Remote Access Trojaner (RATs) sind Malware, die es einem Angreifer ermöglichen soll, einen infizierten Computer aus der Ferne zu steuern. Sobald der RAT auf einem kompromittierten System ausgeführt wird, kann der Angreifer Befehle an ihn senden und als Antwort Daten zurückerhalten.
RATS kann Computer wie jede andere Art von Malware infizieren. Sie können an eine E-Mail angehängt sein, auf einer bösartigen Website gehostet werden oder eine Schwachstelle in einem nicht gepatchten Computer ausnutzen.
Ein RAT soll es einem Angreifer ermöglichen, einen Computer fernzusteuern, ähnlich wie das Remote Desktop Protocol (RDP) und TeamViewer für den Fernzugriff oder die Systemverwaltung verwendet werden können. Die RAT richtet mit dem Server des Angreifers einen Befehls- und Kontrollkanal (C2) ein, über den Befehle an die RAT gesendet und Daten zurückgesendet werden können. RATs verfügen üblicherweise über eine Reihe integrierter Befehle und Methoden, um ihren C2-Verkehr vor der Erkennung zu verbergen.
RATs können mit zusätzlicher Funktionalität gebündelt oder modular konzipiert werden, um bei Bedarf zusätzliche Funktionen bereitzustellen. Beispielsweise kann ein Angreifer mithilfe einer RAT Fuß fassen und, nachdem er das infizierte System mithilfe der RAT untersucht hat, entscheiden, dass er einen Keylogger auf dem infizierten Computer installieren möchte. Das RAT kann über diese integrierte Funktionalität verfügen, kann so konzipiert sein, dass es bei Bedarf ein Keylogger-Modul herunterlädt und hinzufügt, oder es kann einen unabhängigen Keylogger herunterladen und starten.
Verschiedene Angriffe erfordern unterschiedliche Zugriffsebenen auf ein Zielsystem, und der Umfang des Zugriffs, den ein Angreifer erhält, bestimmt, was er während eines Cyberangriffs erreichen kann. Beispielsweise kann die Ausnutzung einer SQL-Injection-Schwachstelle lediglich den Diebstahl von Daten aus der anfälligen Datenbank ermöglichen, während ein erfolgreicher Phishing-Angriff zur Kompromittierung von Anmeldeinformationen oder zur Installation von Malware auf einem kompromittierten System führen kann.
Ein RAT ist gefährlich, weil es einem Angreifer ein sehr hohes Maß an Zugriff und Kontrolle über ein kompromittiertes System bietet. Die meisten RATs sind so konzipiert, dass sie den gleichen Funktionsumfang bieten wie legitime Remote-Systemverwaltungstools, was bedeutet, dass ein Angreifer auf einem infizierten Computer sehen und tun kann, was er will. RATs verfügen außerdem nicht über die gleichen Einschränkungen wie Systemverwaltungstools und bieten möglicherweise die Möglichkeit, Schwachstellen auszunutzen und zusätzliche Privilegien auf einem infizierten System zu erlangen, um die Ziele des Angreifers zu erreichen.
Da ein Angreifer ein hohes Maß an Kontrolle über den infizierten Computer und seine Aktivitäten hat, kann er nahezu jedes Ziel auf dem infizierten System erreichen und bei Bedarf zusätzliche Funktionen herunterladen und bereitstellen, um seine Ziele zu erreichen.
RATs sind darauf ausgelegt, sich auf infizierten Computern zu verstecken und einem Angreifer geheimen Zugang zu verschaffen. Sie erreichen dies oft, indem sie schädliche Funktionen in eine scheinbar legitime Anwendung integrieren. Beispielsweise kann ein raubkopiertes Videospiel oder eine geschäftliche Anwendung kostenlos verfügbar sein, weil sie so verändert wurde, dass sie Malware enthält.
Die Heimlichkeit von RATs kann den Schutz vor ihnen erschweren. Zu den Methoden zur Erkennung und Minimierung der Auswirkungen von RATs gehören:
Zum Schutz vor RAT-Infektionen sind Lösungen erforderlich, die Malware identifizieren und blockieren können, bevor sie Zugriff auf die Systeme eines Unternehmens erhält. Check Point Harmony Endpoint bietet umfassenden Schutz vor RATs, indem es gängige Infektionsvektoren verhindert, Anwendungen auf verdächtiges Verhalten überwacht und den Netzwerkverkehr auf Anzeichen von C2-Kommunikation analysiert. Um mehr über Harmony Endpoint und die komplette Suite von Harmony-Lösungen zu erfahren, fordern Sie noch heute eine kostenlose Demo an.