威胁数据库 Trojans 雷姆科斯RAT

雷姆科斯RAT

威胁评分卡

排行: 4,425
威胁级别: 80 % (高的)
受感染的计算机: 26,563
初见: October 16, 2016
最后一次露面: August 5, 2024
受影响的操作系统: Windows

Remcos RAT(远程访问木马)是一种复杂的恶意软件,旨在渗透和控制 Windows 操作系统。Remcos 由一家名为 Breaking Security 的德国公司开发并销售,是一种合法的远程控制和监视工具,经常被网络犯罪分子滥用于恶意目的。本文深入探讨了 Remcos RAT 的特征、功能、影响和防御措施,以及最近涉及其部署的值得注意的事件。

部署和感染方法

网络钓鱼攻击
Remcos 通常通过网络钓鱼攻击进行传播,其中毫无戒心的用户被诱骗下载并执行恶意文件。这些网络钓鱼电子邮件通常包含:

恶意 ZIP 文件伪装成 PDF,声称是发票或订单。
嵌入恶意宏的 Microsoft Office 文档旨在在激活时部署恶意软件。

逃避技术
为了逃避检测,Remcos 采用了以下先进技术:

  • 进程注入或进程空心:此方法允许 Remcos 在合法进程内执行,从而避免被防病毒软件检测。
  • 持久机制:一旦安装,Remcos 会采用允许其在后台运行并对用户隐藏的机制来确保其保持活动状态。

指挥与控制 (C2) 基础设施

Remcos 的核心功能是其命令和控制 (C2) 功能。该恶意软件在前往 C2 服务器的途中加密其通信流量,使网络安全措施难以拦截和分析数据。Remcos 使用分布式 DNS (DDNS) 为其 C2 服务器创建多个域。这种技术可帮助恶意软件逃避依赖于过滤已知恶意域流量的安全保护,从而增强其弹性和持久性。

Remcos RAT 的功能

Remcos RAT 是一款功能强大的工具,它为攻击者提供了多种功能,可以对受感染的系统进行广泛的控制和利用:

权限提升
Remcos 可以获得受感染系统的管理员权限,从而可以:

  • 禁用用户帐户控制 (UAC)。
  • 使用提升的权限执行各种恶意功能。

防御规避
通过使用进程注入,Remcos 可以将自身嵌入合法进程,让防病毒软件难以检测。此外,其在后台运行的能力进一步隐藏了用户的存在。

数据采集

Remcos 擅长从受感染系统中收集各种数据,包括:

  • 按键
  • 截图
  • 录音
  • 剪贴板内容
  • 存储的密码

Remcos RAT 感染的影响

Remcos 感染的后果是严重且多方面的,会影响个人用户和组织:

  • 账户接管
    通过记录击键和窃取密码,Remcos 使攻击者能够接管在线帐户和其他系统,从而可能导致组织网络内进一步的数据盗窃和未经授权的访问。
  • 数据窃取
    Remcos 能够从受感染的系统中窃取敏感数据。这可能导致数据泄露,无论是直接从受感染的计算机还是使用被盗凭据访问的其他系统。
  • 后续感染
    感染 Remcos 可作为部署其他恶意软件变种的门户。这会增加后续攻击(如勒索软件感染)的风险,从而进一步加剧损害。

防范 Remcos 恶意软件

组织可以采用多种策略和最佳实践来预防 Remcos 感染:

电子邮件扫描
实施识别和阻止可疑电子邮件的电子邮件扫描解决方案可以防止 Remcos 首次传送到用户的收件箱。

领域分析
监控和分析端点请求的域记录可以帮助识别和阻止可能与 Remcos 相关的新域或可疑域。

网络流量分析
可以通过网络流量分析检测使用非标准协议加密流量的 Remcos 变体,这可以标记异常流量模式以供进一步调查。

端点安全
部署能够检测和修复 Remcos 感染的端点安全解决方案至关重要。这些解决方案依靠已建立的入侵指标来识别和消除恶意软件。

利用 CrowdStrike 中断

在最近的一次事件中,网络犯罪分子利用网络安全公司 CrowdStrike 的全球中断来分发 Remcos RAT。攻击者通过分发名为“crowdstrike-hotfix.zip”的 ZIP 存档文件,将目标锁定在拉丁美洲的 CrowdStrike 客户。该文件包含一个恶意软件加载程序 Hijack Loader,随后会启动 Remcos RAT 负载。

ZIP 存档包含一个文本文件(“instrucciones.txt”),其中包含西班牙语说明,敦促目标运行可执行文件(“setup.exe”)以从问题中恢复。使用西班牙语文件名和说明表明这是针对拉丁美洲 CrowdStrike 客户的有针对性活动。

结论

Remcos RAT 是一种功能强大且用途广泛的恶意软件,对 Windows 系统构成重大威胁。它能够逃避检测、获得提升的权限并收集大量数据,因此成为网络犯罪分子青睐的工具。通过了解其部署方法、功能和影响,组织可以更好地防御这种恶意软件。实施强大的安全措施并保持警惕以防范网络钓鱼攻击是减轻 Remcos RAT 带来的风险的关键步骤。

SpyHunter 检测并删除 雷姆科斯RAT

雷姆科斯RAT视频

提示:把你的声音并观察在全屏模式下的视频

文件系统详情

雷姆科斯RAT 可能会创建以下文件:
# 文件名 MD5 检测
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

注册表详情

雷姆科斯RAT 可能会创建以下注册表项或注册表项:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

目录

雷姆科斯RAT 可能会创建以下目录或目录:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

趋势

最受关注

正在加载...