RemcosRAT
Scorekort för hot
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards är utvärderingsrapporter för olika skadliga hot som har samlats in och analyserats av vårt forskarteam. EnigmaSoft Threat Scorecards utvärderar och rangordnar hot med hjälp av flera mätvärden inklusive verkliga och potentiella riskfaktorer, trender, frekvens, prevalens och persistens. EnigmaSoft Threat Scorecards uppdateras regelbundet baserat på våra forskningsdata och mätvärden och är användbara för ett brett spektrum av datoranvändare, från slutanvändare som söker lösningar för att ta bort skadlig programvara från sina system till säkerhetsexperter som analyserar hot.
EnigmaSoft Threat Scorecards visar en mängd användbar information, inklusive:
Ranking: Rangordningen av ett visst hot i EnigmaSofts hotdatabas.
Allvarlighetsnivå: Den fastställda svårighetsgraden för ett objekt, representerad numeriskt, baserat på vår riskmodelleringsprocess och forskning, som förklaras i våra hotbedömningskriterier .
Infekterade datorer: Antalet bekräftade och misstänkta fall av ett visst hot som upptäckts på infekterade datorer som rapporterats av SpyHunter.
Se även Kriterier för hotbedömning .
Rankning: | 4,425 |
Hotnivå: | 80 % (Hög) |
Infekterade datorer: | 26,563 |
Först sett: | October 16, 2016 |
Senast sedd: | August 5, 2024 |
Operativsystem som påverkas: | Windows |
Remcos RAT (Remote Access Trojan) är en sofistikerad skadlig programvara designad för att infiltrera och kontrollera Windows-operativsystem. Utvecklat och sålt av ett tyskt företag vid namn Breaking Security som ett legitimt fjärrkontroll- och övervakningsverktyg, missbrukas Remcos ofta av cyberbrottslingar i skadliga syften. Den här artikeln fördjupar sig i egenskaperna, kapaciteten, effekterna och försvaret relaterade till Remcos RAT, såväl som nyliga anmärkningsvärda incidenter som involverar dess utplacering.
Innehållsförteckning
Installation och infektionsmetoder
Nätfiskeattacker
Remcos distribueras vanligtvis genom nätfiskeattacker, där intet ont anande användare luras att ladda ner och köra skadliga filer. Dessa nätfiskemeddelanden innehåller ofta:
Skadliga ZIP-filer förklädda som PDF-filer, som påstår sig vara fakturor eller beställningar.
Microsoft Office-dokument med inbäddade skadliga makron utformade för att distribuera skadlig programvara vid aktivering.
Undvikande tekniker
För att undvika upptäckt använder Remcos avancerade tekniker som:
- Processinjektion eller processhålning : Denna metod tillåter Remcos att köra inom en legitim process, och därigenom undvika upptäckt av antivirusprogram.
- Beständighetsmekanismer : När det väl har installerats, säkerställer Remcos att det förblir aktivt genom att använda mekanismer som gör att det kan köras i bakgrunden, dold för användaren.
Kommando-och-kontroll (C2) Infrastruktur
En kärnfunktion hos Remcos är dess Command-and-Control-funktionalitet (C2). Skadlig programvara krypterar sin kommunikationstrafik på väg till C2-servern, vilket gör det svårt för nätverkssäkerhetsåtgärder att fånga upp och analysera data. Remcos använder distribuerad DNS (DDNS) för att skapa flera domäner för sina C2-servrar. Den här tekniken hjälper skadlig programvara att undvika säkerhetsskydd som är beroende av att filtrera trafik till kända skadliga domäner, vilket förbättrar dess motståndskraft och uthållighet.
Funktioner hos Remcos RAT
Remcos RAT är ett kraftfullt verktyg som erbjuder många möjligheter till angripare, vilket möjliggör omfattande kontroll och exploatering av infekterade system:
Privilegium höjd
Remcos kan få administratörsbehörigheter på ett infekterat system, vilket gör att det kan:
- Inaktivera användarkontokontroll (UAC).
- Utför olika skadliga funktioner med förhöjda privilegier.
Försvarsflykt
Genom att använda processinjektion bäddar Remcos in sig i legitima processer, vilket gör det utmanande för antivirusprogram att upptäcka. Dessutom döljer dess förmåga att köra i bakgrunden sin närvaro ytterligare för användarna.
