Edge Articles

I trojan di accesso remoto (RAT) possono essere l’inizio di cose molto brutte sulla vostra rete o sulle vostre stazioni di lavoro.

I trojan di accesso remoto (RAT) potrebbero non indurre lo stesso tipo di incubi dei ratti cannibali arrabbiati, ma possono comunque incutere terrore se colpiscono la vostra rete e le vostre stazioni di lavoro. Perché non c’è niente come girare il controllo delle tue risorse a qualcuno che non conosci per rendere il lavoro della sicurezza IT completamente rat-tastic.

Ci sono molti RAT diversi e tendono a condividere diverse caratteristiche speciali. Che il RAT sia SubSeven, Back Orifice, ProRat, Turkojan, Poison-Ivy, CyberGate, DarkComet, Optix, Shark, o VorteX RatAs (tra centinaia) la parte “trojan” del loro nome implica che arrivano sul computer della vittima travestiti da un programma legittimo o innocuo. Implica anche che l’utente del computer ha giocato un ruolo attivo nel portare il trojan sul suo sistema, di solito scaricando un file da un sito web dannoso o cliccando su un link in un messaggio e-mail dannoso.

Una volta installato, il RAT inizia la parte di “accesso remoto” della sua vita quando “telefona a casa” a un server di comando e controllo (C&C) che regolerà le sue azioni future. Questa chiamata in uscita è critica perché la maggior parte delle reti aziendali sono impostate per essere molto più indulgenti sulle porte di rete utilizzate e sul traffico inviato dall’interno dell’azienda al mondo esterno, che dal mondo esterno ai computer aziendali. Proprio per rendersi più difficile da rilevare, un RAT userà spesso la porta di rete associata a una comunicazione legittima o a un’applicazione di accesso remoto, come quelle usate dai tecnici di rete per la gestione remota del sistema. E una volta stabilita la connessione, il RAT può tenerla aperta al traffico bidirezionale per tutto il tempo necessario.

Finora, il RAT non ha fatto nulla di veramente terribile, ma questo sta per cambiare. Una volta che il server C&C viene contattato, invierà il payload dannoso al RAT e inizierà il suo “vero” lavoro, che può essere un keylogger, invasore della privacy (attraverso webcam e microfono), partecipante a botnet, cryptominer, o praticamente qualsiasi altra cosa. Una volta che il RAT ha aperto la conversazione dall’interno della rete, praticamente qualsiasi cosa può fluire sulla connessione. E, per il criminale, va meglio.

La crescita del “malware come servizio” ha visto i criminali prendere il controllo dei computer delle vittime e mantenerli come beni, affittandoli ai clienti per una varietà di scopi. Una volta infettato con un RAT, un computer può essere un cryptominer un giorno e un bot che sparge spam il giorno dopo. Se un keylogger può afferrare le credenziali dell’account per le banche e altre applicazioni, questo è solo un reddito aggiuntivo per il criminale.

Quindi cosa può fare un’organizzazione con i RAT? La buona notizia è che i RAT non sono tipicamente una varietà di malware in rapida evoluzione, quindi la maggior parte dei software anti-malware può riconoscere e mettere in quarantena le applicazioni. Dal lato della rete, i sistemi IDS/IPS dovrebbero essere in grado di segnalare o bloccare il traffico in uscita verso server insoliti o sconosciuti, o le comunicazioni che utilizzano porte atipiche.

Ovviamente, il programma anti-RAT più efficace inizia con l’insegnare agli utenti a non visitare siti web sospetti, cliccare su link sospetti o aprire allegati consegnati tramite messaggi e-mail sospetti. In ognuno di questi casi, lo sforzo avrà il beneficio aggiuntivo di rallentare la diffusione di altri malware non rattizzati.

Contenuto correlato:

• Installatori Zoom usati per diffondere WebMonitor RAT
• Gruppi APT cinesi hanno preso di mira i sistemi Enterprise Linux in una campagna decennale di furto di dati
• Rete Honeypot ‘Factory’ elaborata colpita da Ransomware, RAT, e Cryptojacking
• Come funzionano i programmi di risposta agli incidenti di cybersecurity (e perché alcuni non lo fanno)