RemcosRAT

Wertungsliste der Bedrohung

Rangfolge: 4,425
Bedrohungsstufe: 80 % (Hoch)
Infizierte Computer: 26,563
Zum ersten Mal gesehen: October 16, 2016
Zuletzt gesehen: August 5, 2024
Betroffene Betriebssysteme: Windows

Remcos RAT (Remote Access Trojan) ist eine hochentwickelte Malware, die darauf ausgelegt ist, Windows-Betriebssysteme zu infiltrieren und zu steuern. Remcos wurde von einem deutschen Unternehmen namens Breaking Security als legitimes Fernsteuerungs- und Überwachungstool entwickelt und verkauft und wird häufig von Cyberkriminellen für böswillige Zwecke missbraucht. Dieser Artikel befasst sich mit den Eigenschaften, Fähigkeiten, Auswirkungen und Abwehrmaßnahmen von Remcos RAT sowie mit den jüngsten bemerkenswerten Vorfällen im Zusammenhang mit seinem Einsatz.

Bereitstellungs- und Infektionsmethoden

Phishing-Angriffe
Remcos wird normalerweise durch Phishing-Angriffe verbreitet, bei denen ahnungslose Benutzer dazu verleitet werden, schädliche Dateien herunterzuladen und auszuführen. Diese Phishing-E-Mails enthalten oft:

Schädliche, als PDFs getarnte ZIP-Dateien, die vorgeben, Rechnungen oder Bestellungen zu sein.
Microsoft Office-Dokumente mit eingebetteten bösartigen Makros, die dazu bestimmt sind, die Malware bei Aktivierung bereitzustellen.

Ausweichtechniken
Um einer Entdeckung zu entgehen, setzt Remcos fortschrittliche Techniken ein, wie zum Beispiel:

  • Prozessinjektion oder Prozessaushöhlung : Mit dieser Methode kann Remcos innerhalb eines legitimen Prozesses ausgeführt werden und so die Erkennung durch Antivirensoftware vermeiden.
  • Persistenzmechanismen : Nach der Installation stellt Remcos sicher, dass es aktiv bleibt. Hierzu werden Mechanismen eingesetzt, die es ermöglichen, im Hintergrund und verborgen vor dem Benutzer zu laufen.

Command-and-Control (C2) Infrastruktur

Eine Kernfunktion von Remcos ist seine Command-and-Control-Funktionalität (C2). Die Malware verschlüsselt ihren Kommunikationsverkehr auf dem Weg zum C2-Server, sodass es für Netzwerksicherheitsmaßnahmen schwierig ist, die Daten abzufangen und zu analysieren. Remcos verwendet Distributed DNS (DDNS), um mehrere Domänen für seine C2-Server zu erstellen. Mit dieser Technik kann die Malware Sicherheitsvorkehrungen umgehen, die auf der Filterung des Datenverkehrs zu bekannten bösartigen Domänen beruhen, und so ihre Widerstandsfähigkeit und Beständigkeit verbessern.

Fähigkeiten von Remcos RAT

Remcos RAT ist ein leistungsstarkes Tool, das Angreifern zahlreiche Möglichkeiten bietet und eine umfassende Kontrolle und Ausnutzung infizierter Systeme ermöglicht:

Rechteerweiterung
Remcos kann auf einem infizierten System Administratorrechte erlangen und dadurch Folgendes tun:

  • Deaktivieren Sie die Benutzerkontensteuerung (UAC).
  • Führen Sie verschiedene bösartige Funktionen mit erhöhten Berechtigungen aus.

Verteidigungsausweichmanöver
Durch Prozessinjektion bettet sich Remcos in legitime Prozesse ein und ist dadurch für Antivirensoftware schwer zu erkennen. Darüber hinaus wird seine Präsenz vor Benutzern durch die Fähigkeit, im Hintergrund zu laufen, noch besser verborgen.

Datensammlung

Remcos ist in der Lage, eine breite Palette von Daten aus dem infizierten System zu sammeln, darunter:

  • Tastenanschläge
  • Screenshots
  • Audioaufnahmen
  • Inhalt der Zwischenablage
  • Gespeicherte Passwörter

Auswirkungen einer Remcos-RAT-Infektion

Die Folgen einer Remcos-Infektion sind schwerwiegend und vielschichtig und betreffen sowohl einzelne Benutzer als auch Organisationen:

  • Kontoübernahme
    Durch das Protokollieren von Tastatureingaben und den Diebstahl von Passwörtern ermöglicht Remcos Angreifern die Übernahme von Online-Konten und anderen Systemen, was potenziell zu weiterem Datendiebstahl und unbefugtem Zugriff innerhalb des Netzwerks einer Organisation führen kann.
  • Datendiebstahl
    Remcos kann vertrauliche Daten aus dem infizierten System extrahieren. Dies kann zu Datenlecks führen, entweder direkt vom infizierten Computer oder von anderen Systemen, auf die mit gestohlenen Anmeldeinformationen zugegriffen wurde.
  • Folgeinfektionen
    Eine Infektion mit Remcos kann als Einfallstor für die Verbreitung weiterer Malware-Varianten dienen. Dadurch steigt das Risiko nachfolgender Angriffe, wie etwa Ransomware-Infektionen, was den Schaden noch weiter verschärft.

Schutz vor Remcos-Malware

Organisationen können zum Schutz vor Remcos-Infektionen verschiedene Strategien und bewährte Methoden anwenden:

E-Mail-Scannen
Durch die Implementierung von E-Mail-Scanlösungen, die verdächtige E-Mails identifizieren und blockieren, kann die erstmalige Zustellung von Remcos in die Posteingänge der Benutzer verhindert werden.

Domänenanalyse
Durch die Überwachung und Analyse der von Endpunkten angeforderten Domänendatensätze können junge oder verdächtige Domänen, die möglicherweise mit Remcos in Verbindung stehen, identifiziert und blockiert werden.

Netzwerkverkehrsanalyse
Remcos-Varianten, die ihren Datenverkehr mit nicht standardmäßigen Protokollen verschlüsseln, können durch eine Netzwerkverkehrsanalyse erkannt werden. Dadurch können ungewöhnliche Verkehrsmuster für weitere Untersuchungen gekennzeichnet werden.

Endgerätesicherheit
Der Einsatz von Endpoint-Security-Lösungen, die Remcos-Infektionen erkennen und beheben können, ist von entscheidender Bedeutung. Diese Lösungen basieren auf etablierten Kompromittierungsindikatoren, um die Malware zu identifizieren und zu neutralisieren.

Ausnutzung des CrowdStrike-Ausfalls

Bei einem aktuellen Vorfall nutzten Cyberkriminelle einen weltweiten Ausfall des Cybersicherheitsunternehmens CrowdStrike aus, um Remcos RAT zu verbreiten. Die Angreifer zielten auf CrowdStrike-Kunden in Lateinamerika ab, indem sie eine ZIP-Archivdatei mit dem Namen „crowdstrike-hotfix.zip“ verteilten. Diese Datei enthielt einen Malware-Loader, Hijack Loader, der anschließend die Remcos RAT-Nutzlast startete.

Das ZIP-Archiv enthielt eine Textdatei („instrucciones.txt“) mit Anweisungen auf Spanisch, in der die Opfer aufgefordert wurden, eine ausführbare Datei („setup.exe“) auszuführen, um das Problem angeblich zu beheben. Die Verwendung spanischer Dateinamen und Anweisungen deutet auf eine gezielte Kampagne hin, die sich an CrowdStrike-Kunden in Lateinamerika richtete.

Abschluss

Remcos RAT ist eine potente und vielseitige Malware, die eine erhebliche Bedrohung für Windows-Systeme darstellt. Seine Fähigkeit, der Erkennung zu entgehen, erweiterte Berechtigungen zu erlangen und umfangreiche Daten zu sammeln, macht es zu einem beliebten Werkzeug unter Cyberkriminellen. Durch das Verständnis seiner Bereitstellungsmethoden, Fähigkeiten und Auswirkungen können sich Unternehmen besser gegen diese bösartige Software verteidigen. Die Implementierung robuster Sicherheitsmaßnahmen und die Wachsamkeit gegenüber Phishing-Angriffen sind entscheidende Schritte zur Minderung des von Remcos RAT ausgehenden Risikos.

SpyHunter erkennt und entfernt RemcosRAT

RemcosRAT Video

Tipp: Schalten Sie Ihren Ton EIN und sehen Sie sich das Video im Vollbildmodus an .

Deatils zum Dateisystem

RemcosRAT kann die folgende(n) Datei(en) erstellen:
# Dateiname MD5 Erkennungen
1. 7g1cq51137eqs.exe aeca465c269f3bd7b5f67bc9da8489cb 83
2. 321.exe d435cebd8266fa44111ece457a1bfba1 45
3. windslfj.exe 968650761a5d13c26197dbf26c56552a 5
4. file.exe 83dd9dacb72eaa793e982882809eb9d5 5
5. Legit Program.exe cd2c23deea7f1eb6b19a42fd3affb0ee 3
6. unseen.exe d8cff8ec41992f25ef3127e32e379e3b 2
7. file.exe 601ceb7114eefefd1579fae7b0236e66 1
8. file.exe c9923150d5c18e4932ed449c576f7942 1
9. file.exe 20dc88560b9e77f61c8a88f8bcf6571f 1
10. file.exe c41f7add0295861e60501373d87d586d 1
11. file.exe 8671446732d37b3ad4c120ca2b39cfca 0
12. File.exe 35b954d9a5435f369c59cd9d2515c931 0
13. file.exe 3e25268ff17b48da993b74549de379f4 0
14. file.exe b79dcc45b3d160bce8a462abb44e9490 0
15. file.exe 390ebb54156149b66b77316a8462e57d 0
16. e12cd6fe497b42212fa8c9c19bf51088 e12cd6fe497b42212fa8c9c19bf51088 0
17. file.exe 1d785c1c5d2a06d0e519d40db5b2390a 0
18. file.exe f48496b58f99bb6ec9bc35e5e8dc63b8 0
19. file.exe 5f50bcd2cad547c4e766bdd7992bc12a 0
20. file.exe 1645b2f23ece660689172547bd2fde53 0
21. 50a62912a3a282b1b11f78f23d0e5906 50a62912a3a282b1b11f78f23d0e5906 0

Registrierung-Details

RemcosRAT kann den folgenden Registrierungseintrag oder die folgenden Registrierungseinträge erstellen:
Regexp file mask
%APPDATA%\aitagent\aitagent.exe
%APPDATA%\Analysernes1.exe
%APPDATA%\Audiohd.exe
%APPDATA%\Bagsmks8.exe
%APPDATA%\Behandlingens[RANDOM CHARACTERS].exe
%APPDATA%\Brnevrelser[RANDOM CHARACTERS].exe
%appdata%\calc.exe
%APPDATA%\chrome\chrome.exe
%APPDATA%\deseret.pif
%APPDATA%\explorer\explore.exe
%APPDATA%\Extortioner.exe
%APPDATA%\firewall.exe
%APPDATA%\foc\foc.exe
%APPDATA%\Holmdel8.exe
%APPDATA%\Install\laeu.exe
%APPDATA%\Irenas.exe
%APPDATA%\Javaw\Javaw.exe
%APPDATA%\Machree[RANDOM CHARACTERS].exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\filename.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firewall.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Holmdel8.vbe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Legit Program.exe
%APPDATA%\Mozila\Mozila.exe
%APPDATA%\newremcos.exe
%APPDATA%\remcos.exe
%APPDATA%\SearchUI.exe
%APPDATA%\Smartse\smartse.exe
%AppData%\spoolsv.exe
%APPDATA%\System\logs.dat
%APPDATA%\Tornlst.exe
%APPDATA%\WindowsDefender\WindowsDefender.exe
%PROGRAMFILES%\AppData\drivers.exe
%TEMP%\Name of the melted file.exe
%WINDIR%\System32\remcomsvc.exe
%WINDIR%\SysWOW64\remcomsvc.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\remcos
SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\remcos

Verzeichnisse

RemcosRAT kann das folgende Verzeichnis oder die folgenden Verzeichnisse erstellen:

%ALLUSERSPROFILE%\task manager
%APPDATA%\Badlion
%APPDATA%\Extress
%APPDATA%\GoogleChrome
%APPDATA%\JagexLIVE
%APPDATA%\Remc
%APPDATA%\Shockwave
%APPDATA%\appdata
%APPDATA%\googlecrome
%APPDATA%\hyerr
%APPDATA%\loader
%APPDATA%\pdf
%APPDATA%\remcoco
%APPDATA%\ujmcos
%APPDATA%\verify
%APPDATA%\windir
%AppData%\remcos
%PROGRAMFILES(x86)%\Microsft Word
%TEMP%\commonafoldersz
%TEMP%\remcos
%Userprofile%\remcos
%WINDIR%\SysWOW64\Adobe Inc
%WINDIR%\SysWOW64\remcos
%WINDIR%\SysWOW64\skype
%WINDIR%\System32\rel
%WINDIR%\System32\remcos
%WINDIR%\notepad++
%WINDIR%\remcos

Im Trend

Am häufigsten gesehen

Wird geladen...