haker.info | Etyczny hacking |

 Zagrożenia płynące z półlegalnych narzędzi Trojan–RAT

Napisane  27 stycznia 2019 godz. 19:56 przez  Dawid Farbaniec

1. Słowem wstępu

arzędzia typu Remote Administration Tool (w skrócie RAT ) pozwalają na zdalny dostęp i zarządzanie systemem na którym zainstaluje się moduł takiej aplikacji. W samych programach tego rodzaju nie ma wiele złego. Korzystają z nich administratorzy systemów czy też na przykład dział wsparcia (ang. support) w jakiejś firmie. Dzięki oprogramowaniu typu Remote Administration Tool wspomniany dział wsparcia technicznego może połączyć się z komputerem danego użytkownika i zdalnie pomóc mu rozwiązać problem, który występuje na jego urządzeniu. Dlaczego jednak w tytule tego wpisu jest określenie półlegalny? Użyłem tego słowa, gdyż narzędzie RAT może być szkodliwe, jeśli zostanie wykorzystane w złym celu. A dokładnie w celu kontroli komputerów do których dana osoba nie powinna mieć dostępu.

2. Narzędzia typu RAT — pełna kontrola systemu

Skrót RAT rozumiany najczęściej jako Remote Administration Tool posiada również drugie rozwinięcie: Remote Access Trojan, czyli koń trojański zdalnego dostępu. Jeśli chodzi o funkcjonalność, to bardzo często są to zaawansowane narzędzia, które pozwalają między innymi na:

  • Zarządzanie plikami, procesami, edycja rejestru systemowego
  • Podgląd ekranu, zrzuty ekranu (ang. screenshots)
  • Rejestrowanie wciskanych klawiszy (tzw. keylogger)
  • Zdalny pulpit, przekazywanie obrazu (np. VNC)
  • Zdalne wykonywanie poleceń cmd.exe (Wiersz polecenia)
  • Wysłanie i uruchomienie dowolnego pliku (Upload&Execute)
  • Odzyskiwanie haseł z popularnych programów
  • ...i inne zależne od programisty

Warto też wspomnieć, że legalny program typu RAT może nieświadomie otworzyć atakującemu furtkę do systemu. Jeśli oprogramowanie Remote Administration Tool będzie posiadało błąd bezpieczeństwa, to utworzenie odpowiedniego exploita lub atak siłowy (ang. brute force) na hasło, da włamywaczowi możliwość przejęcia kontroli nad aplikacją, a więc też nad komputerami w sieci.

W tym artykule zostaną przedstawione głównie złośliwe odmiany RATów. Posiadają one podobną funkcjonalność jak wymieniona powyżej. Mogą mieć też dołożone funkcje typowego malware, czyli cicha instalacja w systemie, przeprowadzanie ataków DDoS, rozsyłanie spamu czy wydobywanie kryptowaluty (ang. cryptocurrency mining).

3. Trojan–RAT z technicznego punktu widzenia

Interfejs graficzny użytkownika tego typu programów często zawiera listę dostępnych komputerów. Wybierając jeden lub kilka komputerów można przejść do zdalnego zarządzania nimi.

Na rysunku 3.1. przedstawiono przykładowy panel kontrolny narzędzia typu RAT.

Remote Administration Tool
Rysunek 3.1. Przykładowy panel narzędzia typu RAT

Od strony technicznej programy RAT są najczęściej aplikacjami sieciowymi w architekturze klient–serwer. Niektóre maszyny mogą być za NATem, czyli nie można się z nimi połączyć bezpośrednio poprzez ich publiczny adres IP. W takich przypadkach korzysta się z połączenia odwrotnego (ang. reverse connection), które sprawia, że panel kontrolny jest serwerem, a zarządzane maszyny są klientami.

Wspomniane dwa rodzaje połączenia przedstawiono odpowiednio na rysunkach 3.2. oraz 3.3.

Remote Administration Tool
Rysunek 3.2. Połączenie bezpośrednie w narzędziu typu RAT

Remote Administration Tool
Rysunek 3.3. Połączenie odwrotne w narzędziu typu RAT

Możliwe jest też wykorzystanie serwera pośredniczącego C&C w celu utrudnienia zlokalizowania atakującego.

4. Wskazówki dot. ochrony swojego komputera

Podsumowanie najważniejszych zagrożeń płynących z aplikacji Trojan–RAT:

  • Wyciek wrażliwych danych
  • Nieświadome przyłączenie komputera do ataku DDoS
  • Zaszyfrowanie danych i żądanie okupu od ofiary (Ransomware)
  • Kradzież haseł dostępu np. z popularnych programów/przeglądarek lub z formularzy (Form Grabber)
  • Poważne naruszenie prywatności poprzez zainstalowanie keyloggera, zdjęcia kamerką WebCam czy podsłuch mikrofonu
  • Użycie zainfekowanego komputera jako proxy
  • ...i inne
Należy pamiętać, że programy typu Remote Access Trojan dają ogromne możliwości kontroli. Można nawet rzec, że pozwalają wykonać każdą czynność w systemie, zupełnie jakby się było fizycznie przy danym urządzeniu. Stwarza to ogromne zagrożenie.

Poniżej kilka wskazówek, które mogą zmniejszyć ryzyko zostania ofiarą ataku tego typu.

Często programy Trojan–RAT działają jak typowe aplikacje trybu użytkownika. Poniżej przedstawiono podstawowe czynności.

4.1. Sprawdzenie co jest uruchamiane po zalogowaniu do Windows®

Warto sprawdzić zawartość folderu Autostart. W systemie Windows® 10 są to ścieżki:
Dla aktualnie zalogowanego użytkownika systemu:
C:\Users\[Nazwa użytkownika]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
oraz dla wszystkich użytkowników:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

Wspomnę też, że w systemie Windows® 10 aplikacja Menedżer zadań (taskmgr.exe) posiada zakładkę Uruchamianie w której są programy startujące automatycznie po zalogowaniu do systemu.

Inną popularną metodą automatycznego startu po zalogowaniu do Windows® jest odpowiedni wpis w rejestrze systemowym. Aby przeglądać wpisy należy uruchomić Edytor rejestru (regedit.exe).
Dwa podstawowe klucze, które warto sprawdzić:
Komputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (oraz RunOnce)
Komputer\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (oraz RunOnce)

4.2. Sprawdzenie połączeń sieciowych

Za pomocą systemowego polecenia netstat możliwe jest sprawdzenie bieżących połączeń, czyli z czym się łączy nasz komputer lub co nasłuchuje na połączenie. Polecenie posiada szereg parametrów. Możliwe jest zbadanie jaki program dokładnie wykonuje połączenie itp.

Pomoc dotyczącą korzystania z tego polecenia można uzyskać wpisując netstat /? (rysunek 4.1).


Rysunek 4.1. Składnia polecenia netstat z systemowego Wiersza polecenia

4.3. Pozostałe

Dodatkowe wskazówki, które nie będą teraz szerzej opisywane, a jedynie wymienione to:

  • Aktualizacje systemu i oprogramowania
  • Aktywny i aktualny program antywirusowy oraz zapora ogniowa (ang. firewall)
  • Analiza ruchu sieciowego i połączeń (dla średnio-zaawansowanych)
  • Nieufność w uruchamianiu nieznanych plików i otwieraniu linków
  • ...i inne zasady bezpiecznej pracy z komputerem :)

5. Zakończenie

Mam nadzieję, że udało mi się nieco przybliżyć problem złośliwego oprogramowania typu RAT. Wpis nie zawiera szczegółów programistycznych o tworzeniu tego typu narzędzi. Wspomnę jeszcze, że zdarzały się w historii sytuacje infekcji osób, które kupiły RATa celem ataku na innych. Dlatego nie zachęcam do korzystania z półlegalnych narzędzi tego typu, gdyż samemu można paść ich ofiarą.

Dawid Farbaniec


Tagi:  security  malware 
Wszystkie treści umieszczone na tej witrynie są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie opublikowane tutaj treści (w tym kody źródłowe i inne) służą wyłącznie celom informacyjnym oraz edukacyjnym. Właściciele tej witryny nie ponoszą odpowiedzialności za ewentualne niezgodne z prawem wykorzystanie zasobów dostępnych w witrynie. Użytkownik tej witryny oświadcza, że z zamieszczonych tutaj danych korzysta na własną odpowiedzialność. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Korzystając z zasobów witryny haker.info oświadczasz, że akceptujesz powyższe warunki.