RemcosRAT

Tehdit Puan Kartı

Sıralama: 4,425
Tehlike seviyesi: 80 % (Yüksek)
Etkilenen Bilgisayarlar: 26,563
İlk görüş: October 16, 2016
Son görülen: August 5, 2024
Etkilenen İşletim Sistemleri: Windows

Remcos RAT (Uzaktan Erişim Truva Atı), Windows işletim sistemlerine sızmak ve bunları kontrol etmek için tasarlanmış gelişmiş bir kötü amaçlı yazılımdır. Breaking Security adlı bir Alman şirketi tarafından meşru bir uzaktan kontrol ve gözetim aracı olarak geliştirilen ve satılan Remcos, siber suçlular tarafından kötü niyetli amaçlarla sıklıkla istismar ediliyor. Bu makalede, Remcos RAT'ın özellikleri, yetenekleri, etkileri ve savunmalarının yanı sıra, onun konuşlandırılmasıyla ilgili yakın zamanda yaşanan önemli olaylar ele alınmaktadır.

Dağıtım ve Bulaşma Yöntemleri

Kimlik Avı Saldırıları
Remcos genellikle kimlik avı saldırıları yoluyla dağıtılır; burada şüphelenmeyen kullanıcılar, kötü amaçlı dosyaları indirmeleri ve yürütmeleri için kandırılır. Bu kimlik avı e-postaları genellikle şunları içerir:

Fatura veya sipariş olduklarını iddia eden, PDF görünümüne sahip kötü amaçlı ZIP dosyaları.
Etkinleştirme sonrasında kötü amaçlı yazılımı dağıtmak üzere tasarlanmış, yerleşik kötü amaçlı makrolar içeren Microsoft Office belgeleri.

Kaçınma Teknikleri
Remcos, tespit edilmekten kaçınmak için aşağıdaki gibi gelişmiş teknikler kullanır:

  • İşlem Enjeksiyonu veya İşlem Boşaltma : Bu yöntem, Remcos'un meşru bir işlem içinde yürütülmesine olanak tanır ve böylece antivirüs yazılımı tarafından algılanmayı önler.
  • Kalıcılık Mekanizmaları : Remcos, kurulduktan sonra arka planda kullanıcıdan gizlenerek çalışmasına izin veren mekanizmalar kullanarak aktif kalmasını sağlar.

Komuta ve Kontrol (C2) Altyapısı

Remcos'un temel yeteneği Komuta ve Kontrol (C2) işlevselliğidir. Kötü amaçlı yazılım, C2 sunucusuna giderken iletişim trafiğini şifreleyerek ağ güvenlik önlemlerinin verilere müdahale etmesini ve analiz etmesini zorlaştırıyor. Remcos, C2 sunucuları için birden fazla alan oluşturmak amacıyla Dağıtılmış DNS (DDNS) kullanır. Bu teknik, kötü amaçlı yazılımın, bilinen kötü amaçlı alanlara giden trafiği filtrelemeye dayanan güvenlik korumalarından kaçmasına yardımcı olarak esnekliğini ve kalıcılığını artırır.

Remcos RAT'ın yetenekleri

Remcos RAT, saldırganlara çok sayıda yetenek sunan, virüslü sistemlerin kapsamlı kontrolünü ve istismarını mümkün kılan güçlü bir araçtır:

Ayrıcalık Yükselişi
Remcos, virüs bulaşmış bir sistemde Yönetici izinleri kazanarak şunları yapabilir:

  • Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakın.
  • Yükseltilmiş ayrıcalıklarla çeşitli kötü amaçlı işlevleri yürütün.

Savunmadan Kaçınma
Remcos, süreç enjeksiyonunu kullanarak kendisini meşru süreçlerin içine yerleştirir ve antivirüs yazılımının algılamasını zorlaştırır. Ek olarak, arka planda çalışabilme özelliği, varlığını kullanıcılardan daha da gizler.

Veri toplama

Remcos, virüslü sistemden aşağıdakiler de dahil olmak üzere geniş bir yelpazedeki verileri toplama konusunda uzmandır:

  • Tuş vuruşları
  • Ekran görüntüleri
  • Ses kayıtları
  • Pano içeriği
  • Saklanan şifreler

Remcos RAT Enfeksiyonunun Etkisi

Remcos enfeksiyonunun sonuçları hem bireysel kullanıcıları hem de kuruluşları etkileyen önemli ve çok yönlüdür:

  • Hesap Devralma
    Remcos, tuş vuruşlarını günlüğe kaydederek ve şifreleri çalarak saldırganların çevrimiçi hesapları ve diğer sistemleri ele geçirmesine olanak tanır ve potansiyel olarak daha fazla veri hırsızlığına ve bir kuruluşun ağına yetkisiz erişime yol açabilir.
  • Veri hırsızlığı
    Remcos, virüslü sistemden hassas verileri sızdırma yeteneğine sahiptir. Bu, doğrudan ele geçirilen bilgisayardan veya çalıntı kimlik bilgileri kullanılarak erişilen diğer sistemlerden veri ihlallerine neden olabilir.
  • Devam Eden Enfeksiyonlar
    Remcos'un bulaşması, ek kötü amaçlı yazılım türlerinin dağıtılması için bir ağ geçidi görevi görebilir. Bu, fidye yazılımı bulaşması gibi sonraki saldırı riskini artırarak hasarı daha da kötüleştirir.

Remcos Kötü Amaçlı Yazılımlara Karşı Koruma

Kuruluşlar Remcos enfeksiyonlarına karşı korunmak için çeşitli stratejiler ve en iyi uygulamaları benimseyebilir:

E-posta Taraması
Şüpheli e-postaları tespit eden ve engelleyen e-posta tarama çözümlerinin uygulanması, Remcos'un kullanıcıların gelen kutularına ilk teslimini engelleyebilir.

Etki Alanı Analizi
Uç noktalar tarafından talep edilen alan adı kayıtlarının izlenmesi ve analiz edilmesi, Remcos ile ilişkili olabilecek genç veya şüpheli alan adlarının belirlenmesine ve engellenmesine yardımcı olabilir.

Ağ Trafiği Analizi
Trafiği standart dışı protokoller kullanarak şifreleyen Remcos çeşitleri, daha fazla araştırma için olağandışı trafik modellerini işaretleyebilen ağ trafiği analizi yoluyla tespit edilebilir.

Uç Nokta Güvenliği
Remcos enfeksiyonlarını tespit etme ve iyileştirme yeteneğine sahip uç nokta güvenlik çözümlerinin dağıtılması çok önemlidir. Bu çözümler, kötü amaçlı yazılımı tanımlamak ve etkisiz hale getirmek için belirlenmiş risk göstergelerine dayanır.

CrowdStrike Kesintisinin İstismarı

Yakın zamanda yaşanan bir olayda siber suçlular, Remcos RAT'ı dağıtmak için siber güvenlik firması CrowdStrike'ın dünya çapındaki kesintisinden yararlandı. Saldırganlar, 'crowdstrike-hotfix.zip' adlı bir ZIP arşiv dosyası dağıtarak Latin Amerika'daki CrowdStrike müşterilerini hedef aldı. Bu dosya, daha sonra Remcos RAT yükünü başlatan bir kötü amaçlı yazılım yükleyicisi olan Hijack Loader'ı içeriyordu.

ZIP arşivi, İspanyolca talimatlar içeren bir metin dosyası ('instrucciones.txt') içeriyordu ve hedefleri, iddiaya göre sorunu çözmek için yürütülebilir bir dosyayı ('setup.exe') çalıştırmaya teşvik ediyordu. İspanyolca dosya adlarının ve talimatların kullanılması, Latin Amerika merkezli CrowdStrike müşterilerini hedefleyen hedefli bir kampanyaya işaret ediyor.

Çözüm

Remcos RAT, Windows sistemleri için önemli bir tehdit oluşturan güçlü ve çok yönlü bir kötü amaçlı yazılımdır. Tespitten kaçma, yüksek ayrıcalıklar elde etme ve kapsamlı veri toplama yeteneği, onu siber suçlular arasında tercih edilen bir araç haline getiriyor. Kuruluşlar, dağıtım yöntemlerini, yeteneklerini ve etkilerini anlayarak bu kötü amaçlı yazılıma karşı daha iyi savunma yapabilir. Sağlam güvenlik önlemleri uygulamak ve kimlik avı saldırılarına karşı tetikte olmak, Remcos RAT'ın oluşturduğu riski azaltmada önemli adımlardır.

SpyHunter RemcosRAT'u Algılar ve Kaldırır

RemcosRAT Video

İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .

Dosya Sistemi Detayları

RemcosRAT aşağıdaki dosyaları oluşturabilir:
# Dosya adı MD5 Tespitler
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Kayıt defteri detayları

RemcosRAT, aşağıdaki kayıt defteri girdisini veya kayıt defteri girdilerini oluşturabilir:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

dizinler

RemcosRAT, aşağıdaki dizini veya dizinleri oluşturabilir:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

trend

En çok görüntülenen

Yükleniyor...