Backdoor.Win32.Remcos

شرح کلی

نوع: درب‌پشتی (Backdoor)

درجه تخریب: بالا

میزان شیوع: متوسط

اسامی بدافزار

  • Backdoor.Win32.Remcos (Padvish)
  • Backdoor.Win32.Remcos (Kaspersky)
  • A Variant Of Win32/Rescoms (Eset)
  • Backdoor:Win32/Remcos (Microsoft)

بدافزار درب‌پشتی (Backdoor) چیست؟

بدافزارهای درب‌پشتی برنامه‌هایی هستند که امکان دور زدن مکانیزم‌های امنیتی یک سیستم را به هکرها داده و منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگران قرار می‌دهند. نفوذگران می‌توانند با استفاده از این روش، بدون نیاز به اعتبارسنجی وارد سیستم مورد نظر شده و از تغییر نام کاربری و رمز عبور نگرانی نداشته باشند. بدافزارهای درب‌پشتی اَشکال مختلفی دارند که هکرها بنابر اهداف خود از نفوذ به منابع یک سیستم، از آنها استفاده می‌کنند.

بدافزار Remcos

این بدافزار در واقع یک (RAT) Remote Access Trojan است و هدف آن سرقت اطلاعات و جاسوسی از سیستم قربانی است. از قابلیت‌های آن می‌توان به ضبط فیلم و صوت،keylogging و ایجاد شل معکوس برای مهاجم اشاره کرد.

توضیحات فنی

علائم آلودگی

وجود فایل‌ها و پوشه‌های زیر در سیستم:

%ProgramData%\Remcos\

%Temp%\logs.dat or %ProgramData%\Remcos\logs.dat

%AppData%\Roaming\Screenshots

%ProgramData%\Remcos\MicRecords

وجود کلیدهای رجیستری زیر:

HKCU\Software\ Rmc-[RandmString]

[HKCU/HKLM]\Software\Microsoft\Windows\CurrentVersion\Run\Remcos

[HKLM]\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Remcos

وجود (زیر) پردازه‌های نگهبان مشکوک با فایل‌های سالم مانند زیر:

svchost.exe, rmclient.exe, fsutil.exe

شرح عملکرد

Remcos، تروجان دسترسی از راه دور (RAT) شناخته شده‌ای از نوع بک‌دورهاست که قابلیت‌های متنوعی را برای نفوذگر از راه دور فراهم می‌کند. این قابلیت‌ها می‌تواند براساس پیکربندی اولیه تعبیه شده در فایل بدافزار و یا از طریق سرور کنترل و فرماندهی روی سیستم قربانی اجرا شود.

پیکربندی اولیه بدافزار

پیکربندی اولیه بدافزار به صورت رمز شده در بخش Resources فایل با نام “SETTINGS” نگهداری می‌شود. این پیکربندی شامل مواردی هم‌چون آدرس دامنه سرور کنترل و فرمان بدافزار و اسامی/مقادیر کلید رجیستری بدافزار و همچنین اسامی پوشه‌ها/فایل‌های مورد نظر بدافزار است. در تصویر زیر، بخشی از نمونه پیکربندی بدافزار Remcos آورده شده است.

نمونه پیکربندی بدافزار Remcos

قابلیت‌های بدافزار

بدافزار پس از استخراج مقادیر پیکربندی اولیه خود، اقدام به برقراری ارتباط با سرور کنترل و فرمان خود کرده و به صورت مکرر، دستورات نفوذگر را از این طریق دریافت و روی سیستم قربانی اجرا می‌کند. همان‌گونه که در تصویر بالا مشخص است، آدرس مهاجم از راه دور، timremcos[.]ddns[.]net:5316 می‌باشد.

قابلیت‌های قابل اجرا توسط بدافزار براساس پیکربندی اولیه یا دستور مهاجم از راه دور به شرح زیر می‌باشد:

  • ارتقا سطح دسترسی کاربر به سطح دسترسی ادمین
  • غیرفعال‌سازی LUA
  • ایجاد کپی بدافزار در مسیر درج شده در پیکربندی بدافزار
  • ایجاد بقا برای فایل بدافزار با استفاده از کلید رجیستری Run
  • ایجاد پردازه نگهبان
  • حذف کوکی و پسوردها از مرورگرها
  • غیرفعا‌ل‌سازی قابلیت جلوگیری از اجرای Data (Data Execution Prevention)
  • ضبط صدا
  • ضبط کلیدهای فشرده شده صفحه کلید و گرفتن اسکرین‌شات از دسکتاپ قربانی
  • استخراج مشخصات سیستم قربانی مانند اطلاعات پردازنده
  • ارسال اطلاعات فعلی سیستم شامل لیست پردازه‌ها و پنجره‌ها، نرم‌افزارهای نصب شده، مختصات مکانی قربانی
  • ارسال اطلاعات ذخیره شده در مرورگرها شامل کوکی و رمزهای عبور
  • مدیریت نمایش سیستم شامل بستن/ باز کردن یا تغییر اندازه پنجره‌های سیستم قربانی، خاموش یا راه‌اندازی مجدد یا قفل کردن (Lock) سیستم قربانی، تغییر Wallpaper سیستم قربانی
  • مدیریت کلیپ‌بورد، شامل استخراج مقدار فعلی، تغییر مقدار یا حذف مقدار از آن
  • مدیریت سیستم فایل شامل ایجاد، حذف، تغییر نام، آپلود یا دانلود فایل از سرور کنترل و فرمان یا آدرس اینترنتی مورد نظر نفوذگر
  • مدیریت رجیستری سیستم قربانی با ایجاد/حذف/پرس‌و‌جوی کلیدهای رجیستری
  • مدیریت سرویس‌های سیستم قربانی شامل پرس‌و‌جو، تغییر پیکربندی و کنترل سرویس‌ها
  • پخش فایل صوتی
  • ایجاد شِل معکوس برای نفوذگر به واسطه اجرای پردازه cmd.exe
  • بروزرسانی بدافزار
  • دانلود و اجرای ماژول‌های جدید از نفوذگر شامل ماژول ضبط فیلم، ماژول اجرای پروکسی

لیست دستورات قابل دریافت از نفوذگر در نسخه‌های مختلف ابزار Remcos می‌تواند متفاوت و یا قابل سفارشی‌سازی باشد. در این گزارش تنها به دستورات موجود در فایل پیکربندی بسنده شده است.

روش مقابله و پاک‌سازی سیستم

آنتی‌ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. جهت پیشگیری از ورود این نوع از بدافزارها به سیستم پیشنهاد می‌شود:

  • از کلیک بر روی لینک‌های مشکوک خودداری نموده و فایل‌های ضمیمه ایمیل‌ها را با آنتی‌ویروس پویش کنید.
  • از اجرای فایل‌های مشکوک که منبع آنها مشخص یا مطمئن نیستند، خودداری کنید.

  مقاله برای 0 نفر مفید بود.