Remcos RAT

Данный троянец написан автором, под ником Viotto. На офсайте автора, есть и бесплатная версия, с ограниченным функционалом, которого всеравно достаточно для слежения за чужими компами.

К тому же, предлагаются

бесплатный биндер (склейщик файлов),

лоадер - Meteorite Downloader, который подгрузит на зараженную машину выря из указанной ссылки и запустит

И небольшая полезная программка - Administrator Switchboard, которая поможет в том случае, если некоторые важные функции вашей системы Windows были отключены вредоносным ПО.

О них, поподробнее будет в следующих постах, а то так и до трояна не доберемся.)))

Вкладка "Подключения" - это место, где можно контролировать все активные соединения. Каждая запись содержит базовую информацию об установленном компоненте сервера и зараженной системе. Это также основная вкладка для отправки команд зараженной системе. На рисунке ниже показан список команд, которые могут быть выполнены в зараженной системе. Он показывает, сколько контроля злоумышленник может получить на зараженной системе.

Вот так выглядит главное окно программы. На этой вкладке, содержатся подтверждения и некоторые рекламные акции других продуктов, разработанных автором по имени Viotto

Автоматические задачи, вероятно, самая интересная особенность Remcos, поскольку мы не видели ничего подобного на других RAT. Эта функция позволяет серверному компоненту автоматически выполнять функции без каких-либо ручных действий со стороны клиента после установления соединения. Это упрощает создание схемы выхода infiltrate-exfiltrate без каких-либо триггеров от злоумышленника, а это только то, как ведет себя обычный шпионский или вредоносный загрузчик.

Вкладка "Локальные настройки" содержит настройки для клиентской части. Здесь указываются порты, где клиентский компьютер ожидает подключения от своих серверов, вместе с паролями, которые будут использоваться. Поскольку Remcos использует пароль для шифрования, у порта прослушивания и подключающего сервера должны быть одинаковые пароли для успешного соединения. Поэтому, в основном, пароль используется как для аутентификации, так и для шифрования сетевого трафика.

Remcos использует простой алгоритм RC4, используя пароль как ключ для шифрования и дешифрования сетевого трафика между клиентом и сервером.

На вкладке «Builder» можно настроить параметры созданного двоичного сервера. Его можно разделить на несколько подразделов, как показано на изображении ниже.

Соnnection - устанавливает IP-адреса и порты клиента, к которым подключается сервер при установке. Он также позволяет установить пароль для аутентификации и шифрования.

Installation - настраивает путь установки, реестры автозапуска и модуль сторожевого таймера, который предотвращает завершение процесса и удаление его файлов и реестров. Также в этот раздел включена настройка для обхода UAC, который, как мы подозревали, существует ранее в нашей статье.

Таким образом, возможно, что злоумышленник использовал только макрос документа в качестве шаблона для загрузки и выполнения двоичного файла и никогда не предполагал использовать обход UAC скрипта, поскольку сам бинарный сервер уже имеет такую же функцию. Фактически, он использует тот же метод обхода UAC(доступно в платной версии), но на этот раз с добавленной процедурой, чтобы вернуть измененный реестр после получения привилегии. Это логично, поскольку не восстановление реестра может привести к системным ошибкам, которые могут вызывать подозрение у пользователя каждый раз, когда необходимо открыть файл .msc.

Stealth - в этом разделе указывается, должен ли сервер отображаться на значке в системном трее. Он также включает настройки для некоторых основных процедур анти-анализа / анти-песочницы и возможность скрыть процесс с помощью инъекции. Полная невидимость возможна в платной версии. Для домашнего использования, шоп проследить за ребенком, где он шарится, сойдёт и так, с минимизацией.

Keylogger - это обычные параметры для базовой функции кейлоггера. Интересно, однако, что он может также предоставить серверному компоненту функцию удаления cookie браузера и сохраненных паролей. Надеюсь, что пользователю придется повторно вводить свои пароли при входе на веб-сайты, и их можно захватить с помощью кейлоггера. (работает в платной версии)

Surveillance - дает серверу возможность периодически делать скриншоты системы или когда активные окна активны. Он также имеет функцию захвата звука, которая может быть сохранена локально для последующего извлечения. (работает в платной версии)

Build - дает возможность упаковать двоичный файл сервера, используя UPX и MPRESS.

На вкладке "Builder" можно настроить параметры созданного двоичного сервера. Его можно разделить на несколько подсекций, как показано на изображении ниже.