Der Remote-Access-Trojaner (RAT) kann heute als Legacy-Tool für Hacker betrachtet werden. Der RAT ist ein Malware-Programm, das eine Backdoor (Hintertür) nutzt, um die administrative Kontrolle über einen Zielcomputer zu erlangen. RATs werden für langfristig angelegte, sich langsam ausbreitende Operationen wie APTs (Advanced Persistent Threats) eingesetzt. Bei dieser böswilligen Technik nehmen sich die Angreifer Zeit, um die Netzwerke und Assets der Opfer zu erkunden, und breiten sich dann so unauffällig wie möglich aus, um ihre Ziele unentdeckt zu erreichen. Einige APTs sind über Jahre hinweg aktiv, und RATs sind entscheidend, um Angreifern den Zugriff auf ihre Ziele zu ermöglichen, ohne erkannt zu werden.
Obwohl es RATs schon seit geraumer Zeit gibt, hat ihre Popularität unter den Schadprogrammen bisher nicht zugenommen. RATs gelten als kompliziert in Entwicklung und Betrieb und erfordern ein hohes Maß an Fertigkeiten von Hackern. Dieser Trend scheint sich nun zu ändern, da RATs immer einfacher erhältlich und gut zugänglich sind. Somit steigt auch die Zahl der RAT-Opfer, die diese Malware-Bedrohung mit ihren Sicherheitslösungen nicht erkennen und abwehren können.
RATs sind preiswert und kommerziell verfügbar
Die beiden Hauptfaktoren, die zur zunehmenden Nutzung von RATs beitragen, sind ihre Verfügbarkeit und Erschwinglichkeit. So verschaffte beispielsweise ein Tool namens „Imminent Monitor Remote Access Trojan“ Cyberkriminellen freien Zugang zu den Rechnern der Opfer. Diese schadhafte Software war ausgeklügelt genug, um Antiviren-Lösungen sowie Software zur Malware-Erkennung zu umgehen und Befehle auszuführen. Hierzu zählten beispielsweise die Aufzeichnung von Tastatureingaben, der Diebstahl von Daten und Passwörtern sowie die Beobachtung der Opfer über ihre Webcams. All dies konnte geschehen, ohne dass die Opfer es bemerkten.
Dabei war es möglich, dieses funktionsreiche, praxiserprobte und einfach zu nutzende Package für nur 25 US-Dollar zu erwerben. Glücklicherweise konnte die australische Bundespolizei (AFP: Australian Federal Police) im Rahmen einer international koordinierten Aktion zusammen mit Europol und Eurojust die RAT-Infrastruktur ausschalten und einige der aktivsten Nutzer dieses RATs festnehmen. Die Behörden verhafteten im Juni 2019 den Entwickler sowie einen Mitarbeiter von IM-RAT in Australien und Belgien. Das Tool, das in 124 Ländern eingesetzt und mehr als 14.500 Mal verkauft wurde, ist nicht mehr erhältlich.
In Kanada wurde ein Remote-Access-Tool für Administratoren identifiziert, das als RAT fungiert. Der Entwickler und der Business Development Manager, die als juristische Person „Orcus Technologies“ auftraten und von Toronto aus agierten, wurden festgenommen. Die Strafverfolgungsbehörden gaben an, dass das Duo Cyberkriminelle dabei unterstützte, Orcus-RAT auf den Computern anderer Personen zu installieren. Die beiden betrieben einen DDNS-Server (DDNS: Dynamic Domain Name Service), der es der Malware ermöglichte, mit infizierten Hosts zu kommunizieren, ohne die echte IP-Adresse des Hackers preiszugeben.
Raffinierte Infektionsmethoden
Sobald Cyberkriminelle den RAT in die Hände bekommen haben, wenden sie sehr kreative Methoden an, um die Malware in die Systeme der Opfer einzubetten. Die beliebteste Infektionsmethode ist zwar immer noch ein „als Waffe eingesetztes“ Dokument, das per E-Mail verschickt wird, aber leider gewinnen auch andere Methoden an Popularität, wie beispielsweise:
- Getarnt als das Spiel Tetris:
- Eine Hacker-Gruppierung nutzte eine Open-Source-Version des 90er-Jahre-Spiels Tetris, um PyXie RAT zu tarnen und Unternehmen zu infizieren.
- Via Facebook:
- Ein RAT namens FlawedAmmyy infizierte militärische Ziele. Forscher fanden heraus, dass eine fingierte Facebook-Seite einen vermeintlichen amerikanisch-libyschen Militäroffizier namens Khalifa Haftar präsentierte, der sich auf Politik und Armee konzentrierte. Zudem wurden URLs zum Download von Dateien angehängt, die angeblich von libyschen Geheimdiensten stammen. Darüber hinaus wurden auch einige URLs als legitime Websites präsentiert, auf denen sich Bürger für die Armee anmelden können.
- Der Versand von fingierten Einladungen zu WebEx-Meetings
Die Nutzung von RATs für verschiedene Zwecke
Einmal installiert, haben Hacker die vollständige Remote-Kontrolle über das System des Opfers, die sie auf vielfältige Weise missbrauchen können. Einige Hacker nutzen diese, um Informationen über militärische und diplomatische Ziele zu sammeln. Andere wiederum rufen persönliche Daten ab, wie beispielsweise die Zahlungsinformationen von Hotelgästen.
Fazit
RATs sind verfügbar, sehr erschwinglich und in der Lage, einfach in Netzwerke einzudringen. Das ist eine Herausforderung für Unternehmen, die sich gegen diese Form der Bedrohung schützen müssen. Leider können die meisten vorhandenen Präventionsmechanismen RATs nicht erkennen und eine Infektion verhindern, da sie es verstehen, unter dem Radar zu bleiben. Auch die meisten Sicherheitsmechanismen für Endgeräte sowie Netzwerk- und Perimeter-Lösungen helfen nicht bei der Erkennung von RATs.
LogPoint kann RAT-Verhaltensmuster mithilfe von hochentwickelten Korrelationsregeln und maschinellem Lernen identifizieren. Zudem kann LogPoint SOAR mit vorkonfigurierten Playbooks automatisch auf sich langsam ausbreitende Malware reagieren und diese entschärfen. Informieren Sie sich über LogPoint SIEM, UEBA und SOAR.
