Что такое вредоносное ПО RAT и почему оно так опасно?

НЕКЕШЕРОВАННЫЙ КОНТЕНТ

Троян с удаленным доступом (RAT) — это тип вредоносного ПО, которое позволяет хакерам контролировать ваш компьютер или сеть и управлять ими. Но как работают RAT, почему хакеры их используют и как их избежать?

RAT предоставляют хакерам удаленный доступ к вашему компьютеру

Если вам когда-либо приходилось звонить в службу технической поддержки для ПК, то вы, вероятно, знакомы с магией удаленный доступ . Когда удаленный доступ включен, авторизованные компьютеры и серверы могут контролировать все, что происходит на вашем компьютере. Они могут открывать документы, загружать программное обеспечение и даже перемещать курсор по экрану в реальном времени.

RAT — это тип вредоносного ПО, который очень похож на легитимные программы удаленного доступа. Основное отличие, конечно же, в том, что RAT устанавливаются на компьютер без ведома пользователя. Большинство законных программ удаленного доступа созданы для целей технической поддержки и обмена файлами, в то время как RAT предназначены для слежки за компьютерами, их угона или уничтожения.

Как и большинство вредоносных программ, RAT использует файлы, которые выглядят вполне законно. Хакеры могут прикрепить RAT к документу в электронном письме или в большом программном пакете, таком как видеоигра. Рекламные объявления и гнусные веб-страницы также могут содержать RAT, но большинство браузеров предотвращают автоматическую загрузку с веб-сайтов или уведомляют вас, когда сайт небезопасен.

В отличие от некоторых вредоносных программ и вирусов, бывает сложно определить, когда вы загрузили RAT. Вообще говоря, RAT не замедляет работу вашего компьютера, и хакеры не всегда выдают себя, удаляя ваши файлы или перемещая курсор по экрану. В некоторых случаях пользователи заражаются RAT годами, не замечая ничего плохого. Но почему крысы такие скрытные? И чем они полезны хакерам?

Крысы работают лучше всего, когда остаются незамеченными

Большинство компьютерных вирусов созданы для одной цели. Кейлоггеры автоматически записывать все, что вы вводите, программа-вымогатель ограничивает доступ к вашему компьютеру или его файлам до тех пор, пока вы не внесете плату, а рекламное ПО сбрасывает сомнительную рекламу на ваш компьютер с целью получения прибыли.

Но КРЫСЫ особенные. Они предоставляют хакерам полный анонимный контроль над зараженными компьютерами. Как вы понимаете, хакер с RAT может делать все, что угодно, до тех пор, пока его цель не чувствует запаха RAT.

В большинстве случаев RAT используются как шпионское ПО. Жадный до денег (или совершенно жуткий) хакер может использовать RAT для получения нажатий клавиш и файлов с зараженного компьютера. Эти нажатия клавиш и файлы могут содержать банковскую информацию, пароли, конфиденциальные фотографии или личные разговоры. Кроме того, хакеры могут использовать RAT для незаметной активации веб-камеры или микрофона компьютера. Мысль о том, что за вами шпионит какой-то анонимный ботаник, очень расстраивает, но это легкое преступление по сравнению с тем, что некоторые хакеры делают с RAT.

Поскольку RAT предоставляет хакерам административный доступ к зараженным компьютерам, они могут изменять или загружать любые файлы по своему усмотрению. Это означает, что хакер с RAT может стереть ваш жесткий диск, загрузить незаконный контент из Интернета через ваш компьютер или разместить на вашем компьютере дополнительные вредоносные программы. Хакеры также могут удаленно управлять вашим компьютером, чтобы выполнять неловкие или незаконные действия в Интернете. на ваше имя или используйте свою домашнюю сеть в качестве прокси-сервера для анонимного совершения преступлений.

Хакер также может использовать RAT, чтобы взять под контроль домашнюю сеть и создать ботнет . По сути, ботнет позволяет хакеру использовать ресурсы вашего компьютера для супер-занудных (и часто незаконных) задач, таких как DDOS-атаки, Биткойн майнинг , файловый хостинг и торрент. Иногда эту технику используют хакерские группы для киберпреступности и кибервойны. Ботнет, состоящий из тысяч компьютеров, может производить много биткойнов или разрушать большие сети ( или даже целую страну ) посредством DDOS-атак.

Не волнуйтесь; Крыс легко избежать

Если вы хотите избежать RAT, не загружайте файлы из источников, которым вы не можете доверять. Вы не должны открывать вложения к электронным письмам от незнакомцев (или потенциальных работодателей), вы не должны загружать игры или программное обеспечение с забавных веб-сайтов, и вы не должны загружать торрент-файлы, если они не из надежного источника. Также обновляйте свой браузер и операционную систему с помощью исправлений безопасности.

Конечно, вам также следует включить антивирусное программное обеспечение. Защитник Windows входит в комплект вашего ПК (и это честно отличное антивирусное программное обеспечение ), но если вы чувствуете потребность в дополнительной безопасности, вы можете загрузить коммерческое антивирусное программное обеспечение, например Касперский или Malwarebytes .

Используйте антивирус для поиска и уничтожения крыс

Весьма вероятно, что ваш компьютер не заражен RAT. Если вы не заметили какой-либо странной активности на своем компьютере или у вас недавно были украдены ваши личные данные, то, вероятно, вы в безопасности. При этом не помешает время от времени проверять свой компьютер на наличие RAT.

Поскольку большинство хакеров используют хорошо известные RAT (вместо разработки своих собственных), антивирусное программное обеспечение — лучший (и самый простой) способ найти и удалить RAT с вашего компьютера. Касперский или Malwarebytes иметь обширную, постоянно расширяющуюся базу данных RAT, поэтому вам не нужно беспокоиться о том, что ваше антивирусное программное обеспечение устарело или не работает.

Если вы запустили антивирус, но все еще не уверены, что на вашем компьютере есть RAT, то вы всегда можете отформатируйте свой компьютер . Это радикальная мера, но имеет 100% шанс успеха — помимо экзотических узкоспециализированных вредоносных программ, которые могут проникнуть в прошивку UEFI вашего компьютера. На создание новых RAT, которые не могут быть обнаружены антивирусными программами, уходит много времени, и они обычно предназначены для использования в крупных корпорациях, известных людях, правительственных чиновниках и миллионерах. Если антивирусное ПО не находит никаких RAT, вероятно, у вас нет никаких RAT.

СВЯЗАННЫЕ С: Начинающий компьютерщик: как переустановить Windows на компьютер

Словарь терминов: RAT

Yuri Ilyin

14 сентября 2015

Термин RAT нередко используется в статьях по кибербезопасности, хотя он и не встречается так часто, как троян. Тем не менее, в конце августа Threatpost упомянул различные RAT, по крайней мере, трижды.

RAT – это сокращение от Remote Administration Tool (средства удалённого администрирования или управления). Хотя это объяснение может казаться довольно безобидным, термин RAT, как правило, связан с программным обеспечением, используемым в преступных или зловредных целях. Так что аббревиатура (а в английском слово «rat» обозначает крысу) не лишена смысла.

Вредоносное ПО типа RAT, как правило, устанавливается без ведома жертвы, зачастую в качестве полезной нагрузки трояна, и стремится скрыть свою активность от жертвы, а также от защитного программного обеспечения.

Учуять крысу

Сегодня RAT часто являются компонентами троянов и бэкдоров: их возможности позволяют злоумышленнику во многом контролировать компьютер жертвы, в том числе загружать любые программы (в том числе вредоносные, конечно), пересылать, удалять и переименовывать файлы, форматировать диски, красть пароли и номера кредитных карт и т.д. На самом деле хорошо сработанный RAT позволяет злоумышленнику что угодно делать с машиной, к которой получен физический доступ, что превращает RAT в идеальный инструмент шпионажа. RAT, среди прочего, позволяют записывать аудио и видео (при наличии соответствующих аппаратных средств), делать скриншоты экрана жертвы и дистанционно управлять им, втихую устанавливать приложения, просматривать, удалять и запускать задачи в диспетчере, а также осуществлять веб-серфинг с IP-адреса инфицированного компьютера.

Добавьте сюда возможность «разгона» оборудования вплоть до его необратимого повреждения.

Зарыться в систему

Если в реальном мире грызуны могут сами рыть норы, то их «киберколлегам» требуются уже имеющиеся дыры в безопасности. Ряды последних не ограничиваются изъянами программного обеспечения.

Одна из недавно выявленных кампаний использовала некое очень убедительное фишинговое письмо в сочетании с перегруженными макросами документами Word, для того чтобы подсадить RAT AutoIt и внедрить вредоносную программу.

