Trojaneren med fjernadgang (RAT) kan betragtes som et ældre værktøj for hackere. RAT er et malware-program, der bruger en bagdør til administrativ kontrol over den ønskede computer. RAT’er anvendes til langsomme, langsommelige, støtlige operationer som f.eks. APT’er (Advanced Persistent Threats). Ved hjælp af denne ondsindede teknik tager angriberne sig tid til at udforske offerets netværk og aktiver og derefter bevæge sig så stille som muligt for at nå deres mål uden at blive opdaget. Nogle APT’er har været i drift i årevis, og RAT’er er afgørende for at give angribere mulighed for at få adgang til mål, samtidig med at detektering undgås.

Selvom RAT’er har eksisteret i et stykke tid nu, er de ikke steget i popularitet blandt malware. RAT’er, der anses for at være komplicerede at udvikle og drive, kræver en høj hackerkompetence. Denne tendens ser ud til at ændre sig, efterhånden som RAT’er er blevet lettere tilgængelige og tilgængelige, hvilket øger antallet af RAT-ofre, som ikke kan opdage og afhjælpe denne malwaretrussel med deres sikkerhedsløsninger.

RAT’er er billige og kommercielt tilgængelige

De to vigtigste faktorer, der bidrager til den udbredte brug af RAT’er, er deres tilgængelighed og overkommelige priser. For eksempel gav værktøjet Imminent Monitor Remote Access Trojan cyberkriminelle fri adgang til ofrenes maskiner. Det var smart nok til at omgå antivirus- og malware-detektionssoftware, udføre kommandoer såsom registrering af tastetryk, stjæle data og adgangskoder og overvåge ofrene via deres webcams. Alt dette kunne gøres, uden at offeret bemærkede det.

Det var muligt at købe alle denne funktionsbaserede, gennemprøvede og brugervenlige pakke til så billige som $25. Heldigvis kunne det australske forbundspoliti (AFP), med international aktivitet koordineret af Europol og Eurojust, nedlægge RAT-infrastrukturen og arrestere flere af de mest produktive brugere af denne RAT. Myndighederne arresterede bygherren og en medarbejder fra IM-RAT i Australien og Belgien i juni 2019, og værktøjet, der blev brugt i 124 lande og solgte mere end 14.500 gange, er ikke længere tilgængeligt.

I Canada fandtes et fjernadgangsværktøj for administratorbrugere at være en RAT. Dens udviklings- og forretningsudviklingschef, der arbejdede fra Toronto under den juridiske enhed Orcus Technologies, blev anholdt. Retshåndhævende myndigheder udtalte, at duoen solgte og hjalp ondsindede aktører med at installere Orcus RAT på andres computere og drev en Dynamic Domain Server (DDNS)-tjeneste, der hjalp malwaren med at kommunikere med inficerede værter uden at afsløre hackerens rigtige IP-adresse.

Innovative infektionsmetoder

Når cyberkriminelle får fingrene i RAT, bruger de meget kreative metoder til at indlejre malwaren i ofrenes systemer. Selvom den bedste infektionsmetode stadig er via et våbendokument modtaget via e-mail, bliver andre metoder desværre mere og mere populære, såsom:

  • Masquerading som tetrisspil
    • en hackinggruppe brugte en open source-version af 90’ernes Tetris til at skjule PyXie RAT og inficere organisationer.
  • Via Facebook
    • en RAT ved navn FlawedAmmyy-inficerede militære mål. Forskere har fundet ud af, at en falsk Facebook-side efterligner en amerikansk-libysk militær officer ved navn Khalifa Haftar, der fokuserer på politik og hær. Vedhæftet er også URL’er til download af filer, der fortæller, at der er lækager fra Libyens efterretningsenheder, og endelig blev nogle URL’er præsenteret som lovlige websteder, hvor borgerne kan tilmelde sig hæren.
  • Brug af en falsk WebEx-mødeinvitation.

Anvende RAT’er til flere formål

Når hackerne er installeret, har de fuld fjernstyring over offerets system, som de kan misbruge på mange måder. Nogle hackere bruger den til at indsamle oplysninger om militære og diplomatiske mål, mens andre kan indhente personlige oplysninger, f.eks. oplysninger om hotelgæsters betaling.

Konklusionsskema

RAT’er er i stand til, tilgængelige og alt for overkommelige i pris til nemt at hacke i netværk, hvilket skaber en udfordring for organisationer, der har brug for at sikre sig mod denne trussel. De fleste eksisterende forebyggelsesmekanismer vil desværre ikke identificere RAT og forhindre infektion, fordi RAT’er ved, hvordan de skal forblive under deres radar. På samme måde vil de fleste slutpunktssikkerhedsmekanismer og netværks-/perimeterløsninger ikke hjælpe med at identificere RAT’er.

LogPoint kan identificere RAT-aktivitetsmønstre ved hjælp af avancerede korrelationsregler og maskinlæring og automatisk reagere på og afhjælpe “”low and slow””-malwaren med LogPoint SOAR ved hjælp af forudkonfigurerede playbooks. Klik her for at få mere at vide om LogPoint SIEM, UEBA og SOAR.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser