Remcos是一种远程访问木马(RAT),是2021年十大恶意软件变种之一。感染计算机后,Remcos为攻击者提供对受感染系统的后门访问,并收集各种敏感信息。
它是如何工作的?
Remcos 通常通过网络钓鱼攻击进行部署。该恶意软件可能嵌入伪装成声称包含发票或订单的 PDF 的恶意 ZIP 文件中。或者,该恶意软件也已使用 Microsoft Office 文档和解压缩并部署该恶意软件的恶意宏进行部署。
为了逃避检测,Remcos 使用进程注入或进程挖空,使其能够在合法进程内运行。该恶意软件还部署了持久性机制并在后台运行以隐藏用户。
作为 RAT,命令和控制 (C2) 是Remcos恶意软件的核心功能。恶意流量在前往 C2 服务器的途中被加密,攻击者使用分布式 DNS 为 C2 服务器创建各种域。这使得恶意软件有可能破坏依赖于过滤到已知恶意域的流量的保护。
Remcos恶意软件功能
Remcos恶意软件实际上是一家名为 Breaking Security 的德国公司以 Remote Control and Surveillance 的名义出售的合法工具,经常被黑客滥用。该恶意软件的一些关键功能包括:
- 特权提升: Remcos 可以获得受感染系统的管理员权限并禁用用户帐户控制 (UAC)。这使攻击者更容易执行恶意功能。
- 防御规避: Remcos 使用进程注入将自身嵌入到合法进程中,使防病毒软件更难检测到。此外,该恶意软件可以在后台运行以对用户隐藏自身。
- 数据收集: Remcos恶意软件的核心功能之一是收集有关计算机用户的信息。它可以记录击键、捕获屏幕截图、音频和剪贴板内容,并从受感染的系统收集密码。
Remcos 感染的影响
Remcos 是一种复杂的RAT,这意味着它授予攻击者对受感染计算机的完全控制权,并可用于各种攻击。Remcos 感染的一些常见影响包括:
- 帐户接管: Remcos 的一些核心功能是从受感染的计算机收集密码和击键。通过窃取用户凭据,攻击者可以获得对在线帐户和其他系统的控制权,使他们能够窃取敏感数据或扩大其在组织 IT 环境中的立足点。
- 数据窃取: Remcos 窃取击键和凭据,但也可以从组织的系统中收集和泄露其他敏感数据。因此,Remcos 可用于在最初受感染的计算机或通过受损凭据访问的其他系统上执行数据泄露。
- 后续感染: Remcos 使攻击者有可能在受感染的计算机上部署其他恶意软件变体。这意味着 Remcos 感染可能导致勒索软件感染或对组织的其他后续攻击。
如何防范 Remcos恶意软件
虽然 Remcos 是领先的恶意软件变体,但组织可以通过实施安全最佳实践来保护自己免受感染。一些预防 Remcos 感染的方法包括:
- 电子邮件扫描: Remcos 主要通过 C 分发。识别和阻止可疑电子邮件的电子邮件扫描解决方案可以防止恶意软件到达用户的收件箱。
- 内容解除和重建 (CDR): Remcos恶意软件通常嵌入文档文件中,例如 Microsoft Office 文件。CDR可以分解文档、删除恶意内容并重建经过消毒的文档以发送给预期的收件人。
- 域分析: Remcos 使用DDNS创建大量域以逃避基于域的恶意站点阻止。分析各种端点请求的域记录可以帮助识别可能与恶意软件相关联的新域名和可疑域名。
- 网络流量分析:一些 Remcos 变体使用 AES-128 或 RC4 而非标准协议(如 SSL/TLS)直接加密其网络流量。网络流量分析可以识别这些不寻常的流量流,并标记它们以供进一步分析。
- 端点安全: Remcos 是一种众所周知的恶意软件变体,具有已确定的危害指标。尽管有防御规避技术,但端点安全解决方案可以在系统上识别和修复它。