Несмотря на то, что Microsoft отключила макросы по умолчанию 8 лет назад, хакеры недавно начали их использовать снова, используя фишинговые электронные письма, призывающие жертвы включить макросы. Эта кампания является лишь примером такого нападения. После того как макросы задействованы, выполняется атака, и макросы загружают некие двоичные коды и архивы, занося RAT AutoIt.

AutoIt является полностью законным, бесплатным инструментом, который позволяет администраторам в Windows писать скрипты для автоматизации задач. Он может даже присутствовать в белых списках целого ряда компаний. Загружается огромный, на 600 Мб скрипт AutoIt, а вместе с ним приходят антианалитические проверки, дешифратор полезной нагрузки, устанавливается вредоносная программа, и включаются механизмы постоянной работы. Скрипт также инсталлировал другие RAT (Cybergate или NanoCore) или же червя Parite. Подробное описание можно найти здесь.

Среди других недавних находок есть трояны удалённого доступа, названные uWarrior и Jsocket. Последний оказался перелицованным трояном удалённого доступа AlienSpy.

В свою очередь, первый выглядит как монстр Франкенштейна среди RAT, так как весь сшит из различных готовых компонентов, взятых из других вредоносных программ (таких как RAT ctOS). Исследователи говорят, однако, что вредоносная программа «полнофункциональна», и когда дело доходит до эксплуатации, «сочетание методов и пострадавшего кода является новаторским и весьма сложным».

Согласно Threatpost, «вредоносная программа включает в себя два кода старых эксплойтов, дистанционно задействующих ошибки CVE-2012-1856 и CVE-2015-1770. Первый, который поражал MSCOMCTL.OCX в Microsoft Windows Common ещё в 2012 году, по-видимому, вернулся и использует цепочку возврат-ориентированного программирования (ROP), чтобы обойти ASLR…»

UWarrior же встраивается в фальсифицированные документы .RTF. А это означает, что фишинг является главным вектором заражения.

RAT часто являются компонентами #троянцев и #бэкдоров и детектируются как таковые. #бизнесбезугроз

Tweet

Дератизация

Как было сказано выше, RAT часто являются компонентами троянов и бэкдоров, и они попадают в систему «обычными» путями — через фишинговые письма, нашпигованные макросами документы Word, эксплуатируют недостатки программного обеспечения и т.д. Всё это можно предотвратить.

Бизнес-продукты «Лаборатории Касперского» способны обнаруживать и блокировать эти угрозы с помощью изрядного набора защитных технологий, которые включают в себя обнаружение вредоносных программ, поведенческий анализ, оценку системы и уязвимостей, а также инструменты управления патчами. Для получения более подробной информации об этих функциях, пожалуйста, посетите корпоративный сайт «Лаборатории Касперского».

Выставка крыс. Сравниваем лучшие RAT для атак

Ча­ще все­го для управле­ния взло­ман­ными сис­темами исполь­зуют­ся тро­яны уда­лен­ного дос­тупа. Подоб­ных инс­тру­мен­тов мно­жес­тво, и в этой статье я покажу в дей­ствии сра­зу шесть популяр­ных «рат­ников», которы­ми поль­зуют­ся зло­умыш­ленни­ки.

warning

Не­сан­кци­они­рован­ный дос­туп к компь­ютер­ной информа­ции — прес­тупле­ние. Ни автор, ни редак­ция жур­нала не несут ответс­твен­ности за твои дей­ствия. Все тес­ты про­води­лись на изо­лиро­ван­ных от реаль­ных дан­ных вир­туаль­ных машинах.

Вот спи­сок рат­ников, которые мы сегод­ня поп­робу­ем:

• Cerberus 1.03.5;
• CyberGate 1.07.5;
• DarkComet 5.3;
• Orcus Rat 1.9.1;
• NjRat Danger Edition 0.7D;
• Venom 2.1.

Для некото­рого изу­чения бил­дов наших рат­ников я буду исполь­зовать Detect It Easy вер­сии 3.01.

Оце­нивать их будем по сле­дующим кри­тери­ям:

• на­бор пред­лага­емых фун­кций;
• ско­рость раз­верты­вания в целевой сис­теме;
• наг­рузка на компь­ютер жер­твы;
• уро­вень защиты кода бил­да (поп­робу­ем раз­ревер­сить билд);
• про­вер­ка на VirusTotal;
• плю­сы и минусы в целом.

А теперь прис­тупим к ана­лизу.

