.
Прикупљање података
Ремцос је вешт у прикупљању широког спектра података из зараженог система, укључујући:
- Тастери
- Снимци екрана
- Аудио снимци
- Цлипбоард цонтентс
- Сачуване лозинке
Утицај Ремцос РАТ инфекције
Последице Ремцос инфекције су значајне и вишеструке, утичући и на појединачне кориснике и на организације:
- Преузимање налога
Евидентирањем притисака на тастере и крађом лозинки, Ремцос омогућава нападачима да преузму онлајн налоге и друге системе, што потенцијално доводи до даље крађе података и неовлашћеног приступа унутар мреже организације. - Крађа података
Ремцос је способан да ексфилтрира осетљиве податке из зараженог система. Ово може довести до кршења података, било директно са компромитованог рачунара или из других система којима се приступа коришћењем украдених акредитива. - Наредне инфекције
Инфекција са Ремцос-ом може послужити као капија за примену додатних варијанти малвера. Ово повећава ризик од накнадних напада, као што су инфекције рансомвером, што додатно погоршава штету.
Заштита од Ремцос малвера
Организације могу усвојити неколико стратегија и најбољих пракси за заштиту од Ремцос инфекција:
Скенирање е-поште
Примена решења за скенирање е-поште која идентификују и блокирају сумњиве е-поруке може спречити почетну испоруку Ремцос-а у пријемно сандуче корисника.
Анализа домена
Надгледање и анализа записа домена које захтевају крајње тачке може помоћи у идентификацији и блокирању младих или сумњивих домена који могу бити повезани са Ремцос-ом.
Анализа мрежног саобраћаја
Ремцос варијанте које шифрују свој саобраћај користећи нестандардне протоколе могу се открити кроз анализу мрежног саобраћаја, што може означити необичне обрасце саобраћаја за даљу истрагу.
Ендпоинт Сецурити
Примена безбедносних решења крајњих тачака са могућношћу откривања и отклањања Ремцос инфекција је кључна. Ова решења се ослањају на утврђене индикаторе компромиса за идентификацију и неутрализацију малвера.
Искоришћавање прекида рада ЦровдСтрике
У недавном инциденту, сајбер криминалци су искористили прекид рада компаније за сајбер безбедност ЦровдСтрике да дистрибуирају Ремцос РАТ. Нападачи су циљали на клијенте ЦровдСтрике у Латинској Америци тако што су дистрибуирали ЗИП архивску датотеку под називом „цровдстрике-хотфик.зип“. Ова датотека је садржала учитавач малвера, Хијацк Лоадер, који је касније покренуо Ремцос РАТ корисни терет.
ЗИП архива је укључивала текстуалну датотеку ('инструцционес.ткт') са упутствима на шпанском језику, позивајући мете да покрећу извршну датотеку ('сетуп.еке') како би се наводно опоравили од проблема. Употреба шпанских имена датотека и упутстава указује на циљану кампању усмерену на клијенте ЦровдСтрике из Латинске Америке.
Закључак
Ремцос РАТ је моћан и свестран малвер који представља значајну претњу за Виндовс системе. Његова способност да избегне откривање, стекне повишене привилегије и прикупи обимне податке чини га омиљеним алатом међу сајбер криминалцима. Разумевањем његових метода примене, могућности и утицаја, организације се могу боље одбранити од овог злонамерног софтвера. Спровођење снажних безбедносних мера и опрез против пхисхинг напада су кључни кораци у ублажавању ризика који представља Ремцос РАТ.
СпиХунтер открива и уклања РемцосРАТ
РемцосРАТ Видео
Савет: Укључите звук и гледајте видео у режиму целог екрана .
Детаљи о систему датотека
# | Назив документа | МД5 |
Детецтионс
Детекције: Број потврђених и сумњивих случајева одређене претње откривених на зараженим рачунарима према извештају СпиХунтер.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Детаљи регистра
Именици
РемцосРАТ може да креира следећи директоријум или директоријуме:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |