Networkforensic

Threat hunting

Remcos RAT Trojan

11 - September 2019  - Blog Post # 737

Remcos RAT Trojan
Det er første gang jeg har set en RAT blive solgt som tyveri beskyttelse. Men det er er hvad det er. Det bruges lige nu i forbindelse med malware SPAM kampanger. Ankommer via word DOC filer, som en indeholder en downloader til givne domæner som server payloaden Remcos RAT. Standard stuff.

Det er nok den RAT jeg har set med mest funktionalitet. Meget fint arbejde faktisk.


Igen ser jeg at HOSTs uden domæne som server exe filer og som JPG filer eller PNG filer. Hold derfor altid øje med disse triggers. Det er også meget klassisk at bruge "tricks" som dette.

Bemærk
Bemærk at jeg kan anbefale at benytte Security Onion. Er også blevet meget moden som et PCAP network forensic framework. Jeg er super fan af dette....

IDS Rules frigivet
IDS rule frigivet... Så happy hunting

 NF IDS Rules
5 Latest Updates   

Remcos RAT

Team-Cymru

Netsupport RAT

Netwire-RAT

DNS Tunneling TCP

Download