Cerberus

Интересные функции

• Из­менение язы­ка
• Под­держи­вает раз­личные фор­маты на выходе (.pif, .com, .src, .bat, .cmd)
• Есть воз­можность добавить зву­ки при запус­ке (как дос­тупные по умол­чанию, так и свои)

Описание

Ско­рость работы высокая: на все про все наг­рузке тре­бует­ся око­ло пяти секунд. При работе занима­ет 7,3 Мбайт памяти и прак­тичес­ки не наг­ружа­ет про­цес­сор.

Про­буем заг­рузить билд в DiE. Виден Borland Delphi и UPX, на который как раз и руга­ются некото­рые анти­виру­сы.

Вердикт

Cerberus хорошо под­ходит для дол­говре­мен­ного пре­быва­ния в сис­теме. Его про­ще под­сунуть жер­тве из‑за воз­можнос­ти менять рас­ширение фай­ла.

Из минусов — рас­познать Windows 10 при работе он не смог, ну и анти­виру­сами палит­ся при­лич­но, так что при­дет­ся крип­товать. Ком­пилятор малость уста­рел, а при запус­ке он вне­зап­но изда­ет звук, который совер­шенно не спо­собс­тву­ет незамет­ному зараже­нию.

CyberGate

Интересные функции

• Сбор све­дений об активной сес­сии
• Поз­воля­ет искать дан­ные на устрой­ствах
• Име­ется рас­ширен­ный объ­ем получа­емых дан­ных в панели

Описание

За­пуск и зак­репле­ние бил­да занима­ет око­ло 25 с — мед­ленно, даже по срав­нению с тем же Cerebrus. Наг­рузка на сис­тему нес­коль­ко выше, чем у кон­курен­тов; к тому же при запус­ке он соз­дает нес­коль­ко про­цес­сов и виден в дис­петче­ре задач. Пот­ребля­ет 0,1% про­цес­сора и 4,2 Мбайт памяти. Наг­ружа­ет диск на 100 Кбайт/с.

С защитой все стран­но: билд даже не пыта­ется скрыть очень боль­шое количес­тво импорти­руемых биб­лиотек и фун­кций из них. Обфуска­ции вызовов WinAPI нет, что не может не удив­лять.

Пос­ле ска­зан­ного выше детект 64/70 (91,4%) сов­сем не удив­ляет, но при про­вер­ке этой кры­сы на VirusTotal толь­ко один из 70 анти­виру­сов (eGambit) смог уста­новить точ­ное про­исхожде­ние вируса.

Вердикт

Да, билд палит­ся всем чем толь­ко мож­но, но прост как пал­ка и легок в исполь­зовании. Но и вырубить его лег­ко, он не будет осо­бен­но соп­ротив­лять­ся.

DarkComet

Интересные функции

• Име­ется два режима сбор­ки вируса (минималь­ный и рас­ширен­ный)
• Есть фун­кция под­клю­чения сокетов (можем проб­расывать под­клю­чения для повыше­ния безопас­ности)
• Мож­но зап­ланиро­вать дей­ствия
• Поз­воля­ет соз­дать ссыл­ку‑заг­рузчик для вируса

Описание

Сбор­ка бил­да тре­бует боль­ше минуты, что силь­но боль­ше обыч­ного для такого соф­та. Пос­ле запус­ка бил­да пот­ребля­ется 2,7 Мбайт ОЗУ, что сов­сем хорошо на фоне око­лону­лево­го пот­ребле­ния осталь­ных ресур­сов.

Билд сно­ва не нак­рыт никаким про­тек­торами или упа­ков­щиками. В импортах сра­зу замет­на user32.dll, из которой импорти­руют­ся модули mouse и keybd , и, конеч­но, фун­кция VkKeyScanA , которые поз­воля­ют сде­лать кей­лог­гер.

info

Вердикт

Ни один анти­вирус не понял, что перед ним «Комета». Впро­чем, начин­ка бил­да вся тор­чит наружу, так что силь­но рас­простра­нять такие прог­раммы не сто­ит, хоть и кас­томиза­ция здесь пол­ная. Да и вре­мя сбор­ки бил­да не раду­ет.

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Марк Клинтов

Не существует устройства, которое запретит людям быть идиотами

При подготовке материала использовались источники:
https://www.thefastcode.com/ru-rub/article/what-is-rat-malware-and-why-is-it-so-dangerous

Словарь терминов: RAT

https://xakep.ru/2021/05/11/rats-1/