RemcosRAT
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Sıralama: Belirli bir tehdidin EnigmaSoft'un Tehdit Veritabanındaki sıralaması.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
Sıralama: | 4,425 |
Tehlike seviyesi: | 80 % (Yüksek) |
Etkilenen Bilgisayarlar: | 26,563 |
İlk görüş: | October 16, 2016 |
Son görülen: | August 5, 2024 |
Etkilenen İşletim Sistemleri: | Windows |
Remcos RAT (Uzaktan Erişim Truva Atı), Windows işletim sistemlerine sızmak ve bunları kontrol etmek için tasarlanmış gelişmiş bir kötü amaçlı yazılımdır. Breaking Security adlı bir Alman şirketi tarafından meşru bir uzaktan kontrol ve gözetim aracı olarak geliştirilen ve satılan Remcos, siber suçlular tarafından kötü niyetli amaçlarla sıklıkla istismar ediliyor. Bu makalede, Remcos RAT'ın özellikleri, yetenekleri, etkileri ve savunmalarının yanı sıra, onun konuşlandırılmasıyla ilgili yakın zamanda yaşanan önemli olaylar ele alınmaktadır.
İçindekiler
Dağıtım ve Bulaşma Yöntemleri
Kimlik Avı Saldırıları
Remcos genellikle kimlik avı saldırıları yoluyla dağıtılır; burada şüphelenmeyen kullanıcılar, kötü amaçlı dosyaları indirmeleri ve yürütmeleri için kandırılır. Bu kimlik avı e-postaları genellikle şunları içerir:
Fatura veya sipariş olduklarını iddia eden, PDF görünümüne sahip kötü amaçlı ZIP dosyaları.
Etkinleştirme sonrasında kötü amaçlı yazılımı dağıtmak üzere tasarlanmış, yerleşik kötü amaçlı makrolar içeren Microsoft Office belgeleri.
Kaçınma Teknikleri
Remcos, tespit edilmekten kaçınmak için aşağıdaki gibi gelişmiş teknikler kullanır:
- İşlem Enjeksiyonu veya İşlem Boşaltma : Bu yöntem, Remcos'un meşru bir işlem içinde yürütülmesine olanak tanır ve böylece antivirüs yazılımı tarafından algılanmayı önler.
- Kalıcılık Mekanizmaları : Remcos, kurulduktan sonra arka planda kullanıcıdan gizlenerek çalışmasına izin veren mekanizmalar kullanarak aktif kalmasını sağlar.
Komuta ve Kontrol (C2) Altyapısı
Remcos'un temel yeteneği Komuta ve Kontrol (C2) işlevselliğidir. Kötü amaçlı yazılım, C2 sunucusuna giderken iletişim trafiğini şifreleyerek ağ güvenlik önlemlerinin verilere müdahale etmesini ve analiz etmesini zorlaştırıyor. Remcos, C2 sunucuları için birden fazla alan oluşturmak amacıyla Dağıtılmış DNS (DDNS) kullanır. Bu teknik, kötü amaçlı yazılımın, bilinen kötü amaçlı alanlara giden trafiği filtrelemeye dayanan güvenlik korumalarından kaçmasına yardımcı olarak esnekliğini ve kalıcılığını artırır.
Remcos RAT'ın yetenekleri
Remcos RAT, saldırganlara çok sayıda yetenek sunan, virüslü sistemlerin kapsamlı kontrolünü ve istismarını mümkün kılan güçlü bir araçtır:
Ayrıcalık Yükselişi
Remcos, virüs bulaşmış bir sistemde Yönetici izinleri kazanarak şunları yapabilir:
- Kullanıcı Hesabı Denetimini (UAC) devre dışı bırakın.
- Yükseltilmiş ayrıcalıklarla çeşitli kötü amaçlı işlevleri yürütün.
Savunmadan Kaçınma
Remcos, süreç enjeksiyonunu kullanarak kendisini meşru süreçlerin içine yerleştirir ve antivirüs yazılımının algılamasını zorlaştırır. Ek olarak, arka planda çalışabilme özelliği, varlığını kullanıcılardan daha da gizler.
Veri toplama
Remcos, virüslü sistemden aşağıdakiler de dahil olmak üzere geniş bir yelpazedeki verileri toplama konusunda uzmandır:
- Tuş vuruşları
- Ekran görüntüleri
- Ses kayıtları
- Pano içeriği
- Saklanan şifreler
Remcos RAT Enfeksiyonunun Etkisi
Remcos enfeksiyonunun sonuçları hem bireysel kullanıcıları hem de kuruluşları etkileyen önemli ve çok yönlüdür:
- Hesap Devralma
Remcos, tuş vuruşlarını günlüğe kaydederek ve şifreleri çalarak saldırganların çevrimiçi hesapları ve diğer sistemleri ele geçirmesine olanak tanır ve potansiyel olarak daha fazla veri hırsızlığına ve bir kuruluşun ağına yetkisiz erişime yol açabilir. - Veri hırsızlığı
Remcos, virüslü sistemden hassas verileri sızdırma yeteneğine sahiptir. Bu, doğrudan ele geçirilen bilgisayardan veya çalıntı kimlik bilgileri kullanılarak erişilen diğer sistemlerden veri ihlallerine neden olabilir. - Devam Eden Enfeksiyonlar
Remcos'un bulaşması, ek kötü amaçlı yazılım türlerinin dağıtılması için bir ağ geçidi görevi görebilir. Bu, fidye yazılımı bulaşması gibi sonraki saldırı riskini artırarak hasarı daha da kötüleştirir.
Remcos Kötü Amaçlı Yazılımlara Karşı Koruma
Kuruluşlar Remcos enfeksiyonlarına karşı korunmak için çeşitli stratejiler ve en iyi uygulamaları benimseyebilir:
E-posta Taraması
Şüpheli e-postaları tespit eden ve engelleyen e-posta tarama çözümlerinin uygulanması, Remcos'un kullanıcıların gelen kutularına ilk teslimini engelleyebilir.
Etki Alanı Analizi
Uç noktalar tarafından talep edilen alan adı kayıtlarının izlenmesi ve analiz edilmesi, Remcos ile ilişkili olabilecek genç veya şüpheli alan adlarının belirlenmesine ve engellenmesine yardımcı olabilir.
Ağ Trafiği Analizi
Trafiği standart dışı protokoller kullanarak şifreleyen Remcos çeşitleri, daha fazla araştırma için olağandışı trafik modellerini işaretleyebilen ağ trafiği analizi yoluyla tespit edilebilir.
Uç Nokta Güvenliği
Remcos enfeksiyonlarını tespit etme ve iyileştirme yeteneğine sahip uç nokta güvenlik çözümlerinin dağıtılması çok önemlidir. Bu çözümler, kötü amaçlı yazılımı tanımlamak ve etkisiz hale getirmek için belirlenmiş risk göstergelerine dayanır.
CrowdStrike Kesintisinin İstismarı
Yakın zamanda yaşanan bir olayda siber suçlular, Remcos RAT'ı dağıtmak için siber güvenlik firması CrowdStrike'ın dünya çapındaki kesintisinden yararlandı. Saldırganlar, 'crowdstrike-hotfix.zip' adlı bir ZIP arşiv dosyası dağıtarak Latin Amerika'daki CrowdStrike müşterilerini hedef aldı. Bu dosya, daha sonra Remcos RAT yükünü başlatan bir kötü amaçlı yazılım yükleyicisi olan Hijack Loader'ı içeriyordu.
ZIP arşivi, İspanyolca talimatlar içeren bir metin dosyası ('instrucciones.txt') içeriyordu ve hedefleri, iddiaya göre sorunu çözmek için yürütülebilir bir dosyayı ('setup.exe') çalıştırmaya teşvik ediyordu. İspanyolca dosya adlarının ve talimatların kullanılması, Latin Amerika merkezli CrowdStrike müşterilerini hedefleyen hedefli bir kampanyaya işaret ediyor.
Çözüm
Remcos RAT, Windows sistemleri için önemli bir tehdit oluşturan güçlü ve çok yönlü bir kötü amaçlı yazılımdır. Tespitten kaçma, yüksek ayrıcalıklar elde etme ve kapsamlı veri toplama yeteneği, onu siber suçlular arasında tercih edilen bir araç haline getiriyor. Kuruluşlar, dağıtım yöntemlerini, yeteneklerini ve etkilerini anlayarak bu kötü amaçlı yazılıma karşı daha iyi savunma yapabilir. Sağlam güvenlik önlemleri uygulamak ve kimlik avı saldırılarına karşı tetikte olmak, Remcos RAT'ın oluşturduğu riski azaltmada önemli adımlardır.
SpyHunter RemcosRAT'u Algılar ve Kaldırır
RemcosRAT Video
İpucu: Sesi AÇIN ve videoyu Tam Ekran modunda izleyin .
Dosya Sistemi Detayları
# | Dosya adı | MD5 |
Tespitler
Tespitler: SpyHunter tarafından bildirildiği üzere, virüs bulaşmış bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Kayıt defteri detayları
dizinler
RemcosRAT, aşağıdaki dizini veya dizinleri oluşturabilir:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |