它是如何工作的?
Remcos 通常透過網路釣魚攻擊進行部署。該惡意軟體可能嵌入在偽裝成 PDF 的惡意 ZIP 檔案中,聲稱包含發票或訂單。另外,該惡意軟體也使用 Microsoft Office 文件和解壓並部署該惡意軟體的惡意巨集進行部署。
為了避免檢測,Remcos 使用過程注射或過程中空,這使其能夠在合法的過程中執行。 該惡意軟體還部署持久性機制並在後台運行以隱藏用戶。
作為 RAT,命令與控制 (C2) 是 Remcos 惡意軟體的核心功能。惡意流量在路由至 C2 伺服器時會加密,攻擊者使用分散式 DNS 為 C2 伺服器建立各種網域。 這使得惡意軟體有可能突破依賴過濾已知惡意域流量的保護措施。
Remcos 惡意軟體功能
Remcos 惡意軟體實際上是一家名為 Breaking Security 的德國公司以遠端控制和監視為名出售的合法工具,經常被駭客濫用。該惡意軟體的一些關鍵功能包括:
- 權限提升:Remcos 可在受感染系統上獲得管理員權限,並停用使用者帳戶控制 (UAC)。 這使攻擊者更容易執行惡意功能。
- 避免防禦:Remcos 使用程序注入來嵌入自己在合法的程序中,使防病毒更難檢測。 此外,惡意軟體可以在背景運行以隱藏自身,不讓使用者發現。
- 資料收集: Remcos 惡意軟體的核心功能之一是收集有關電腦使用者的資訊。它可以記錄按鍵,捕獲屏幕截圖,音頻和剪貼板內容,並從受感染系統收集密碼。
雷姆科斯感染的影響
Remcos 是一種複雜的 RAT,這意味著它授予攻擊者對受感染的計算機的完全控制權,並可用於各種攻擊。 雷姆科斯感染的一些常見影響包括:
- Account Takeover:Remcos 的一些核心功能是從受感染的電腦收集密碼和按鍵。 通過竊取使用者憑證,攻擊者可以取得線上帳戶和其他系統的控制權,使他們能夠竊取敏感資料,或擴大其在組織的 IT 環境中的基地。
- 資料竊取:Remcos 竊取按鍵和認證,但也可以從組織的系統收集和排出其他敏感資料。 因此,Remcos 可用於在初始受感染的計算機或通過受入侵的憑證訪問的其他系統上執行數據洩露。
- 後續感染: Remcos 使攻擊者可以在受感染的電腦上部署其他惡意軟體變體。這意味著 Remcos 感染可能會導致勒索軟體感染或對組織的其他後續攻擊。
如何防範 Remcos 惡意軟體
雖然 Remcos 是一種主要的惡意軟體變體,但組織可以透過實施安全最佳實踐來保護自己免受感染。預防雷姆科斯感染的一些方法包括:
- 電子郵件掃描: Remcos 主要透過 C 進行分發。識別和阻止可疑電子郵件的電子郵件掃描解決方案可以防止惡意軟體到達使用者的收件匣。
- 內容解除與重建 (CDR): Remcos 惡意軟體通常嵌入文件檔案中,例如 Microsoft Office 檔案。CDR 可以拆卸文件、消除惡意內容,並重新建以將已消毒的文件傳送給預定收件者。
- 網域分析:Remcos 使用 DDNS 創建多個網域,以避免基於網域的惡意網站封鎖。 對各個端點請求的網域記錄的分析可以幫助識別可能與惡意軟體相關的年輕且可疑的網域記錄。
- 網路流量分析:某些 Remcos 變體直接使用 AES-128 或 RC4 而不是 SSL/TLS 等標準協定對其網路流量進行加密。網路流量分析可以識別這些異常流量並將其標記以供進一步分析。
- 端點資安: Remcos 是一種眾所周知的惡意軟體變體,具有已確定的危害指標。儘管有防禦規避技術,端點資安解決方案可以在系統上識別並修復它。
使用 Check Point 保護 Remcos 惡意軟體
Remcos 是一種複雜的 RAT,也是主要的惡意軟體威脅之一,但該公司也面臨眾多惡意軟體變體和其他網路威脅。在 Check Point 的2022 年網路威脅報告中了解主要的網路安全威脅。
Check Point 解決方案可防止 Remcos 和其他惡意軟體感染,包括透過 Check Point 威脅模擬提供的零時差威脅防護。Check Point Harmony 端點利用業界領先的端點資安保護來減輕 Remcos 和其他主要惡意軟體威脅。立即報名參加免費演示,了解更多。