Les chevaux de Troie d’accès à distance (RAT) peuvent être le début de très mauvaises choses sur votre réseau ou vos postes de travail.
Les chevaux de Troie d’accès à distance (RAT) n’induisent peut-être pas le même genre de cauchemars que les rats cannibales en colère, mais ils peuvent tout de même provoquer la terreur s’ils touchent votre réseau et vos postes de travail. Car il n’y a rien de tel que de confier le contrôle de vos ressources à quelqu’un que vous ne connaissez pas pour rendre le travail de la sécurité informatique complètement rat-tastique.
Il existe de nombreux RATs différents et ils ont tendance à partager plusieurs caractéristiques particulières. Qu’il s’agisse de SubSeven, Back Orifice, ProRat, Turkojan, Poison-Ivy, CyberGate, DarkComet, Optix, Shark ou VorteX RatAs (parmi des centaines), la partie » trojan » de leur nom implique qu’ils arrivent sur l’ordinateur de la victime déguisés en programme légitime ou inoffensif. Cela implique également que l’utilisateur de l’ordinateur a joué un rôle actif dans l’arrivée du cheval de Troie sur son système, généralement en téléchargeant un fichier à partir d’un site Web malveillant ou en cliquant sur un lien dans un message électronique malveillant.
Une fois installé, le RAT commence la partie « accès à distance » de sa vie lorsqu’il « téléphone à la maison » à un serveur de commande et de contrôle (C&C) qui régira ses actions futures. Cet appel sortant est critique car la plupart des réseaux d’entreprise sont configurés pour être beaucoup plus indulgents à l’égard des ports réseau utilisés et du trafic envoyé de l’intérieur de l’entreprise vers le monde extérieur, que du monde extérieur vers les ordinateurs de l’entreprise. Pour rendre sa détection plus difficile, une RAT utilise souvent le port réseau associé à une communication légitime ou à une application d’accès à distance, comme celles utilisées par les ingénieurs réseau pour la gestion des systèmes à distance. Et une fois la connexion établie, le RAT peut la maintenir ouverte au trafic bidirectionnel aussi longtemps que nécessaire.
Pour l’instant, le RAT n’a rien fait de vraiment terrible, mais cela est sur le point de changer. Une fois que le serveur C&C est contacté, il envoie la charge utile malveillante au RAT et commence son « vrai » travail, qui peut être un keylogger, un envahisseur de la vie privée (par le biais de la webcam et du microphone), un participant à un botnet, un cryptomineur, ou à peu près n’importe quoi d’autre. Une fois que le RAT a ouvert la conversation depuis l’intérieur du réseau, pratiquement tout peut passer par la connexion. Et, pour le criminel, c’est encore mieux.
La croissance des « logiciels malveillants en tant que service » a vu les criminels prendre le contrôle des ordinateurs des victimes et les maintenir comme des actifs, les louant à des clients à des fins diverses. Une fois infecté par une RAT, un ordinateur peut être un cryptomineur un jour et un robot cracheur de spam le lendemain. Si un keylogger peut s’emparer des identifiants de compte pour les applications bancaires et autres, ce n’est qu’un revenu supplémentaire pour le criminel.
Alors, que peut faire une organisation face aux RAT ? La bonne nouvelle est que les RAT ne sont généralement pas une variété de logiciels malveillants qui évolue rapidement, de sorte que la plupart des logiciels anti-malware peuvent reconnaître et mettre en quarantaine les applications. Du côté du réseau, les systèmes IDS/IPS devraient être en mesure de signaler ou d’arrêter le trafic sortant vers des serveurs inhabituels ou inconnus, ou les communications utilisant des ports atypiques.
Bien sûr, le programme anti-RAT le plus efficace commence par apprendre aux utilisateurs à ne pas visiter de sites Web louches, à ne pas cliquer sur des liens suspects ou à ne pas ouvrir des pièces jointes délivrées par des messages électroniques douteux. Dans chacun de ces cas, l’effort aura l’avantage supplémentaire de ralentir la propagation d’autres logiciels malveillants non ratés.
Contenu connexe :
- Des installateurs de Zoom utilisés pour diffuser le RAT WebMonitor
- Des groupes APT chinois ont ciblé les systèmes Linux d’entreprise dans le cadre d’une campagne de vol de données longue d’une décennie
- Un réseau élaboré de » fabrique » de pots de miel frappé par des ransomwares, des RAT, et Cryptojacking
- Comment les programmes de réponse aux incidents de cybersécurité fonctionnent (et pourquoi certains ne le font pas)
Curtis Franklin Jr. est rédacteur en chef à Dark Reading. Dans ce rôle, il se concentre sur la couverture des produits et des technologies pour la publication. En outre, il travaille sur la programmation audio et vidéo de Dark Reading et contribue aux activités d’Interop ITX, de Black Hat, d’INsecurity, et…. Voir la bio complète
.