Remote Access Trojan (RAT) kan betraktas som ett äldre verktyg för hackare. RAT är ett skadligt program som använder en bakdörr för administrativ kontroll över måldatorn. RAT:er används för långsamma, långsamma och långsamma operationer som APT:er (Advanced Persistent Threats). Med hjälp av den här skadliga tekniken tar angriparna sig tid att utforska offrets nätverk och tillgångar och rör sig sedan runt så tyst som möjligt för att uppnå sina mål utan att upptäcka dem. Vissa APT:er har varit i drift i åratal och RAT:er är avgörande för att angripare ska kunna komma åt mål samtidigt som de undviker detektering.

Även om RAT:er har funnits ganska länge nu, har de inte ökat i popularitet bland skadlig programvara. RAT anses vara komplicerat att utveckla och driva och kräver en hög hackerkompetens. Den här trenden verkar ha förändrats, eftersom RAT:er har blivit mer lättillgängliga och tillgängliga, vilket ökar antalet RAT-offer som inte kan upptäcka och mildra detta hot med sina säkerhetslösningar.

RAT:er är billiga och kommersiellt tillgängliga

De två viktigaste faktorerna som bidrar till den utbredda användningen av RAT:er är deras tillgänglighet och överkomliga pris. Exempelvis gav ett verktyg som hette Imminent Monitor Remote Access Trojan cyberbrottslingar fri tillgång till offrens datorer. Det var smart nog att kringgå antivirus- och malware-program, utföra kommandon som att spela in tangenttryckningar, stjäla data och lösenord och övervaka offren via sina webbkameror. Allt detta kunde göras utan att den drabbade märkte det.

Det var möjligt att köpa alla dessa praktiska, beprövade och lättanvända paket för så låga priser som $25. Lyckligtvis kunde den australiensiska federala polisen (AFP), med internationell aktivitet samordnad av Europol och Eurojust, ta ned RAT-infrastrukturen och stoppa flera av de mest produktiva användarna av RAT. Myndigheterna stoppade utvecklaren och en anställd vid IM-RAT i Australien och Belgien i juni 2 019 och verktyget som användes i 124 länder och såldes mer än 14 500 gånger är inte längre tillgängligt.

I Kanada befanns ett verktyg för fjärråtkomst för administratörer vara en RAT. Dess utvecklare och affärsutvecklingschef, som arbetade från Toronto under den juridiska enheten Orcus Technologies, blev gripen. Rättsvårdande myndigheter uppgav att duon sålde och hjälpte skadliga aktörer att installera Orcus RAT på andra människors datorer och körde en Dynamic Domain Server (DDNS)-tjänst som hjälpte den skadliga programvaran att kommunicera med infekterade värdar utan att avslöja hackarens verkliga IP-adress.

Innovativa metoder

När cyberbrottslingar väl har fått tag på RAT använder de mycket kreativa sätt att bädda in den skadliga programvaran i offrens system. Även om den vanligaste infektionsmetoden fortfarande är via ett vapendokument som tas emot via e-post, har andra metoder dessvärre blivit allt mer populära, till exempel:

  • Mascerat som Tetris-spelet.
    • en hackningsgrupp använde en open source-version av 90-talets Tetris för att dölja PyXie RAT och infektera organisationer.
  • Via Facebook
    • en RAT vid namn FlawedAmmyy infekterade militära mål. Forskarna fann att en falsk Facebook-sida efterliknar en amerikansk-libysk militärtjänsteman vid namn Khalifa Haftar med fokus på politik och armé. Här finns också URL:er för nedladdning av filer som anger att de läcker från Libyens underrättelseenheter, och slutligen presenterades några URL:er som legitsidor för medborgare att anmäla sig till armén.
  • Användning av en falsk WebEx-mötesinbjudan.

Använd RAT:er för flera användningsområden

När hackare väl har installerat har de fullständig fjärrstyrning över offrets system, vilket de kan angripa på många sätt. Vissa hackare använder den för att samla in information om militära och diplomatiska mål; andra kan få personuppgifter, som betalningsuppgifter för hotellgäster.

Avslutningsvis

RAT:er är kapabla, tillgängliga och överkomliga att enkelt hacka in i nätverk, vilket skapar en utmaning för organisationer som behöver säkra sig mot detta hot. Tyvärr kommer de flesta befintliga preventionsmekanismer inte att identifiera RAT och förhindra infektion eftersom RAT vet hur de ska hålla sig under sin radar. På samma sätt kommer de flesta mekanismer för slutpunktssäkerhet och nätverks-/omkretslösningar inte att hjälpa till att identifiera RAT.

LogPoint kan identifiera RAT-aktivitetsmönster med hjälp av avancerade korrelationsregler och maskininlärning, och automatiskt reagera på och mildra ”low and slow”-malware med LogPoint SOAR med hjälp av förkonfigurerade playbooks. Klicka här för att läsa mer om LogPoint SIEM, UEBA och SOAR.

 

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner