RemcosRAT

Thẻ điểm Đe doạ

Xếp hạng: 4,425
Mức độ nguy hiểm: 80 % (Cao)
Máy tính bị nhiễm: 26,563
Lần đầu tiên nhìn thấy: October 16, 2016
Nhìn thấy lần cuối: August 5, 2024
(Các) hệ điều hành bị ảnh hưởng: Windows

Remcos RAT (Trojan truy cập từ xa) là một phần mềm độc hại tinh vi được thiết kế để xâm nhập và kiểm soát hệ điều hành Windows. Được phát triển và bán bởi một công ty Đức có tên Breaking Security như một công cụ giám sát và điều khiển từ xa hợp pháp, Remcos thường xuyên bị tội phạm mạng lạm dụng cho các mục đích xấu. Bài viết này đi sâu vào các đặc điểm, khả năng, tác động và khả năng phòng thủ liên quan đến Remcos RAT, cũng như các sự cố đáng chú ý gần đây liên quan đến việc triển khai nó.

Phương pháp triển khai và lây nhiễm

Tấn công lừa đảo
Remcos thường được phân phối thông qua các cuộc tấn công lừa đảo, trong đó người dùng không nghi ngờ sẽ bị lừa tải xuống và thực thi các tệp độc hại. Những email lừa đảo này thường chứa:

Các tệp ZIP độc hại được ngụy trang dưới dạng PDF, tự xưng là hóa đơn hoặc đơn đặt hàng.
Tài liệu Microsoft Office có chứa macro độc hại được thiết kế để triển khai phần mềm độc hại khi kích hoạt.

Kỹ thuật né tránh
Để tránh bị phát hiện, Remcos sử dụng các kỹ thuật tiên tiến như:

  • Tiêm quy trình hoặc Làm rỗng quy trình : Phương pháp này cho phép Remcos thực thi trong một quy trình hợp pháp, do đó tránh bị phần mềm chống vi-rút phát hiện.
  • Cơ chế liên tục : Sau khi được cài đặt, Remcos đảm bảo nó vẫn hoạt động bằng cách sử dụng các cơ chế cho phép nó chạy ở chế độ nền, ẩn với người dùng.

Cơ sở hạ tầng chỉ huy và kiểm soát (C2)

Khả năng cốt lõi của Remcos là chức năng Ra lệnh và Kiểm soát (C2). Phần mềm độc hại mã hóa lưu lượng liên lạc của nó trên đường đến máy chủ C2, khiến các biện pháp an ninh mạng gặp khó khăn trong việc chặn và phân tích dữ liệu. Remcos sử dụng DNS phân tán (DDNS) để tạo nhiều miền cho máy chủ C2 của mình. Kỹ thuật này giúp phần mềm độc hại trốn tránh các biện pháp bảo vệ an ninh dựa vào việc lọc lưu lượng truy cập đến các miền độc hại đã biết, tăng cường khả năng phục hồi và tính bền bỉ của nó.

Khả năng của Remcos RAT

Remcos RAT là một công cụ mạnh mẽ cung cấp nhiều khả năng cho kẻ tấn công, cho phép kiểm soát và khai thác rộng rãi các hệ thống bị nhiễm:

Nâng cao đặc quyền
Remcos có thể giành được quyền Quản trị viên trên hệ thống bị nhiễm, cho phép nó:

  • Vô hiệu hóa Kiểm soát tài khoản người dùng (UAC).
  • Thực thi các chức năng độc hại khác nhau với các đặc quyền nâng cao.

Phòng thủ né tránh
Bằng cách sử dụng tính năng chèn quy trình, Remcos tự nhúng vào các quy trình hợp pháp, khiến phần mềm chống vi-rút khó phát hiện. Ngoài ra, khả năng chạy ở chế độ nền của nó càng che giấu sự hiện diện của nó với người dùng.

Thu thập dữ liệu

Remcos rất giỏi trong việc thu thập nhiều loại dữ liệu từ hệ thống bị nhiễm, bao gồm:

  • Tổ hợp phím
  • Ảnh chụp màn hình
  • Bản ghi âm
  • Nội dung bảng nhớ tạm
  • Mật khẩu được lưu trữ

Tác động của việc nhiễm RAT Remcos

Hậu quả của việc lây nhiễm Remcos là rất đáng kể và nhiều mặt, ảnh hưởng đến cả người dùng cá nhân và tổ chức:

  • Tiếp quản tài khoản
    Bằng cách ghi lại các lần gõ phím và đánh cắp mật khẩu, Remcos cho phép kẻ tấn công chiếm đoạt các tài khoản trực tuyến và các hệ thống khác, có khả năng dẫn đến hành vi trộm cắp dữ liệu và truy cập trái phép vào mạng của tổ chức.
  • Trộm cắp dữ liệu
    Remcos có khả năng lọc dữ liệu nhạy cảm khỏi hệ thống bị nhiễm. Điều này có thể dẫn đến vi phạm dữ liệu, trực tiếp từ máy tính bị xâm nhập hoặc từ các hệ thống khác được truy cập bằng thông tin đăng nhập bị đánh cắp.
  • Nhiễm trùng tiếp theo
    Việc lây nhiễm Remcos có thể đóng vai trò là cửa ngõ để triển khai các biến thể phần mềm độc hại bổ sung. Điều này làm tăng nguy cơ xảy ra các cuộc tấn công tiếp theo, chẳng hạn như lây nhiễm ransomware, khiến thiệt hại càng trầm trọng hơn.

Bảo vệ chống lại phần mềm độc hại Remcos

Các tổ chức có thể áp dụng một số chiến lược và phương pháp hay nhất để bảo vệ khỏi lây nhiễm Remcos:

Quét email
Việc triển khai các giải pháp quét email để xác định và chặn các email đáng ngờ có thể ngăn việc gửi Remcos ban đầu tới hộp thư đến của người dùng.

Phân tích tên miền
Việc giám sát và phân tích các bản ghi miền do điểm cuối yêu cầu có thể giúp xác định và chặn các miền non trẻ hoặc đáng ngờ có thể liên quan đến Remcos.

Phân tích lưu lượng mạng
Các biến thể Remcos mã hóa lưu lượng truy cập bằng giao thức không chuẩn có thể được phát hiện thông qua phân tích lưu lượng mạng, từ đó có thể gắn cờ các mẫu lưu lượng truy cập bất thường để điều tra thêm.

Bảo mật điểm cuối
Việc triển khai các giải pháp bảo mật điểm cuối với khả năng phát hiện và khắc phục tình trạng lây nhiễm Remcos là rất quan trọng. Các giải pháp này dựa trên các chỉ số xâm phạm đã được thiết lập để xác định và vô hiệu hóa phần mềm độc hại.

Khai thác sự cố ngừng hoạt động của CrowdStrike

Trong một sự cố gần đây, tội phạm mạng đã lợi dụng tình trạng ngừng hoạt động của công ty an ninh mạng CrowdStrike trên toàn thế giới để phân phối Remcos RAT. Những kẻ tấn công nhắm mục tiêu vào khách hàng CrowdStrike ở Mỹ Latinh bằng cách phân phối tệp lưu trữ ZIP có tên 'crowdstrike-hotfix.zip.' Tệp này chứa trình tải phần mềm độc hại, Hijack Loader, sau đó khởi chạy tải trọng Remcos RAT.

Kho lưu trữ ZIP bao gồm một tệp văn bản ('instrucciones.txt') với các hướng dẫn bằng tiếng Tây Ban Nha, thúc giục các mục tiêu chạy tệp thực thi ('setup.exe') để cố tình khắc phục sự cố. Việc sử dụng tên tệp và hướng dẫn bằng tiếng Tây Ban Nha cho thấy chiến dịch được nhắm mục tiêu nhắm vào khách hàng CrowdStrike có trụ sở tại Châu Mỹ Latinh.

Phần kết luận

Remcos RAT là một phần mềm độc hại mạnh và linh hoạt, gây ra mối đe dọa đáng kể cho các hệ thống Windows. Khả năng tránh bị phát hiện, giành được các đặc quyền nâng cao và thu thập dữ liệu mở rộng khiến nó trở thành một công cụ được tội phạm mạng ưa chuộng. Bằng cách hiểu rõ các phương pháp triển khai, khả năng và tác động của nó, các tổ chức có thể bảo vệ tốt hơn trước phần mềm độc hại này. Triển khai các biện pháp bảo mật mạnh mẽ và luôn cảnh giác trước các cuộc tấn công lừa đảo là những bước quan trọng nhằm giảm thiểu rủi ro do Remcos RAT gây ra.

SpyHunter phát hiện và loại bỏ RemcosRAT

RemcosRAT Video

Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .

Chi tiết hệ thống tệp

RemcosRAT có thể tạo (các) tệp sau:
# Tên tệp MD5 phát hiện
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Chi tiết đăng ký

RemcosRAT có thể tạo mục đăng ký hoặc mục đăng ký sau:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

thư mục

RemcosRAT có thể tạo thư mục hoặc thư mục sau:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

xu hướng

Xem nhiều nhất

Đang tải...