RemcosRAT
Thẻ điểm Đe doạ
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards là các báo cáo đánh giá các mối đe dọa phần mềm độc hại khác nhau đã được nhóm nghiên cứu của chúng tôi thu thập và phân tích. EnigmaSoft Threat Scorecards đánh giá và xếp hạng các mối đe dọa bằng cách sử dụng một số chỉ số bao gồm các yếu tố rủi ro trong thế giới thực và tiềm ẩn, xu hướng, tần suất, mức độ phổ biến và tính lâu dài. EnigmaSoft Threat Scorecards được cập nhật thường xuyên dựa trên dữ liệu và chỉ số nghiên cứu của chúng tôi và rất hữu ích cho nhiều người dùng máy tính, từ người dùng cuối đang tìm kiếm giải pháp loại bỏ phần mềm độc hại khỏi hệ thống của họ cho đến các chuyên gia bảo mật đang phân tích các mối đe dọa.
EnigmaSoft Threat Scorecards hiển thị nhiều thông tin hữu ích, bao gồm:
Xếp hạng: Xếp hạng của một mối đe dọa cụ thể trong Cơ sở dữ liệu về Mối đe dọa của EnigmaSoft.
Mức độ nghiêm trọng: Mức độ nghiêm trọng được xác định của một đối tượng, được thể hiện bằng số, dựa trên quy trình và nghiên cứu lập mô hình rủi ro của chúng tôi, như được giải thích trong Tiêu chí đánh giá mối đe dọa của chúng tôi.
Máy tính bị nhiễm: Số trường hợp được xác nhận và nghi ngờ về một mối đe dọa cụ thể được phát hiện trên các máy tính bị nhiễm theo báo cáo của SpyHunter.
Xem thêm Tiêu chí Đánh giá Mối đe dọa .
Xếp hạng: | 4,425 |
Mức độ nguy hiểm: | 80 % (Cao) |
Máy tính bị nhiễm: | 26,563 |
Lần đầu tiên nhìn thấy: | October 16, 2016 |
Nhìn thấy lần cuối: | August 5, 2024 |
(Các) hệ điều hành bị ảnh hưởng: | Windows |
Remcos RAT (Trojan truy cập từ xa) là một phần mềm độc hại tinh vi được thiết kế để xâm nhập và kiểm soát hệ điều hành Windows. Được phát triển và bán bởi một công ty Đức có tên Breaking Security như một công cụ giám sát và điều khiển từ xa hợp pháp, Remcos thường xuyên bị tội phạm mạng lạm dụng cho các mục đích xấu. Bài viết này đi sâu vào các đặc điểm, khả năng, tác động và khả năng phòng thủ liên quan đến Remcos RAT, cũng như các sự cố đáng chú ý gần đây liên quan đến việc triển khai nó.
Mục lục
Phương pháp triển khai và lây nhiễm
Tấn công lừa đảo
Remcos thường được phân phối thông qua các cuộc tấn công lừa đảo, trong đó người dùng không nghi ngờ sẽ bị lừa tải xuống và thực thi các tệp độc hại. Những email lừa đảo này thường chứa:
Các tệp ZIP độc hại được ngụy trang dưới dạng PDF, tự xưng là hóa đơn hoặc đơn đặt hàng.
Tài liệu Microsoft Office có chứa macro độc hại được thiết kế để triển khai phần mềm độc hại khi kích hoạt.
Kỹ thuật né tránh
Để tránh bị phát hiện, Remcos sử dụng các kỹ thuật tiên tiến như:
- Tiêm quy trình hoặc Làm rỗng quy trình : Phương pháp này cho phép Remcos thực thi trong một quy trình hợp pháp, do đó tránh bị phần mềm chống vi-rút phát hiện.
- Cơ chế liên tục : Sau khi được cài đặt, Remcos đảm bảo nó vẫn hoạt động bằng cách sử dụng các cơ chế cho phép nó chạy ở chế độ nền, ẩn với người dùng.
Cơ sở hạ tầng chỉ huy và kiểm soát (C2)
Khả năng cốt lõi của Remcos là chức năng Ra lệnh và Kiểm soát (C2). Phần mềm độc hại mã hóa lưu lượng liên lạc của nó trên đường đến máy chủ C2, khiến các biện pháp an ninh mạng gặp khó khăn trong việc chặn và phân tích dữ liệu. Remcos sử dụng DNS phân tán (DDNS) để tạo nhiều miền cho máy chủ C2 của mình. Kỹ thuật này giúp phần mềm độc hại trốn tránh các biện pháp bảo vệ an ninh dựa vào việc lọc lưu lượng truy cập đến các miền độc hại đã biết, tăng cường khả năng phục hồi và tính bền bỉ của nó.
Khả năng của Remcos RAT
Remcos RAT là một công cụ mạnh mẽ cung cấp nhiều khả năng cho kẻ tấn công, cho phép kiểm soát và khai thác rộng rãi các hệ thống bị nhiễm:
Nâng cao đặc quyền
Remcos có thể giành được quyền Quản trị viên trên hệ thống bị nhiễm, cho phép nó:
- Vô hiệu hóa Kiểm soát tài khoản người dùng (UAC).
- Thực thi các chức năng độc hại khác nhau với các đặc quyền nâng cao.
Phòng thủ né tránh
Bằng cách sử dụng tính năng chèn quy trình, Remcos tự nhúng vào các quy trình hợp pháp, khiến phần mềm chống vi-rút khó phát hiện. Ngoài ra, khả năng chạy ở chế độ nền của nó càng che giấu sự hiện diện của nó với người dùng.
