威脅數據庫 Trojans 雷姆科斯RAT

雷姆科斯RAT

威脅評分卡

排行: 4,425
威胁级别: 80 % (高的)
受感染的计算机: 26,563
初见: October 16, 2016
最后一次露面: August 5, 2024
受影响的操作系统: Windows

Remcos RAT(遠端存取木馬)是一種複雜的惡意軟體,旨在滲透和控制 Windows 作業系統。 Remcos 由一家名為 Breaking Security 的德國公司開發和銷售,作為合法的遠端控制和監視工具,經常被網路犯罪分子用於惡意目的。本文深入探討了與 Remcos RAT 相關的特徵、功能、影響和防禦,以及最近涉及其部署的重大事件。

部署和感染方法

網路釣魚攻擊
Remcos 通常透過網路釣魚攻擊進行分發,其中毫無戒心的用戶被誘騙下載並執行惡意檔案。這些網路釣魚電子郵件通常包含:

惡意 ZIP 檔案偽裝成 PDF,聲稱是發票或訂單。
嵌入惡意巨集的 Microsoft Office 文件旨在在啟動後部署惡意軟體。

規避技巧
為了逃避檢測,Remcos 採用了先進技術,例如:

  • 進程注入或進程空洞:此方法允許Remcos在合法進程內執行,從而避免被防毒軟體偵測。
  • 持久性機制:安裝後,Remcos 透過採用允許其在背景運作、對使用者隱藏的機制來確保其保持活動狀態。

命令與控制 (C2) 基礎設施

Remcos 的核心功能是其命令與控制 (C2) 功能。該惡意軟體會對其發送至 C2 伺服器的通訊流量進行加密,使網路安全措施難以攔截和分析資料。 Remcos 使用分散式 DNS (DDNS) 為其 C2 伺服器建立多個網域。此技術可協助惡意軟體逃避依賴過濾已知惡意域流量的安全性保護,從而增強其彈性和持久性。

Remcos RAT 的功能

Remcos RAT 是一款功能強大的工具,可為攻擊者提供多種功能,從而實現對受感染系統的廣泛控制和利用:

權限提升
Remcos 可以獲得受感染系統的管理員權限,從而允許其:

  • 停用使用者帳號控制 (UAC)。
  • 使用提升的權限執行各種惡意功能。

防禦規避
透過使用進程注入,Remcos 將自身嵌入合法進程中,從而使防毒軟體難以檢測到。此外,它在背景運行的能力進一步向用戶隱藏了它的存在。

數據採集

Remcos 擅長從受感染系統收集廣泛的數據,包括:

  • 擊鍵
  • 截圖
  • 錄音
  • 剪貼簿內容
  • 已儲存的密碼

Remcos RAT 感染的影響

Remcos 感染的後果是重大且多方面的,影響個人使用者和組織:

  • 帳號接管
    透過記錄擊鍵和竊取密碼,Remcos 使攻擊者能夠接管線上帳戶和其他系統,從而可能導致組織網路內的進一步資料竊取和未經授權的存取。
  • 資料竊取
    Remcos 能夠從受感染的系統中竊取敏感資料。這可能會導致資料洩露,無論是直接來自受感染的電腦還是來自使用被盜憑證存取的其他系統。
  • 後續感染
    Remcos 感染可以作為部署其他惡意軟體變體的網關。這增加了勒索軟體感染等後續攻擊的風險,進一步加劇了損害。

防範 Remcos 惡意軟體

組織可以採用多種策略和最佳實踐來防止 Remcos 感染:

郵件掃描
實施識別和封鎖可疑電子郵件的電子郵件掃描解決方案可以防止 Remcos 首次發送到使用者的收件匣。

領域分析
監視和分析端點請求的網域記錄可以幫助識別和阻止可能與 Remcos 關聯的新網域或可疑域。

網路流量分析
可以透過網路流量分析檢測使用非標準協定加密流量的 Remcos 變體,這可以標記異常流量模式以進行進一步調查。

端點安全
部署能夠偵測和修復 Remcos 感染的端點安全解決方案至關重要。這些解決方案依賴既定的妥協指標來識別和消除惡意軟體。

利用 CrowdStrike 中斷

在最近的事件中,網路犯罪分子利用網路安全公司 CrowdStrike 的全球中斷來傳播 Remcos RAT。攻擊者透過分發名為「crowdstrike-hotfix.zip」的 ZIP 存檔文件來瞄準拉丁美洲的 CrowdStrike 客戶。該檔案包含惡意軟體載入程式 Hijack Loader,隨後啟動了 Remcos RAT 有效負載。

ZIP 檔案包含一個帶有西班牙語指令的文字檔案(“instrucciones.txt”),敦促目標執行可執行檔(“setup.exe”)以從問題中復原。使用西班牙語文件名和說明表明這是一項針對拉丁美洲 CrowdStrike 客戶的有針對性的活動。

結論

Remcos RAT 是一種強大且多功能的惡意軟體,對 Windows 系統構成重大威脅。它逃避檢測、獲得更高權限和收集大量數據的能力使其成為網路犯罪分子青睞的工具。透過了解其部署方法、功能和影響,組織可以更好地防禦這種惡意軟體。實施強大的安全措施並警惕網路釣魚攻擊是減輕 Remcos RAT 風險的關鍵步驟。

SpyHunter 检测并删除 雷姆科斯RAT

雷姆科斯RAT視頻

提示:把你的声音并观察在全屏模式下的视频

文件系統詳情

雷姆科斯RAT 可能會創建以下文件:
# 文件名 MD5 偵測
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

註冊表詳情

雷姆科斯RAT 可能會創建以下註冊表項或註冊表項:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

目錄

雷姆科斯RAT 可能會創建以下目錄或目錄:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

熱門

最受關注

加載中...