雷姆科斯RAT
威脅評分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威脅記分卡是我們的研究團隊收集和分析的不同惡意軟件威脅的評估報告。 EnigmaSoft 威脅記分卡使用多種指標對威脅進行評估和排名,包括現實世界和潛在的風險因素、趨勢、頻率、普遍性和持續性。 EnigmaSoft 威脅記分卡根據我們的研究數據和指標定期更新,對范圍廣泛的計算機用戶非常有用,從尋求解決方案以從其係統中刪除惡意軟件的最終用戶到分析威脅的安全專家。
EnigmaSoft 威脅記分卡顯示各種有用的信息,包括:
排名:特定威脅在 EnigmaSoft 的威脅數據庫中的排名。
嚴重級別:根據我們的風險建模過程和研究確定的對象嚴重級別,以數字表示,如我們的威脅評估標準中所述。
受感染的計算機:根據 SpyHunter 的報告,在受感染的計算機上檢測到的特定威脅的已確認和疑似案例的數量。
另請參閱威脅評估標準。
排行: | 4,425 |
威胁级别: | 80 % (高的) |
受感染的计算机: | 26,563 |
初见: | October 16, 2016 |
最后一次露面: | August 5, 2024 |
受影响的操作系统: | Windows |
Remcos RAT(遠端存取木馬)是一種複雜的惡意軟體,旨在滲透和控制 Windows 作業系統。 Remcos 由一家名為 Breaking Security 的德國公司開發和銷售,作為合法的遠端控制和監視工具,經常被網路犯罪分子用於惡意目的。本文深入探討了與 Remcos RAT 相關的特徵、功能、影響和防禦,以及最近涉及其部署的重大事件。
目錄
部署和感染方法
網路釣魚攻擊
Remcos 通常透過網路釣魚攻擊進行分發,其中毫無戒心的用戶被誘騙下載並執行惡意檔案。這些網路釣魚電子郵件通常包含:
惡意 ZIP 檔案偽裝成 PDF,聲稱是發票或訂單。
嵌入惡意巨集的 Microsoft Office 文件旨在在啟動後部署惡意軟體。
規避技巧
為了逃避檢測,Remcos 採用了先進技術,例如:
- 進程注入或進程空洞:此方法允許Remcos在合法進程內執行,從而避免被防毒軟體偵測。
- 持久性機制:安裝後,Remcos 透過採用允許其在背景運作、對使用者隱藏的機制來確保其保持活動狀態。
命令與控制 (C2) 基礎設施
Remcos 的核心功能是其命令與控制 (C2) 功能。該惡意軟體會對其發送至 C2 伺服器的通訊流量進行加密,使網路安全措施難以攔截和分析資料。 Remcos 使用分散式 DNS (DDNS) 為其 C2 伺服器建立多個網域。此技術可協助惡意軟體逃避依賴過濾已知惡意域流量的安全性保護,從而增強其彈性和持久性。
Remcos RAT 的功能
Remcos RAT 是一款功能強大的工具,可為攻擊者提供多種功能,從而實現對受感染系統的廣泛控制和利用:
權限提升
Remcos 可以獲得受感染系統的管理員權限,從而允許其:
- 停用使用者帳號控制 (UAC)。
- 使用提升的權限執行各種惡意功能。
防禦規避
透過使用進程注入,Remcos 將自身嵌入合法進程中,從而使防毒軟體難以檢測到。此外,它在背景運行的能力進一步向用戶隱藏了它的存在。
數據採集
Remcos 擅長從受感染系統收集廣泛的數據,包括:
- 擊鍵
- 截圖
- 錄音
- 剪貼簿內容
- 已儲存的密碼
Remcos RAT 感染的影響
Remcos 感染的後果是重大且多方面的,影響個人使用者和組織:
- 帳號接管
透過記錄擊鍵和竊取密碼,Remcos 使攻擊者能夠接管線上帳戶和其他系統,從而可能導致組織網路內的進一步資料竊取和未經授權的存取。 - 資料竊取
Remcos 能夠從受感染的系統中竊取敏感資料。這可能會導致資料洩露,無論是直接來自受感染的電腦還是來自使用被盜憑證存取的其他系統。 - 後續感染
Remcos 感染可以作為部署其他惡意軟體變體的網關。這增加了勒索軟體感染等後續攻擊的風險,進一步加劇了損害。
防範 Remcos 惡意軟體
組織可以採用多種策略和最佳實踐來防止 Remcos 感染:
郵件掃描
實施識別和封鎖可疑電子郵件的電子郵件掃描解決方案可以防止 Remcos 首次發送到使用者的收件匣。
領域分析
監視和分析端點請求的網域記錄可以幫助識別和阻止可能與 Remcos 關聯的新網域或可疑域。
網路流量分析
可以透過網路流量分析檢測使用非標準協定加密流量的 Remcos 變體,這可以標記異常流量模式以進行進一步調查。
端點安全
部署能夠偵測和修復 Remcos 感染的端點安全解決方案至關重要。這些解決方案依賴既定的妥協指標來識別和消除惡意軟體。
利用 CrowdStrike 中斷
在最近的事件中,網路犯罪分子利用網路安全公司 CrowdStrike 的全球中斷來傳播 Remcos RAT。攻擊者透過分發名為「crowdstrike-hotfix.zip」的 ZIP 存檔文件來瞄準拉丁美洲的 CrowdStrike 客戶。該檔案包含惡意軟體載入程式 Hijack Loader,隨後啟動了 Remcos RAT 有效負載。
ZIP 檔案包含一個帶有西班牙語指令的文字檔案(“instrucciones.txt”),敦促目標執行可執行檔(“setup.exe”)以從問題中復原。使用西班牙語文件名和說明表明這是一項針對拉丁美洲 CrowdStrike 客戶的有針對性的活動。
結論
Remcos RAT 是一種強大且多功能的惡意軟體,對 Windows 系統構成重大威脅。它逃避檢測、獲得更高權限和收集大量數據的能力使其成為網路犯罪分子青睞的工具。透過了解其部署方法、功能和影響,組織可以更好地防禦這種惡意軟體。實施強大的安全措施並警惕網路釣魚攻擊是減輕 Remcos RAT 風險的關鍵步驟。
SpyHunter 检测并删除 雷姆科斯RAT
雷姆科斯RAT視頻
提示:把你的声音并观察在全屏模式下的视频。
文件系統詳情
# | 文件名 | MD5 |
偵測
檢測: SpyHunter 報告的在受感染計算機上檢測到的特定威脅的已確認和疑似案例數。
|
---|---|---|---|
1. | 7g1cq51137eqs.exe | aeca465c269f3bd7b5f67bc9da8489cb | 83 |
2. | 321.exe | d435cebd8266fa44111ece457a1bfba1 | 45 |
3. | windslfj.exe | 968650761a5d13c26197dbf26c56552a | 5 |
4. | file.exe | 83dd9dacb72eaa793e982882809eb9d5 | 5 |
5. | Legit Program.exe | cd2c23deea7f1eb6b19a42fd3affb0ee | 3 |
6. | unseen.exe | d8cff8ec41992f25ef3127e32e379e3b | 2 |
7. | file.exe | 601ceb7114eefefd1579fae7b0236e66 | 1 |
8. | file.exe | c9923150d5c18e4932ed449c576f7942 | 1 |
9. | file.exe | 20dc88560b9e77f61c8a88f8bcf6571f | 1 |
10. | file.exe | c41f7add0295861e60501373d87d586d | 1 |
11. | file.exe | 8671446732d37b3ad4c120ca2b39cfca | 0 |
12. | File.exe | 35b954d9a5435f369c59cd9d2515c931 | 0 |
13. | file.exe | 3e25268ff17b48da993b74549de379f4 | 0 |
14. | file.exe | b79dcc45b3d160bce8a462abb44e9490 | 0 |
15. | file.exe | 390ebb54156149b66b77316a8462e57d | 0 |
16. | e12cd6fe497b42212fa8c9c19bf51088 | e12cd6fe497b42212fa8c9c19bf51088 | 0 |
17. | file.exe | 1d785c1c5d2a06d0e519d40db5b2390a | 0 |
18. | file.exe | f48496b58f99bb6ec9bc35e5e8dc63b8 | 0 |
19. | file.exe | 5f50bcd2cad547c4e766bdd7992bc12a | 0 |
20. | file.exe | 1645b2f23ece660689172547bd2fde53 | 0 |
21. | 50a62912a3a282b1b11f78f23d0e5906 | 50a62912a3a282b1b11f78f23d0e5906 | 0 |
註冊表詳情
目錄
雷姆科斯RAT 可能會創建以下目錄或目錄:
%ALLUSERSPROFILE%\task manager |
%APPDATA%\Badlion |
%APPDATA%\Extress |
%APPDATA%\GoogleChrome |
%APPDATA%\JagexLIVE |
%APPDATA%\Remc |
%APPDATA%\Shockwave |
%APPDATA%\appdata |
%APPDATA%\googlecrome |
%APPDATA%\hyerr |
%APPDATA%\loader |
%APPDATA%\pdf |
%APPDATA%\remcoco |
%APPDATA%\ujmcos |
%APPDATA%\verify |
%APPDATA%\windir |
%AppData%\remcos |
%PROGRAMFILES(x86)%\Microsft Word |
%TEMP%\commonafoldersz |
%TEMP%\remcos |
%Userprofile%\remcos |
%WINDIR%\SysWOW64\Adobe Inc |
%WINDIR%\SysWOW64\remcos |
%WINDIR%\SysWOW64\skype |
%WINDIR%\System32\rel |
%WINDIR%\System32\remcos |
%WINDIR%\notepad++ |
%WINDIR%\remcos |