それはどのように機能しますか?
Remcosは、通常、フィッシング攻撃を介して展開されます。 このマルウェアは、請求書や注文書が含まれていると主張するPDFを装った悪意のあるZIPファイルに埋め込まれている可能性があります。また、マルウェアは、Microsoft Officeドキュメントと悪意のあるマクロを使用して展開され、マルウェアを解凍して展開します。
検出を回避するために、Remcosはプロセスインジェクションまたはプロセスホロウ化を使用して、正当なプロセス内で実行できるようにします。 また、このマルウェアは永続化メカニズムを展開し、バックグラウンドで実行してユーザーから隠蔽します。
RATとしてのコマンド&コントロール(C2)は、Remcosマルウェアの中核的な機能です。 悪意のあるトラフィックはC2サーバーへの途中で暗号化され、攻撃者は分散DNSを使用してC2サーバー用のさまざまなドメインを作成します。 これにより、マルウェアは、既知の悪意のあるドメインへのトラフィックのフィルタリングに依存する保護を無効にすることができます。
Remcos マルウェアの機能
Remcos マルウェアは、実際には Breaking Security という名前のドイツの会社が Remote Control and Surveillance という名前で販売している正規のツールであり、ハッカーによって一般的に悪用されています。 マルウェアの主な機能には、次のようなものがあります。
- 特権の昇格: Remcosは、感染したシステムの管理者権限を取得し、ユーザーアカウント制御(UAC)を無効にすることができます。 これにより、攻撃者は悪意のある機能を実行しやすくなります。
- 防御回避: Remcosは、プロセスインジェクションを使用して正当なプロセスに自身を埋め込むため、ウイルス対策による検出がより困難になります。 さらに、マルウェアはバックグラウンドで実行され、ユーザーから身を隠すことができます。
- データ収集: Remcos マルウェアのコア機能の 1 つは、コンピューターのユーザーに関する情報を収集することです。 キーストロークを記録し、スクリーンショット、オーディオ、クリップボードの内容をキャプチャし、感染したシステムからパスワードを収集できます。
レムコス感染の影響
Remcosは高度な RATであり、攻撃者が感染したコンピューターを完全に制御できるようにし、さまざまな攻撃に使用できます。 Remcos感染の一般的な影響には、次のようなものがあります。
- Account Takeover: Remcos のコア機能の一部は、感染したコンピューターからパスワードとキーストロークを収集することです。 攻撃者は、ユーザーの資格情報を盗むことで、オンラインアカウントやその他のシステムを制御し、機密データを盗んだり、組織のIT環境内で足場を拡大したりすることができます。
- データの盗難: Remcosは、キーストロークと資格情報を盗みますが、組織のシステムから他の機密データを収集して盗み出すこともできます。 その結果、Remcosを使用して、最初に感染したコンピューターまたは侵害された資格情報を介してアクセスされた他のシステムのいずれかでデータ侵害を実行できます。
- その後の感染症:。 Remcos を使用すると、攻撃者は感染したコンピューターに追加のマルウェアの亜種を展開することができます。 これは、Remcos感染がランサムウェア感染または組織に対するその他の追加攻撃につながる可能性があることを意味します。
Remcos マルウェアから保護する方法
Remcosは主要なマルウェアの亜種ですが、組織はセキュリティのベストプラクティスを実装することで感染から身を守ることができます。 Remcos感染を防ぐ方法には、次のようなものがあります。
- メールスキャン: Remcosは主にC言語を介して配布されます。 不審なメールを特定してブロックするメールスキャンソリューションは、マルウェアがユーザーの受信トレイに到達するのを防ぐことができます。
- コンテンツの無害化と再構築(CDR): Remcos マルウェアは、通常、Microsoft Office ファイルなどのドキュメント ファイルに埋め込まれています。 CDR は、ドキュメントを逆アセンブルし、悪意のあるコンテンツを削除し、サニタイズされたドキュメントを再構築して、目的の受信者に送信できます。
- ドメイン分析: Remcosは DDNS を使用して多数のドメインを作成し、悪意のあるサイトのドメインベースのブロックを回避します。 さまざまなエンドポイントから要求されたドメインレコードを分析すると、マルウェアに関連付けられている可能性のある若くて疑わしいドメイン名を特定するのに役立ちます。
- ネットワークトラフィック分析: 一部のRemcosバリアントは、SSL/TLSなどの標準プロトコルではなく、AES-128またはRC4を使用してネットワークトラフィックを直接暗号化します。 ネットワーク トラフィック分析では、これらの異常なトラフィック ストリームを特定し、さらに分析するためにマークを付けることができます。
- エンドポイント セキュリティ: Remcosは、侵害の痕跡が確立されているよく知られたマルウェアの亜種です。 防御回避技術にもかかわらず、エンドポイント セキュリティ ソリューションは、システム上でそれを特定して修復できます。
Remcos マルウェア Protection with チェック・ポイント
Remcosは高度なRATであり、主要なマルウェアの脅威の1つですが、企業は多数のマルウェアの亜種やその他のサイバー脅威にも直面しています。 主要なサイバーセキュリティの脅威については、チェック・ポイントの 2022年サイバー脅威レポートをご覧ください。
チェック・ポイントのソリューションは、チェック・ポイントの脅威エミュレーションによる ゼロデイ脅威 保護など、Remcosやその他のマルウェア感染から保護します。 チェック・ポイント Harmony Endpoint は、業界をリードするエンドポイントセキュリティ保護を活用して、Remcosやその他の主要なマルウェアの脅威を軽減します。 今すぐ無料デモにサインアップして、詳細をご覧ください。
Feedback