어떻게 작동합니까?
Remcos는 일반적으로 피싱 공격을 통해 배포됩니다. 멀웨어 는 송장 또는 주문이 포함되어 있다고 주장하는 PDF로 가장한 악성 ZIP 파일에 포함될 수 있습니다. 또는 Microsoft Office 문서 및 악성 매크로를 사용하여 맬웨어의 압축을 풀고 배포하는 멀웨어도 배포되었습니다.
탐지를 피하기 위해 Remcos는 프로세스 주입 또는 프로세스 할로잉을 사용하여 합법적인 프로세스 내에서 실행할 수 있습니다. 또한 멀웨어는 지속성 메커니즘을 배포하고 백그라운드에서 실행되어 사용자로부터 숨깁니다.
RAT로서 명령 및 제어(C2)는 Remcos 멀웨어의 핵심 기능입니다. 악성 트래픽은 C2 서버로 이동하는 동안 암호화되며, 공격자는 분산 DNS를 사용하여 C2 서버용 다양한 도메인을 만듭니다. 이렇게 하면 멀웨어가 알려진 악성 도메인에 대한 트래픽 필터링에 의존하는 보호를 무력화할 수 있습니다.
Remcos 멀웨어 기능
Remcos 멀웨어는 실제로 Remote Control and Surveillance라는 이름으로 Breaking Security라는 독일 회사에서 판매하는 합법적인 도구이며 일반적으로 해커에 의해 남용됩니다. 멀웨어의 주요 기능 중 일부는 다음과 같습니다.
- 권한 상승: Remcos는 감염된 시스템에 대한 관리자 권한을 얻고 UAC(사용자 계정 컨트롤)를 비활성화할 수 있습니다. 이렇게 하면 공격자가 악의적인 기능을 더 쉽게 실행할 수 있습니다.
- 방어 회피: Remcos는 프로세스 인젝션을 사용하여 합법적인 프로세스 내에 자신을 포함하므로 바이러스 백신이 탐지하기가 더 어려워집니다. 또한 멀웨어는 백그라운드에서 실행되어 사용자로부터 자신을 숨길 수 있습니다.
- 데이터 수집: Remcos 멀웨어의 핵심 기능 중 하나는 컴퓨터 사용자에 대한 정보를 수집하는 것입니다. 키 입력을 기록하고, 스크린샷, 오디오 및 클립보드 내용을 캡처하고, 감염된 시스템에서 암호를 수집할 수 있습니다.
Remcos 감염의 영향
Remcos는 정교한 RAT로, 공격자에게 감염된 컴퓨터에 대한 모든 권한을 부여하고 다양한 공격에 사용될 수 있습니다. Remcos 감염의 일반적인 영향은 다음과 같습니다.
- Account Takeover에 추가합니다. Remcos의 핵심 기능 중 일부는 감염된 컴퓨터에서 암호와 키 입력을 수집하는 것입니다. 공격자는 사용자 자격 증명을 훔쳐 온라인 계정 및 기타 시스템을 제어하여 중요한 데이터를 훔치거나 조직의 IT 환경 내에서 기반을 확장할 수 있습니다.
- 데이터 도난: Remcos는 키 입력과 자격 증명을 훔치지만 조직의 시스템에서 다른 민감한 데이터를 수집하고 유출할 수도 있습니다. 결과적으로 Remcos는 초기에 감염된 컴퓨터 또는 손상된 자격 증명을 통해 액세스되는 다른 시스템에서 데이터 침해를 수행하는 데 사용할 수 있습니다.
- 후속 감염: Remcos를 사용하면 공격자가 감염된 컴퓨터에 추가 멀웨어 변종을 배포할 수 있습니다. 즉, Remcos 감염은 조직에 대한 랜섬웨어 감염 또는 기타 후속 공격으로 이어질 수 있습니다.
Remcos 멀웨어로부터 보호하는 방법
Remcos는 대표적인 멀웨어 변종이지만 조직은 보안 모범 사례를 구현하여 감염으로부터 스스로를 보호할 수 있습니다. Remcos 감염을 예방하는 몇 가지 방법은 다음과 같습니다.
- 이메일 검사: Remcos는 주로 C를 통해 배포됩니다. 의심스러운 이메일을 식별하고 차단하는 이메일 검색 솔루션은 멀웨어가 사용자의 받은 편지함에 도달하는 것을 방지할 수 있습니다.
- 콘텐츠 무장 해제 및 재구성(CDR): Remcos 멀웨어는 일반적으로 Microsoft Office 파일과 같은 문서 파일에 포함됩니다. CDR 은 문서를 디스어셈블하고, 악성 콘텐츠를 제거하고, 삭제된 문서를 다시 작성하여 의도한 수신자에게 보낼 수 있습니다.
- 도메인 분석: Remcos는 DDNS 를 사용하여 악성 사이트의 도메인 기반 차단을 피하기 위해 수많은 도메인을 만듭니다. 다양한 엔드포인트에서 요청한 도메인 레코드를 분석하면 멀웨어와 관련될 수 있는 젊고 의심스러운 도메인 이름을 식별하는 데 도움이 될 수 있습니다.
- 네트워크 트래픽 분석: 일부 Remcos 변종은 SSL/TLS와 같은 표준 프로토콜이 아닌 AES-128 또는 RC4를 사용하여 네트워크 트래픽을 직접 암호화합니다. 네트워크 트래픽 분석은 이러한 비정상적인 트래픽 스트림을 식별하고 추가 분석을 위해 표시할 수 있습니다.
- 엔드포인트 보안: Remcos는 손상된 지표가 있는 잘 알려진 멀웨어 변종입니다. 방어 회피 기술에도 불구하고 엔드포인트 보안 솔루션은 시스템에서 이를 식별하고 해결할 수 있습니다.
Remcos 멀웨어 보호 with 체크 포인트
Remcos는 정교한 RAT이자 주요 멀웨어 위협 중 하나이지만 기업은 수많은 멀웨어 변종 및 기타 사이버 위협에도 직면해 있습니다. 체크포인트의 2022년 사이버 위협 보고서에서 주요 사이버 보안 위협에 대해 알아보세요.
체크 포인트 솔루션은 체크 포인트 위협 에뮬레이션을 통한 제로 데이 위협 보호를 포함하여 Remcos 및 기타 멀웨어 감염으로부터 보호합니다. 체크 포인트 Harmony Endpoint 는 업계 최고의 엔드포인트 보안 보호 기능을 활용하여 Remcos 및 기타 주요 멀웨어 위협의 위협을 완화합니다. 지금 무료 데모에 등록하여 자세히 알아보세요.