雷姆科斯恶意软件

Remcos（Remote Control and Surveillance 的缩写）是一款适用于 XP 及更新版本 Windows 的商业系统管理应用软件，威胁分子已将其武器化。Remcos 是一款封闭源代码的应用程序，设计用于网络维护、系统监控、监视和渗透测试，但攻击者利用它来远程利用目标系统。尽管供应商 Breaking Security 声称 Remcos 是合法的安全工具，但它已被 CISA 标记为恶意软件，并被列入2021 年顶级恶意软件菌株名单。

Remcos 功能强大，能够对受害者的系统进行持久的高权限远程控制，因此其恶意能力几乎是无限的。它通常用于窃取凭证、中间人（MiTM）互联网连接，以及协调僵尸僵尸网络，从而发起同步分布式拒绝服务（DDoS）攻击。它于 2016 年首次发布，售价为 58-389 英镑（66-439 美元），具体取决于所含许可证和功能的数量。

Remcos 是通过电子邮件钓鱼活动传播的，这些活动试图利用社交工程策略（如与 COVID 相关的垃圾邮件）诱骗目标打开恶意 Microsoft Office 文档。如果目标打开所附文档并启用宏，Remcos的分级器就会通过劫持Windows注册表绕过Microsoft Windows的用户账户控制，以高级系统权限执行Remcos的主要有效载荷。为了保持对被入侵系统的持续访问，Remcos会添加一个Windows注册表自动启动键，以便在受感染系统重新启动后执行恶意软件。

Remcos 是一款基于 Windows 的应用程序，由 C++ 和 Delphi 编写。它能够使用多线程远程脚本进行高性能开发。它有多种远程访问选项，如命令 shell 访问、服务管理器界面、SOCKS5 远程代理和易于使用的管理员图形用户界面。 

Remcos 使用基于 TCP 的定制协议来建立加密连接，并使用keepalive来在不稳定的网络上维持其命令与控制（C2）连接。这些高效而强大的工具使 Remcos 成为维护僵尸僵尸网络和代理被入侵主机互联网流量的首选恶意软件。

防止雷姆科斯攻击需要结合几种关键的防御策略，包括

• 在所有设备上安装和配置高级端点安全产品，以便在 Remcos 进入网络时识别并阻止其执行
• 确保使用有效和最新的垃圾邮件过滤器，防止 Remcos 的第一阶段攻击首先进入收件箱
• 为员工提供用户意识培训，降低社交工程和网络钓鱼攻击得逞的可能性

防止雷姆科斯袭击成功的更多方法

• 使用垃圾邮件过滤安全产品识别第一阶段 Remcos 网络钓鱼附件，防止其进入收件箱
• 安装和配置高级端点安全产品，以便在雷姆科斯主要有效载荷进入网络时或执行前对其进行检测
• 考虑开展用户意识培训，让员工了解网络钓鱼技术；制定处理可疑电子邮件和文件的标准操作程序 (SOP)
• 配置电子邮件客户端，以便在电子邮件来自组织外部时通知用户
• 认识到来源不明的文件所带来的更大风险，并在打开这些文件之前彻底核实其来龙去脉
• 确保 Office 应用程序配置为 在无通知的情况下禁用所有宏或 禁用除数字签名宏以外的所有宏设置
• 特别注意电子邮件客户端和 Office 应用程序中的警告通知，它们会提醒您注意可疑的上下文，例如未经恶意软件扫描或包含 VBA 宏的文件