Thu thập dữ liệu
Remcos rất giỏi trong việc thu thập nhiều loại dữ liệu từ hệ thống bị nhiễm, bao gồm:
- Tổ hợp phím
- Ảnh chụp màn hình
- Bản ghi âm
- Nội dung bảng nhớ tạm
- Mật khẩu được lưu trữ
Tác động của việc nhiễm RAT Remcos
Hậu quả của việc lây nhiễm Remcos là rất đáng kể và nhiều mặt, ảnh hưởng đến cả người dùng cá nhân và tổ chức:
- Tiếp quản tài khoản
Bằng cách ghi lại các lần gõ phím và đánh cắp mật khẩu, Remcos cho phép kẻ tấn công chiếm đoạt các tài khoản trực tuyến và các hệ thống khác, có khả năng dẫn đến hành vi trộm cắp dữ liệu và truy cập trái phép vào mạng của tổ chức. - Trộm cắp dữ liệu
Remcos có khả năng lọc dữ liệu nhạy cảm khỏi hệ thống bị nhiễm. Điều này có thể dẫn đến vi phạm dữ liệu, trực tiếp từ máy tính bị xâm nhập hoặc từ các hệ thống khác được truy cập bằng thông tin đăng nhập bị đánh cắp. - Nhiễm trùng tiếp theo
Việc lây nhiễm Remcos có thể đóng vai trò là cửa ngõ để triển khai các biến thể phần mềm độc hại bổ sung. Điều này làm tăng nguy cơ xảy ra các cuộc tấn công tiếp theo, chẳng hạn như lây nhiễm ransomware, khiến thiệt hại càng trầm trọng hơn.
Bảo vệ chống lại phần mềm độc hại Remcos
Các tổ chức có thể áp dụng một số chiến lược và phương pháp hay nhất để bảo vệ khỏi lây nhiễm Remcos:
Quét email
Việc triển khai các giải pháp quét email để xác định và chặn các email đáng ngờ có thể ngăn việc gửi Remcos ban đầu tới hộp thư đến của người dùng.
Phân tích tên miền
Việc giám sát và phân tích các bản ghi miền do điểm cuối yêu cầu có thể giúp xác định và chặn các miền non trẻ hoặc đáng ngờ có thể liên quan đến Remcos.
Phân tích lưu lượng mạng
Các biến thể Remcos mã hóa lưu lượng truy cập bằng giao thức không chuẩn có thể được phát hiện thông qua phân tích lưu lượng mạng, từ đó có thể gắn cờ các mẫu lưu lượng truy cập bất thường để điều tra thêm.
Bảo mật điểm cuối
Việc triển khai các giải pháp bảo mật điểm cuối với khả năng phát hiện và khắc phục tình trạng lây nhiễm Remcos là rất quan trọng. Các giải pháp này dựa trên các chỉ số xâm phạm đã được thiết lập để xác định và vô hiệu hóa phần mềm độc hại.
Khai thác sự cố ngừng hoạt động của CrowdStrike
Trong một sự cố gần đây, tội phạm mạng đã lợi dụng tình trạng ngừng hoạt động của công ty an ninh mạng CrowdStrike trên toàn thế giới để phân phối Remcos RAT. Những kẻ tấn công nhắm mục tiêu vào khách hàng CrowdStrike ở Mỹ Latinh bằng cách phân phối tệp lưu trữ ZIP có tên 'crowdstrike-hotfix.zip.' Tệp này chứa trình tải phần mềm độc hại, Hijack Loader, sau đó khởi chạy tải trọng Remcos RAT.
Kho lưu trữ ZIP bao gồm một tệp văn bản ('instrucciones.txt') với các hướng dẫn bằng tiếng Tây Ban Nha, thúc giục các mục tiêu chạy tệp thực thi ('setup.exe') để cố tình khắc phục sự cố. Việc sử dụng tên tệp và hướng dẫn bằng tiếng Tây Ban Nha cho thấy chiến dịch được nhắm mục tiêu nhắm vào khách hàng CrowdStrike có trụ sở tại Châu Mỹ Latinh.
Phần kết luận
Remcos RAT là một phần mềm độc hại mạnh và linh hoạt, gây ra mối đe dọa đáng kể cho các hệ thống Windows. Khả năng tránh bị phát hiện, giành được các đặc quyền nâng cao và thu thập dữ liệu mở rộng khiến nó trở thành một công cụ được tội phạm mạng ưa chuộng. Bằng cách hiểu rõ các phương pháp triển khai, khả năng và tác động của nó, các tổ chức có thể bảo vệ tốt hơn trước phần mềm độc hại này. Triển khai các biện pháp bảo mật mạnh mẽ và luôn cảnh giác trước các cuộc tấn công lừa đảo là những bước quan trọng nhằm giảm thiểu rủi ro do Remcos RAT gây ra.
SpyHunter phát hiện và loại bỏ RemcosRAT
RemcosRAT Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .
Chi tiết hệ thống tệp
# | Tên tệp | MD5 |
phát hiện
Phát hiện: Số trường hợp được xác nhận và nghi ngờ về một mối đe dọa cụ thể được phát hiện trên các máy tính bị nhiễm theo báo cáo của SpyHunter.
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
Chi tiết đăng ký
thư mục
RemcosRAT có thể tạo thư mục hoặc thư mục sau:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |