Edge Artigos

Trojans de Acesso Remoto (RATs) podem ser o início de coisas muito más na sua rede ou estações de trabalho.

Trójans de acesso remoto (RATs) podem não induzir o mesmo tipo de pesadelos que os ratos canibais zangados, mas podem ainda ser indutores de terror se atingirem a sua rede e estações de trabalho. Porque não há nada como entregar o controlo dos seus recursos a alguém que não conhece para tornar o trabalho de segurança informática completamente estúpido.

Existem muitos RATs diferentes e estes tendem a partilhar várias características especiais. Quer o RAT seja SubSeven, Back Orifice, ProRat, Turkojan, Poison-Ivy, CyberGate, DarkComet, Optix, Shark, ou VorteX RatAs (entre centenas) a parte “trojan” do seu nome implica que cheguem ao computador da vítima disfarçados de um programa legítimo ou inócuo. Implica também que o utilizador do computador tenha desempenhado um papel activo em trazer o trojan para o seu sistema, geralmente descarregando um ficheiro de um sítio web malicioso ou clicando num link numa mensagem de correio electrónico malicioso.

p>Once instalado, o RAT começa a parte “acesso remoto” da sua vida quando “telefona para casa” para um servidor de comando e controlo (C&C) que irá reger as suas acções futuras. Esta chamada de saída é crítica porque a maioria das redes empresariais são criadas para serem muito mais indulgentes em relação às portas de rede utilizadas e ao tráfego enviado de dentro da empresa para o mundo exterior, do que do mundo exterior para os computadores da empresa. Só para se tornar mais difícil de detectar, uma RAT utilizará frequentemente a porta de rede associada a uma aplicação de comunicação legítima ou de acesso remoto, tal como as utilizadas pelos engenheiros de rede para a gestão remota do sistema. E uma vez estabelecida a ligação, a RAT pode mantê-la aberta ao tráfego bidireccional durante o tempo necessário.

Até agora, a RAT não fez nada de verdadeiramente horrível, mas isso está prestes a mudar. Uma vez contactado o servidor C&C, ele enviará a carga útil maliciosa à RAT e começará o seu trabalho “real”, que pode ser um keylogger, invasor de privacidade (através de webcam e microfone), participante de botnet, criptominer, ou praticamente qualquer outra coisa. Uma vez que a RAT tenha aberto a conversa a partir do interior da rede, praticamente tudo pode fluir sobre a ligação. E, para o criminoso, fica melhor.

O crescimento do “malware como serviço” tem visto os criminosos apoderarem-se dos computadores das vítimas e mantê-los como bens, alugando-os aos clientes para uma variedade de fins. Uma vez infectado com um RAT, um computador pode ser um criptominer num dia e um robot que fala spam no dia seguinte. Se um keylogger pode obter credenciais de conta para aplicações bancárias e outras, isso é apenas uma receita adicional para o criminoso.

Então o que pode uma organização fazer com os RATs? A boa notícia é que os RATs não são tipicamente uma variedade de malware em rápida evolução, pelo que a maioria do software anti-malware pode reconhecer e colocar em quarentena as aplicações. Do lado da rede, os sistemas IDS/IPS devem ser capazes de sinalizar ou desligar o tráfego de saída para servidores incomuns ou desconhecidos, ou comunicação usando portas atípicas.

De facto, o programa anti-RAT mais eficaz começa com o ensino aos utilizadores para não visitarem sítios Web sombrios, clicarem em links suspeitos, ou abrirem anexos entregues através de mensagens de correio electrónico duvidosas. Em cada um destes casos, o esforço terá o benefício adicional de retardar a propagação de outros programas maliciosos, que não sejam de origem rotineira.

Conteúdo relacionado:

• Elaborar a Rede de ‘Fábrica’ de Honeypot Acertada com Ransomware, RAT, e Criptojacking
• Como funcionam os Programas de Resposta a Incidentes de Segurança Cibernética (e Porque Alguns Não Funcionam)