Remcos RAT: Nova kampanja zloupotrebe
Remcos RAT je moćan alat koji korisnicima pruža širok spektar mogućnosti za daljinsko upravljanje računarima pod njihovom kontrolom. Međutim, njegova zloupotreba od strane zlonamjernih aktera dovela je do značajnih bezbjednosnih zabrinutosti širom sveta. Vektor napada u novoj kampanji uključuje phishing elektronsku poštu koja sadrži zlonamjerni Excel dokument. Nakon interakcije sa elektronskom poštom, zlonamjerni softver se aktivira bez tradicionalnih instalacija softvera, što je tehnika poznata kao izvršavanje bez datoteka (eng. fileless).
REMCOS RAT
Remcos Remote Administration Tool (RAT) je komercijalno dostupan softver koji se može kupiti na internetu, omogućavajući kupcima daljinsku kontrolu nad ciljanim računarima. Uprkos njegovoj legitimnoj upotrebi u svrhe sistemske administracije, zlonamjerni akteri su ga zloupotrebili da bi dobili neovlašteni pristup uređajima žrtava i ukrali osjetljive informacije, kao i izvršili zlonamjerne aktivnosti.
Ovaj alat nudi široku lepezu naprednih funkcija koje omogućavaju zlonamjernom akteru da zadrži postojanu kontrolu nad kompromitovanim sistemima. Ove funkcije obuhvataju praćenje korisničkog unosa (eng. keylogging), snimanje ekrana, eksfiltraciju datoteka, izvršavanje sistemskih komandi, pa čak i instaliranje dodatnog zlonamjernog softvera. Svestranost i moć Remcos RAT softvera čine ga atraktivnim izborom za zlonamjerne aktere koji žele da izvrše različite vrste napada.
Nova kampanja
Kako pokazuje analiza sigurnosnih istraživača kompanije Fortinet, početna faza napada uključuje phishing elektronske poruke koje sadrže zlonamjerni Excel dokument kao sredstvo isporuke za ovu Remcos RAT varijantu. Zlonamjerni softver koristi ranjivost Microsoft Office paketa za produktivnost CVE-2017-019 (CVSS ocjena: 7.8) za postizanje početne infekcije. Zlonamjerni Excel dokument kao sredstvo isporuke sadrži mamce sa temom narudžbenice da ubijedi primaoce da otvore ovaj zlonamjerni dokument u prilogu elektronske poruke.
Nakon otvaranja datoteke, pokreće se daljinsko izvršenje kôda (eng. Remote Code Execution – RCE), omogućavajući Remcos RAT softveru da preuzme datoteku HTML aplikacije (HTA) sa udaljenog servera i pokrene je pomoću mshta.exe. HTA datoteka zatim izvršava Remcos korisni teret (eng. payload) na uređaju žrtve, uspostavljajući postojanost i pružajući zlonamjernom akteru mogućnosti daljinske kontrole.
Funkcionisanje
Kao što rečeno, Remcos RAT preuzima datoteku HTML aplikacije (HTA) sa udaljenog servera. Razlog za korištenje ovih datoteka je njena sposobnost da zaobiđe određena bezbjednosna ograničenja koja nameću internet pregledači, što je čini privlačnim za zlonamjerne aktere koji žele da isporuče zlonamjerni softver ili obavljaju druge zlonamjerne aktivnosti na Windows sistemima.
Kôd unutar HTA datoteke može se umotati u više slojeva koristeći različite jezike skripte i metode kôdiranja, uključujući JavaScript, VBScript, Base64 kodiran, URL kôdiran i PowerShell. Ovo zamagljivanje otežava bezbjednosnim alatima da otkriju i analiziraju zlonamjernu namjeru HTA datoteke, omogućavajući joj da izbjegne otkrivanje i izvrši svoje predviđeno opterećenje na ciljanom sistemu.
Kada HTA datoteku izvrši mshta.exe, ona može da preuzme dodatne datoteke ili komponente na uređaju žrtve, kao što su izvršne (EXE) datoteke. Ove preuzete datoteke su često u velikoj mjeri zamagljene i mogu da sadrže zlonamjerni kôd koji se izvršava nakon raspakivanja u određeni direktorijum.
Da bi se izbjeglo otkrivanje pomoću bezbjednosnih rješenja i alata za analizu, ova nova varijanta Remcos RAT zlonamjernog softvera koristi nekoliko tehnika antianalize. Jedna takva tehnika je korišćenje jedinstvenog API okruženja za inicijalizaciju koji nije nigdje dokumentovan, što čini obrnuti inženjering izazovnijim za istraživače. Pored toga, zlonamjerni softver šifruje svoje podatke o podešavanjima (eng. SETTINGS) da bi zaštitio osjetljive informacije kao što su IP adrese C&C servera i drugi detalji konfiguracije od otkrivanja tokom analize.
Kada se jednom izvrši na uređaju žrtve, Remcos RAT zlonamjerni softver počinje tako što se inicijalizuje koristeći nedokumentovani API koji je ranije pomenut. Blok SETTINGS sadrži šifrovane podatke koji se dešifruju pri pokretanju da bi se Remcos RAT pokrenuo sa svojim podešavanjima. Ove konfiguracije uključuju detalje kao što su IP adresa C&C servera, broj porta, Remcos ime, naziv muteksa, broj licence, lokalna datoteka evidencija za praćenje korisničkog unosa, otpremanje ili preuzimanje datoteka po želji, certifikati koji se koriste za komunikaciju i verifikaciju i različite oznake prekidača koje određuju da li su određene funkcije omogućeno ili onemogućeno.
Da bi zadržao pristup uređaju žrtve čak i nakon ponovnog pokretanja, Remcos RAT zlonamjerni softver koristi mehanizme postojanosti kao što su izmjene unosa u sistemskom registru ili kreiranje zakazanih zadataka koji automatski pokreću zlonamjerni softver nakon pokretanja. Ovo osigurava da zlonamjerni akteri mogu da nastave da kontrolišu kompromitovani uređaj i prikupljaju osjetljive informacije bez prekida.
Jednom inicijalizovan i registrovan na svom C&C serveru, Remcos RAT zlonamjerni softver nudi širok spektar naprednih funkcija za daljinsku kontrolu uređaja žrtava. To uključuje praćenje korisničkog unosa, snimanje ekrana, funkciju nadzora (koja osigurava da zlonamjerni softver ostane aktivan čak i ako je prekinut), audio snimanje, manipulaciju akreditivima za prijavu u internet pregledač i još mnogo toga. Zlonamjerni akteri mogu da izdaju komandne pakete Remcos RAT zlonamjernom softveru na uređaju žrtve, nalažući mu da izvrši jedne ili druge radnje po potrebi.
ZAKLJUČAK
Ova nova varijanta Remcos RAT zlonamjernog softvera predstavlja značajnu prijetnju digitalnoj bezbjednosti zbog svojih moćnih mogućnosti. Razumijevanje karakteristika ovog zlonamjernog softvera je ključno za prepoznavanje njegovih rizika. Ova nova varijanta uključuje mogućnosti praćenje korisničkog unosa za krađu osjetljivih informacija kao što su lozinke i brojevi kreditnih kartica. Pored toga, može da pravi snimke ekrana aktivnosti korisnika, pružajući zlonamjernim akterima vizuelni zapis o njihovim akcijama na kompromitovanom uređaju. Štaviše, Remcos RAT omogućava upravljanje datotekama, omogućavajući otpremanje ili preuzimanje datoteka po želji.
Napredne funkcije koje pruža ova nova varijanta čine je atraktivnim izborom za zlonamjerne aktere koji žele da ostvare kontrolu nad uređajima žrtve. Ove karakteristike uključuju pristup udaljenoj radnoj površini, ubacivanje procesa i mogućnost izvršavanja proizvoljnih komandi na kompromitovanom sistemu. Pored toga, Remcos RAT koristi različite tehnike antianalize kako bi se zaštitio od otkrivanja ili analize od strane sigurnosnih istraživača i alata za bezbjednost.
Korisnici moraju biti oprezni sa pokušajima phishing napada i biti svjesni rizika povezanih sa ovakvim alatima. Razumijevanjem karakteristika i taktika koje koristi Remcos RAT, pojedinci mogu preduzeti proaktivne mjere da se zaštite od ove moćne sajber prijetnje.
Organizacije takođe treba da investiraju u robusna bezbjednosna rješenja koja mogu da otkriju i spriječe zlonamjerni softver bez datoteka kao što je Remcos RAT. Redovno ažuriranje antivirusnog softvera i obuka zaposlenih o prepoznavanju pokušaja phishing napada su ključni koraci ka ublažavanju rizika povezanih sa ovakvim prijetnjama. Pored toga, primjena snažnog plana za reagovanje na incidente obezbjeđuje brzu akciju kada dođe do napada, smanjujući potencijalnu štetu po imovinu i reputaciju organizacije.
ZAŠTITA
Kako bi se zaštitili korisnici i organizacije, od zlonamjernih prijetnji kao što je Remcos RAT zlonamjerni softver, mogu se slijediti sljedeće preporuke:
- Instalirati i redovno ažurirati renomirani antivirusni softver na uređaju. Ovaj softver bi trebalo da bude u stanju da otkrije, spriječi i ukloni prijetnje od zlonamjernog softvera kao što je Remcos RAT zlonamjerni softver,
- Redovno ažurirati sve instalirane aplikacije i operativne sisteme na najnovije verzije. Ažuriranja često uključuju ispravke za poznate ranjivosti koje zlonamjerni akteri mogu da iskoriste,
- Primjenjivati oprez kada se otvaraju elektronske poruke nepoznatih pošiljalaca, posebno ako sadrže veze ili priloge. To bi potencijalno mogli biti phishing pokušaji dizajnirani da isporuče zlonamjerni softver kao što je Remcos RAT,
- Nikada klikati na veze u sumnjivoj elektronskoj pošti osim ako niste potpuno sigurni u njihovu autentičnost. Zlonamjerni akteri često koriste ove veze da usmjere korisnike na zaražene internet lokacije ili pokrenu preuzimanje zlonamjernih datoteka,
- Redovno se informisati o najnovijim prijetnjama iz sajber bezbjednosti, uključujući Remcos RAT. Ovo znanje će pomoći u prepoznavanju potencijalnih znakova infekcije i reagovanju na odgovarajući način. Pored toga, poželjno je podijeliti ove informacije sa drugima da bi se podigla i njihova svijest,
- Koristiti jake, jedinstvene lozinke za sve naloge. Izbjegavati korišćenje lako pogodnih fraza ili iste lozinke na više platformi. Razmisliti o korišćenju menadžera lozinki za bezbjedno generisanje i skladištenje složenih lozinki,
- Kad god je to moguće, omogućiti autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA) na nalozima na mreži. Ovo dodaje još jedan nivo sigurnosti tako što se zahtevaju i lozinka i verifikacioni kôd koji se šalju na uređaj ili elektronsku poštu pre nego što se odobri pristup,
- Redovno praviti rezervne kopije važnih podataka na spoljnom uređaju za skladištenje ili usluzi u oblaku. U slučaju da se sistem zarazi Remcos RAT zlonamjernim softverom, nedavne rezervne kopije će omogućiti vraćanje datoteka bez gubitka dragocjenih informacija,
- Uvjeriti se da je zaštitni zid omogućen na mreži i uređajima. Zaštitni zid može pomoći u blokiranju neovlaštenog pristupa sistemu i sprečavanju širenja zlonamjernog softvera kao što je Remcos RAT,
- Ograničiti korisničke naloge sa administrativnim privilegijama, prateći princip najmanje privilegija. To znači da korisnici treba da imaju samo dozvole neophodne za obavljanje svojih radnih funkcija, smanjujući potencijalni uticaj ako je nalog kompromitovan zlonamjernim softverom kao što je Remcos RAT,
- Redovno skenirati sistem i mrežu u potrazi za znakovima zlonamjernog softvera koristeći renomirane bezbjednosne alate. Ovo može pomoći u ranom otkrivanju infekcija i smanjivanju štete uzrokovane prijetnjama kao što je Remcos RAT.
Prateći ove preporuke, korisnici i organizacije značajno mogu smanjiti rizike povezane sa phishing pokušajima i zlonamjernim softverom kao što je Remcos RAT.