Datainsamling
Remcos är skicklig på att samla in ett brett utbud av data från det infekterade systemet, inklusive:
- Tangenttryckningar
- Skärmdumpar
- Ljudinspelningar
- Urklipp innehåll
- Lagrade lösenord
Effekten av en Remcos RAT-infektion
Konsekvenserna av en Remcos-infektion är betydande och mångfacetterade och påverkar både enskilda användare och organisationer:
- Kontoövertagande
Genom att logga tangenttryckningar och stjäla lösenord gör Remcos det möjligt för angripare att ta över onlinekonton och andra system, vilket kan leda till ytterligare datastöld och obehörig åtkomst inom en organisations nätverk. - Datastöld
Remcos kan exfiltrera känslig data från det infekterade systemet. Detta kan resultera i dataintrång, antingen direkt från den komprometterade datorn eller från andra system som nås med stulna referenser. - Uppföljande infektioner
En infektion med Remcos kan fungera som en gateway för att distribuera ytterligare malware-varianter. Detta ökar risken för efterföljande attacker, såsom ransomware-infektioner, vilket ytterligare förvärrar skadan.
Skydd mot Remcos skadlig programvara
Organisationer kan anta flera strategier och bästa praxis för att skydda mot Remcos-infektioner:
E-postskanning
Implementering av e-postskanningslösningar som identifierar och blockerar misstänkta e-postmeddelanden kan förhindra den första leveransen av Remcos till användarnas inkorgar.
Domänanalys
Övervakning och analys av domänposter som begärs av endpoints kan hjälpa till att identifiera och blockera unga eller misstänkta domäner som kan vara associerade med Remcos.
Nätverkstrafikanalys
Remcos-varianter som krypterar sin trafik med icke-standardiserade protokoll kan upptäckas genom nätverkstrafikanalys, vilket kan flagga ovanliga trafikmönster för vidare undersökning.
Endpoint Security
Att distribuera slutpunktssäkerhetslösningar med förmågan att upptäcka och åtgärda Remcos-infektioner är avgörande. Dessa lösningar förlitar sig på etablerade indikatorer på kompromiss för att identifiera och neutralisera skadlig programvara.
Utnyttjande av CrowdStrike-avbrott
I en nyligen inträffad incident utnyttjade cyberkriminella ett världsomspännande avbrott hos cybersäkerhetsföretaget CrowdStrike för att distribuera Remcos RAT. Angriparna riktade sig mot CrowdStrike-kunder i Latinamerika genom att distribuera en ZIP-arkivfil med namnet 'crowdstrike-hotfix.zip.' Den här filen innehöll en skadlig programvara, Hijack Loader, som sedan lanserade Remcos RAT-nyttolasten.
ZIP-arkivet inkluderade en textfil ('instrucciones.txt') med spanskspråkiga instruktioner, som uppmanade mål att köra en körbar fil ('setup.exe') för att påstås återhämta sig från problemet. Användningen av spanska filnamn och instruktioner indikerar en riktad kampanj riktad mot Latinamerika-baserade CrowdStrike-kunder.
Slutsats
Remcos RAT är en potent och mångsidig skadlig programvara som utgör ett betydande hot mot Windows-system. Dess förmåga att undvika upptäckt, få förhöjda privilegier och samla in omfattande data gör det till ett favoritverktyg bland cyberbrottslingar. Genom att förstå dess implementeringsmetoder, möjligheter och effekter kan organisationer bättre försvara sig mot denna skadliga programvara. Att implementera robusta säkerhetsåtgärder och vara vaksam mot nätfiskeattacker är avgörande steg för att minska risken som Remcos RAT utgör.
SpyHunter upptäcker och tar bort RemcosRAT
RemcosRAT Video
Tips: Slå PÅ ljudet och titta på videon i helskärmsläge .
Filsysteminformation
# | Filnamn | MD5 |
Detektioner
Detektioner: Antalet bekräftade och misstänkta fall av ett särskilt hot som upptäckts på infekterade datorer enligt rapporter från SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Registerinformation
Kataloger
RemcosRAT kan skapa följande katalog eller kataloger:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |