网络犯罪分子不受ToS的影响

文章来源：腾讯云开发者社区Ionut Ilascu

思科Talos的研究人员正在呼吁远程访问工具（RAT）的开发者允许其用于恶意目的。

该实用程序名为Remcos（远程控制和监视的简称），由一家名为Breaking Security的公司发行。它的商用价格从€58到€389，并具有完全控制任何版本的Windows操作系统，启动XP和包括服务器版本的功能。

其中包括远程功能，包括管理，监控，代理; 它还可以作为笔记本电脑的防盗工具。以下是演示视频，演示如何管理远程系统。

Remcos是一个完整的远程控制实用程序，能够同时处理与多个系统的连接。其管理员可以完全访问远程计算机，并从强大的管理，监视和网络功能中受益。

在鱼叉式网络钓鱼攻击中的Remcos有效载荷

根据思科的猜测，Remcos参与了多种恶意软件活动，这些活动使用各种方法来避免被发现。一些恶意行为的目标是能源和海运业的国防承包商，国际新闻机构，柴油设备制造商和服务提供商。

在塔洛斯在土耳其观察到的一场运动中，Remcos通过精心策划的鱼叉式网络钓鱼攻击得以传递，该攻击据称是土耳其税务局的官方通信，负责该国的税收。

“正如许多鱼叉式网络钓鱼活动一样，恶意的Microsoft Office文档会附加到电子邮件中。虽然这些文档中的大多数都是Excel电子表格，但我们也观察到利用Word文档的攻击者。在许多情况下，文件的内容被故意模糊，以吸引受害者启用宏并查看内容，“研究人员在他们的报告中写道。

根据Talos的调查结果，远程控制实用程序由名为Francesco Viotto的人开发。看来他从2016年就开始在HackForums上宣传该产品。

根据公司网站上的服务条款，Breaking Security的所有产品均用于合法目的，违反协议会导致许可证暂停或撤销。

Talos通过在黑客论坛中发布帖子来挑战开发人员的良好意图，其中Remcos经销商感谢客户在尝试使用200个机器人的工具后分享他们的积极体验。

在发送给Bleeping Computer的电子邮件中，该工具的作者遵守这一规定。

“我们有许多客户，包括IT管理，网络安全，企业主，私人用户等。现在，由于该软件的强大功能和多功能性，一些用户滥用它，通过使用它来控制他们没有所有权的机器在，“Viotto说。

“我们的使用条款明确禁止这一点，任何用户在我们的网站上注册和购买之前必须接受，”他继续道。

Viotto从经销商的回复中对“机器人”一词给出了不同的解释，称它可能意味着“远程自动控制机器”，并不一定意味着访问是未经许可的。

Viotto告诉Bleeping Computer，有很多方法可以确保用户不会滥用软件的功能。发现非法活动时，可以当场撤销许可证。

Viotto告诉我们，这种事情发生了好几次，阻止了正在进行的任何可疑活动。

“只要有证据，我们就会阻止许可证。但是，思科Talos从未联系我们报告我们软件的任何问题，“Viotto解释道。

他补充说，许可证代码对每个用户都是唯一的，并且在安装Remcos时会保存在系统的注册表中。这样可以轻松跟踪许可证被用于恶意或非法目的的用户。

Viotto还表示他没有收到研究人员/分析师滥用的通知，尽管专门为此设置的电子邮件地址发布在公司网站的联系方面。

“如果他们有兴趣阻止恶意活动，最简单的方法就是向我们报告滥用行为。我们本可以在10分钟内停止这项活动，即使是在全球范围内也是如此。我创建了这种保护功能，功能很强大，但是使用起来像翻转开关一样简单，“Viotto辩护道。

根据Talos的分析和他们的观察结果，Remcos是用于恶意活动的首选工具。该研究小组建议组织确保其安全控制措施考虑此RAT。

“Remcos是一个强大的工具，正在积极开发，包括增加攻击者可以访问的新功能，”研究人员说。

发表于: 2018-08-232018-08-23 00:00:00
原文链接：https://www.bleepingcomputer.com/news/security/cybercriminals-undeterred-by-tos-for-remcos-rat/
如有侵权，请联系 cloudcommunity@tencent.com 删除。

添加站长进交流群

领取专属 10元无门槛券

私享最新 技术干货