РемцосРАТ

Тхреат Сцорецард

Рангирање: 4,425
Ниво претње: 80 % (Високо)
Заражени рачунари: 26,563
Први пут виђено: October 16, 2016
Последњи пут виђен: August 5, 2024
ОС на које утиче: Windows

Ремцос РАТ (Ремоте Аццесс Тројан) је софистицирани малвер дизајниран да се инфилтрира и контролише Виндовс оперативне системе. Развијен и продат од стране немачке компаније Бреакинг Сецурити као легитиман алат за даљинско управљање и надзор, сајбер криминалци често злоупотребљавају Ремцос у злонамерне сврхе. Овај чланак се бави карактеристикама, могућностима, утицајима и одбранама у вези са Ремцос РАТ, као и недавним значајним инцидентима који укључују његову примену.

Методе примене и инфекције

Пхисхинг Аттацкс
Ремцос се обично дистрибуира путем пхисхинг напада, при чему су несуђени корисници преварени да преузму и изврше злонамерне датотеке. Ове е-поруке за „пецање“ често садрже:

Злонамерне ЗИП датотеке прерушене у ПДФ-ове, за које се тврди да су фактуре или поруџбине.
Мицрософт Оффице документи са уграђеним злонамерним макроима дизајнираним за примену малвера након активације.

Евасион Тецхникуес
Да би избегао откривање, Ремцос користи напредне технике као што су:

  • Процес Ињецтион или Процесс Холловинг : Овај метод омогућава Ремцос-у да се изврши у оквиру легитимног процеса, чиме се избегава откривање од стране антивирусног софтвера.
  • Механизми постојаности : Једном инсталиран, Ремцос осигурава да остане активан користећи механизме који му омогућавају да ради у позадини, скривен од корисника.

Командно-контролна (Ц2) инфраструктура

Основна способност Ремцос-а је његова функција Цомманд-анд-Цонтрол (Ц2). Малвер шифрује свој комуникациони саобраћај на путу до Ц2 сервера, што отежава мере безбедности мреже да пресретну и анализирају податке. Ремцос користи дистрибуирани ДНС (ДДНС) за креирање више домена за своје Ц2 сервере. Ова техника помаже малверу да избегне безбедносне заштите које се ослањају на филтрирање саобраћаја до познатих злонамерних домена, побољшавајући његову отпорност и постојаност.

Могућности Ремцос РАТ

Ремцос РАТ је моћан алат који нападачима нуди бројне могућности, омогућавајући опсежну контролу и експлоатацију заражених система:

Привилеге Елеватион
Ремцос може добити администраторске дозволе на зараженом систему, омогућавајући му да:

  • Онемогућите контролу корисничког налога (УАЦ).
  • Извршава различите злонамерне функције са повишеним привилегијама.

Дефенсе Евасион
Коришћењем убризгавања процеса, Ремцос се уграђује у легитимне процесе, што га чини изазовним за антивирусни софтвер да открије. Поред тога, његова способност да ради у позадини додатно прикрива своје присуство од корисника.

Прикупљање података

Ремцос је вешт у прикупљању широког спектра података из зараженог система, укључујући:

  • Тастери
  • Снимци екрана
  • Аудио снимци
  • Цлипбоард цонтентс
  • Сачуване лозинке

Утицај Ремцос РАТ инфекције

Последице Ремцос инфекције су значајне и вишеструке, утичући и на појединачне кориснике и на организације:

  • Преузимање налога
    Евидентирањем притисака на тастере и крађом лозинки, Ремцос омогућава нападачима да преузму онлајн налоге и друге системе, што потенцијално доводи до даље крађе података и неовлашћеног приступа унутар мреже организације.
  • Крађа података
    Ремцос је способан да ексфилтрира осетљиве податке из зараженог система. Ово може довести до кршења података, било директно са компромитованог рачунара или из других система којима се приступа коришћењем украдених акредитива.
  • Наредне инфекције
    Инфекција са Ремцос-ом може послужити као капија за примену додатних варијанти малвера. Ово повећава ризик од накнадних напада, као што су инфекције рансомвером, што додатно погоршава штету.

Заштита од Ремцос малвера

Организације могу усвојити неколико стратегија и најбољих пракси за заштиту од Ремцос инфекција:

Скенирање е-поште
Примена решења за скенирање е-поште која идентификују и блокирају сумњиве е-поруке може спречити почетну испоруку Ремцос-а у пријемно сандуче корисника.

Анализа домена
Надгледање и анализа записа домена које захтевају крајње тачке може помоћи у идентификацији и блокирању младих или сумњивих домена који могу бити повезани са Ремцос-ом.

Анализа мрежног саобраћаја
Ремцос варијанте које шифрују свој саобраћај користећи нестандардне протоколе могу се открити кроз анализу мрежног саобраћаја, што може означити необичне обрасце саобраћаја за даљу истрагу.

Ендпоинт Сецурити
Примена безбедносних решења крајњих тачака са могућношћу откривања и отклањања Ремцос инфекција је кључна. Ова решења се ослањају на утврђене индикаторе компромиса за идентификацију и неутрализацију малвера.

Искоришћавање прекида рада ЦровдСтрике

У недавном инциденту, сајбер криминалци су искористили прекид рада компаније за сајбер безбедност ЦровдСтрике да дистрибуирају Ремцос РАТ. Нападачи су циљали на клијенте ЦровдСтрике у Латинској Америци тако што су дистрибуирали ЗИП архивску датотеку под називом „цровдстрике-хотфик.зип“. Ова датотека је садржала учитавач малвера, Хијацк Лоадер, који је касније покренуо Ремцос РАТ корисни терет.

ЗИП архива је укључивала текстуалну датотеку ('инструцционес.ткт') са упутствима на шпанском језику, позивајући мете да покрећу извршну датотеку ('сетуп.еке') како би се наводно опоравили од проблема. Употреба шпанских имена датотека и упутстава указује на циљану кампању усмерену на клијенте ЦровдСтрике из Латинске Америке.

Закључак

Ремцос РАТ је моћан и свестран малвер који представља значајну претњу за Виндовс системе. Његова способност да избегне откривање, стекне повишене привилегије и прикупи обимне податке чини га омиљеним алатом међу сајбер криминалцима. Разумевањем његових метода примене, могућности и утицаја, организације се могу боље одбранити од овог злонамерног софтвера. Спровођење снажних безбедносних мера и опрез против пхисхинг напада су кључни кораци у ублажавању ризика који представља Ремцос РАТ.

СпиХунтер открива и уклања РемцосРАТ

РемцосРАТ Видео

Савет: Укључите звук и гледајте видео у режиму целог екрана .

Детаљи о систему датотека

РемцосРАТ може да креира следеће датотеке:
# Назив документа МД5 Детецтионс
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Детаљи регистра

РемцосРАТ може да креира следеће ставке регистра или уносе у регистру:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Именици

РемцосРАТ може да креира следећи директоријум или директоријуме:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

У тренду

Најгледанији

Учитавање...