雷姆科斯RAT
威胁评分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威胁记分卡是针对不同恶意软件威胁的评估报告,由我们的研究团队收集和分析。 EnigmaSoft 威胁记分卡使用多个指标对威胁进行评估和排名,包括现实世界和潜在风险因素、趋势、频率、普遍性和持续性。 EnigmaSoft 威胁记分卡会根据我们的研究数据和指标定期更新,对广泛的计算机用户有用,从寻求解决方案以从系统中删除恶意软件的最终用户到分析威胁的安全专家。
EnigmaSoft 威胁记分卡显示各种有用的信息,包括:
排名: EnigmaSoft 威胁数据库中特定威胁的排名。
严重性级别:根据我们的风险建模过程和研究,确定的对象的严重性级别,以数字形式表示,如我们的威胁评估标准中所述。
受感染计算机: SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
另请参阅威胁评估标准。
排行: | 4,425 |
威胁级别: | 80 % (高的) |
受感染的计算机: | 26,563 |
初见: | October 16, 2016 |
最后一次露面: | August 5, 2024 |
受影响的操作系统: | Windows |
Remcos RAT(远程访问木马)是一种复杂的恶意软件,旨在渗透和控制 Windows 操作系统。Remcos 由一家名为 Breaking Security 的德国公司开发并销售,是一种合法的远程控制和监视工具,经常被网络犯罪分子滥用于恶意目的。本文深入探讨了 Remcos RAT 的特征、功能、影响和防御措施,以及最近涉及其部署的值得注意的事件。
目录
部署和感染方法
网络钓鱼攻击
Remcos 通常通过网络钓鱼攻击进行传播,其中毫无戒心的用户被诱骗下载并执行恶意文件。这些网络钓鱼电子邮件通常包含:
恶意 ZIP 文件伪装成 PDF,声称是发票或订单。
嵌入恶意宏的 Microsoft Office 文档旨在在激活时部署恶意软件。
逃避技术
为了逃避检测,Remcos 采用了以下先进技术:
- 进程注入或进程空心:此方法允许 Remcos 在合法进程内执行,从而避免被防病毒软件检测。
- 持久机制:一旦安装,Remcos 会采用允许其在后台运行并对用户隐藏的机制来确保其保持活动状态。
指挥与控制 (C2) 基础设施
Remcos 的核心功能是其命令和控制 (C2) 功能。该恶意软件在前往 C2 服务器的途中加密其通信流量,使网络安全措施难以拦截和分析数据。Remcos 使用分布式 DNS (DDNS) 为其 C2 服务器创建多个域。这种技术可帮助恶意软件逃避依赖于过滤已知恶意域流量的安全保护,从而增强其弹性和持久性。
Remcos RAT 的功能
Remcos RAT 是一款功能强大的工具,它为攻击者提供了多种功能,可以对受感染的系统进行广泛的控制和利用:
权限提升
Remcos 可以获得受感染系统的管理员权限,从而可以:
- 禁用用户帐户控制 (UAC)。
- 使用提升的权限执行各种恶意功能。
防御规避
通过使用进程注入,Remcos 可以将自身嵌入合法进程,让防病毒软件难以检测。此外,其在后台运行的能力进一步隐藏了用户的存在。
数据采集
Remcos 擅长从受感染系统中收集各种数据,包括:
- 按键
- 截图
- 录音
- 剪贴板内容
- 存储的密码
Remcos RAT 感染的影响
Remcos 感染的后果是严重且多方面的,会影响个人用户和组织:
- 账户接管
通过记录击键和窃取密码,Remcos 使攻击者能够接管在线帐户和其他系统,从而可能导致组织网络内进一步的数据盗窃和未经授权的访问。 - 数据窃取
Remcos 能够从受感染的系统中窃取敏感数据。这可能导致数据泄露,无论是直接从受感染的计算机还是使用被盗凭据访问的其他系统。 - 后续感染
感染 Remcos 可作为部署其他恶意软件变种的门户。这会增加后续攻击(如勒索软件感染)的风险,从而进一步加剧损害。
防范 Remcos 恶意软件
组织可以采用多种策略和最佳实践来预防 Remcos 感染:
电子邮件扫描
实施识别和阻止可疑电子邮件的电子邮件扫描解决方案可以防止 Remcos 首次传送到用户的收件箱。
领域分析
监控和分析端点请求的域记录可以帮助识别和阻止可能与 Remcos 相关的新域或可疑域。
网络流量分析
可以通过网络流量分析检测使用非标准协议加密流量的 Remcos 变体,这可以标记异常流量模式以供进一步调查。
端点安全
部署能够检测和修复 Remcos 感染的端点安全解决方案至关重要。这些解决方案依靠已建立的入侵指标来识别和消除恶意软件。
利用 CrowdStrike 中断
在最近的一次事件中,网络犯罪分子利用网络安全公司 CrowdStrike 的全球中断来分发 Remcos RAT。攻击者通过分发名为“crowdstrike-hotfix.zip”的 ZIP 存档文件,将目标锁定在拉丁美洲的 CrowdStrike 客户。该文件包含一个恶意软件加载程序 Hijack Loader,随后会启动 Remcos RAT 负载。
ZIP 存档包含一个文本文件(“instrucciones.txt”),其中包含西班牙语说明,敦促目标运行可执行文件(“setup.exe”)以从问题中恢复。使用西班牙语文件名和说明表明这是针对拉丁美洲 CrowdStrike 客户的有针对性活动。
结论
Remcos RAT 是一种功能强大且用途广泛的恶意软件,对 Windows 系统构成重大威胁。它能够逃避检测、获得提升的权限并收集大量数据,因此成为网络犯罪分子青睐的工具。通过了解其部署方法、功能和影响,组织可以更好地防御这种恶意软件。实施强大的安全措施并保持警惕以防范网络钓鱼攻击是减轻 Remcos RAT 带来的风险的关键步骤。
SpyHunter 检测并删除 雷姆科斯RAT
雷姆科斯RAT视频
提示:把你的声音并观察在全屏模式下的视频。
文件系统详情
# | 文件名 | MD5 |
检测
检测数: SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
注册表详情
目录
雷姆科斯RAT 可能会创建以下目录或目录:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |