Remcos是一種遠程訪問木馬（RAT），是2021年十大惡意軟件變種之一。感染計算機后，Remcos為攻擊者提供對受感染系統(tǒng)的后門訪問，并收集各種敏感信息。

它是如何工作的？

Remcos 通常通過網絡釣魚攻擊進行部署。該惡意軟件可能嵌入偽裝成聲稱包含發(fā)票或訂單的 PDF 的惡意 ZIP 文件中。或者，該惡意軟件也已使用 Microsoft Office 文檔和解壓縮并部署該惡意軟件的惡意宏進行部署。

為了逃避檢測，Remcos 使用進程注入或進程挖空，使其能夠在合法進程內運行。該惡意軟件還部署了持久性機制并在后臺運行以隱藏用戶。

作為 RAT，命令和控制 (C2) 是Remcos惡意軟件的核心功能。惡意流量在前往 C2 服務器的途中被加密，攻擊者使用分布式 DNS 為 C2 服務器創(chuàng)建各種域。這使得惡意軟件有可能破壞依賴于過濾到已知惡意域的流量的保護。

Remcos惡意軟件功能

Remcos惡意軟件實際上是一家名為 Breaking Security 的德國公司以 Remote Control and Surveillance 的名義出售的合法工具，經常被黑客濫用。該惡意軟件的一些關鍵功能包括：

• 特權提升： Remcos 可以獲得受感染系統(tǒng)的管理員權限并禁用用戶帳戶控制 (UAC)。這使攻擊者更容易執(zhí)行惡意功能。
• 防御規(guī)避： Remcos 使用進程注入將自身嵌入到合法進程中，使防病毒軟件更難檢測到。此外，該惡意軟件可以在后臺運行以對用戶隱藏自身。
• 數據收集： Remcos惡意軟件的核心功能之一是收集有關計算機用戶的信息。它可以記錄擊鍵、捕獲屏幕截圖、音頻和剪貼板內容，并從受感染的系統(tǒng)收集密碼。

Remcos 感染的影響

Remcos 是一種復雜的RAT，這意味著它授予攻擊者對受感染計算機的完全控制權，并可用于各種攻擊。Remcos 感染的一些常見影響包括：

• 帳戶接管： Remcos 的一些核心功能是從受感染的計算機收集密碼和擊鍵。通過竊取用戶憑據，攻擊者可以獲得對在線帳戶和其他系統(tǒng)的控制權，使他們能夠竊取敏感數據或擴大其在組織 IT 環(huán)境中的立足點。
• 數據竊取： Remcos 竊取擊鍵和憑據，但也可以從組織的系統(tǒng)中收集和泄露其他敏感數據。因此，Remcos 可用于在最初受感染的計算機或通過受損憑據訪問的其他系統(tǒng)上執(zhí)行數據泄露。
• 后續(xù)感染： Remcos 使攻擊者有可能在受感染的計算機上部署其他惡意軟件變體。這意味著 Remcos 感染可能導致勒索軟件感染或對組織的其他后續(xù)攻擊。

如何防范 Remcos惡意軟件

雖然 Remcos 是領先的惡意軟件變體，但組織可以通過實施安全最佳實踐來保護自己免受感染。一些預防 Remcos 感染的方法包括：

• 電子郵件掃描： Remcos 主要通過 C 分發(fā)。識別和阻止可疑電子郵件的電子郵件掃描解決方案可以防止惡意軟件到達用戶的收件箱。
• 內容解除和重建 (CDR)： Remcos惡意軟件通常嵌入文檔文件中，例如 Microsoft Office 文件。CDR可以分解文檔、刪除惡意內容并重建經過消毒的文檔以發(fā)送給預期的收件人。
• 域分析： Remcos 使用DDNS創(chuàng)建大量域以逃避基于域的惡意站點阻止。分析各種端點請求的域記錄可以幫助識別可能與惡意軟件相關聯(lián)的新域名和可疑域名。
• 網絡流量分析：一些 Remcos 變體使用 AES-128 或 RC4 而非標準協(xié)議（如 SSL/TLS）直接加密其網絡流量。網絡流量分析可以識別這些不尋常的流量流，并標記它們以供進一步分析。
• 端點安全： Remcos 是一種眾所周知的惡意軟件變體，具有已確定的危害指標。盡管有防御規(guī)避技術，但端點安全解決方案可以在系統(tǒng)上識別和修復它。