RAT-trojaneren (Remote Access Trojan) kan anses som et gammelt verktøy for hackere. RAT er et ondsinnet program som bruker en bakdør for administrativ kontroll over den målrettede datamaskinen. RAT-er brukes til lave og langsomme, langvarige, skjulte operasjoner som APT-er (Advanced Persistent Threats). Ved å bruke denne ondsinnede teknikken tar angriperne seg tid til å utforske offerets nettverk og verdier, og deretter bevege seg rundt så stille som mulig for å oppnå målene sine uten å bli oppdaget. Noen APT-er har vært i drift i mange år, og RAT-er er avgjørende for å gjøre det mulig for angripere å nå mål samtidig som de unngår deteksjon.

Selv om RAT-er har eksistert en god stund nå, har de ikke blitt mer populære blant ondsinnede programmer. RAT-er anses som kompliserte å utvikle og bruke og krever gode hackerferdigheter. Denne trenden ser ut til å endre seg, ettersom RAT-er har blitt lettere tilgjengelige, noe som øker antallet RAT-ofre som ikke kan oppdage og redusere denne trusselen mot skadelig programvare med sikkerhetsløsningene sine.

RAT-er er billige og kommersielt tilgjengelige

De to viktigste faktorene som bidrar til utstrakt bruk av RAT-er er tilgjengelighet og pris. Et verktøy kalt Imminent Monitor Remote Access Trojan ga for eksempel nettkriminelle fri tilgang til offerets maskiner. Det var smart nok til å omgå programvare for oppdagelse av virus og ondsinnet programvare, utføre kommandoer som å registrere tastetrykk, stjele data og passord og se ofrene via webkameraene deres. Alt dette kan gjøres uten at offeret legger merke til det.

Det var mulig å kjøpe alle disse funksjons- og felttestede, brukervennlige pakkene for så billig som $25. Heldigvis klarte det australske føderale politiet (AFP), med internasjonal aktivitet koordinert av Europol og Eurojust, å ta ned RAT-infrastrukturen og arrestere flere av de mest produktive brukerne av denne RAT-en. Myndighetene arresterte utvikleren og en ansatt i IM-RAT i Australia og Belgia i juni 2019, og verktøyet som ble brukt i 124 land og solgt mer enn 14 500 ganger, er ikke lenger tilgjengelig.

I Canada ble det funnet at et fjerntilgangsverktøy for administratorbrukere var en RAT. Utvikleren og forretningsutviklingssjefen, som arbeider fra Toronto under den juridiske enheten Orcus Technologies, ble arrestert. Lovhåndhevende byråer uttalte at duoen solgte og hjalp ondsinnede aktører med å installere Orcus RAT på andres datamaskiner og kjørte en Dynamic Domain Server (DDNS)-tjeneste som hjalp ondsinnet programvare med å kommunisere med infiserte verter uten å avsløre hackerens reelle IP-adresse.

Innovative infeksjonsmetoder

Når nettkriminelle får tak i RAT, bruker de svært kreative måter å bygge inn skadelig programvare på offerets systemer på. Selv om den beste infeksjonsmetoden fortsatt er via et våpenbasert dokument som mottas via e-post, er det dessverre andre metoder som blir stadig mer populære, for eksempel:

  • Maskering som Tetris-spill,
    • en hackergruppe brukte en open source-versjon av tetris fra 90-tallet til å skjule PyXie RAT og infisere organisasjoner.
  • Via Facebook
    • en RAT kalt FlawedAmmyy infiserte militære mål. Forskere fant ut at en falsk Facebook-side utgir seg for å være en amerikansk-Libysk militæroffiser ved navn Khalifa Haftar med fokus på politikk og hæren. Vedlagt finner du også URL-adresser for nedlasting av filer som viser at de lekker fra Libyas etterretningsenheter, og til slutt ble noen URL-adresser presentert som legitime nettsteder der innbyggerne kan registrere seg for hæren.
  • Bruk av falsk WebEx møteinvitasjon.

Bruk RAT-er til flere formål

Når hackere er installert, har de full fjernstyring over offerets system, noe de kan misbruke på mange måter. Noen hackere bruker den til å samle inn informasjon om militære og diplomatiske mål, mens andre kan innhente personopplysninger, for eksempel betalingsopplysninger om hotellgjester.

Konklusjon

RTT-er er i stand til, tilgjengelig og svært rimelig til å hacke seg inn i nettverk på en enkel måte, noe som skaper en utfordring for organisasjoner som har behov for å sikre seg mot denne trusselen. Dessverre vil de fleste eksisterende forebyggende mekanismer ikke identifisere RAT og forebygge infeksjon fordi RAT-er vet hvordan de skal holde seg under radaren. På samme måte vil de fleste sikkerhetsmekanismer for endepunkter og nettverks-/perimeterløsninger ikke bidra til å identifisere RAT-er.

LogPoint kan identifisere RAT-aktivitetsmønstre ved hjelp av avanserte korrelasjonsregler og maskinlæring, og automatisk respondere på og dempe “”low and slow””-malware med LogPoint SOAR ved hjelp av forhåndskonfigurerte playbooks. Klikk her for å lære mer om LogPoint SIEM, UEBA og SOAR.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser