Los troyanos de acceso remoto (RAT) son malware diseñado para permitir a un atacante controlar de forma remota una computadora infectada. Una vez que la RAT se está ejecutando en un sistema comprometido, el atacante puede enviarle comandos y recibir datos de vuelta en respuesta.
Informe de seguridad 2022 Protección RAT de terminal de demostración
RATS puede infectar ordenadores como cualquier otro tipo de malware. Pueden estar adjuntos a un correo electrónico, alojados en un sitio web malicioso o explotar una vulnerabilidad en una máquina sin parches.
Un RAT está diseñado para permitir que un atacante controle remotamente un equipo de manera similar a como se puede usar el Protocolo de escritorio remoto (RDP) y TeamViewer para el acceso remoto o la administración del sistema. La RAT configurará un canal de comando y control (C2) con el servidor del atacante a través del cual se pueden enviar comandos a la RAT y los datos se pueden enviar de vuelta. Los RATS comúnmente tienen un conjunto de comandos integrados y tienen métodos para ocultar su tráfico C2 de la detección.
Los RATs pueden ser agrupados con funcionalidad adicional o diseñados de manera modular para proporcionar capacidades adicionales según sea necesario. Por ejemplo, un atacante puede afianzar usando una RAT y, después de explorar el sistema infectado usando la RAT, puede decidir que quiere instalar un keylogger en la máquina infectada. El RAT puede tener esta funcionalidad incorporada, puede estar diseñado para descargar y agregar un módulo keylogger según sea necesario, o puede descargar y lanzar un keylogger independiente.
Los diferentes ataques requieren diferentes niveles de acceso a un sistema de destino, y la cantidad de acceso que obtiene un atacante determina lo que puede lograr durante un ataque cibernético. Por ejemplo, la explotación de una vulnerabilidad de inyección SQL puede permitirles solo robar datos de la base de datos vulnerable, mientras que un ataque de phishing exitoso puede resultar en credenciales comprometidas o instalación de malware en un sistema comprometido.
Una RAT es peligrosa porque proporciona a un atacante un nivel muy alto de acceso y control sobre un sistema comprometido. La mayoría de los RATs están diseñados para proporcionar el mismo nivel de funcionalidad que las herramientas legítimas de administración remota del sistema, lo que significa que un atacante puede ver y hacer lo que quiera en una máquina infectada. Las RAT también carecen de las mismas limitaciones de las herramientas de administración del sistema y pueden incluir la capacidad de explotar vulnerabilidades y obtener privilegios adicionales en un sistema infectado para ayudar a lograr los objetivos del atacante.
Debido al hecho de que un atacante tiene un alto nivel de control sobre la computadora infectada y sus actividades, esto le permite lograr casi cualquier objetivo en el sistema infectado y descargar e implementar funcionalidades adicionales según sea necesario para lograr sus objetivos.
Los RATs están diseñados para esconderse en máquinas infectadas, proporcionando acceso secreto a un atacante. A menudo lo logran aprovechando funciones maliciosas en una aplicación aparentemente legítima. Por ejemplo, un videojuego o una aplicación empresarial pirateados pueden estar disponibles de forma gratuita porque han sido modificados para incluir malware.
El sigiloso sigiloso de los RATS puede dificultar su protección contra ellos. Algunos métodos para detectar y minimizar el impacto de las RATs incluyen:
La protección contra infecciones RAT requiere soluciones que puedan identificar y bloquear el malware antes de que acceda a los sistemas de una organización. Check Point Harmony Endpoint brinda protección integral contra RAT al prevenir vectores de infección comunes, monitorear la aplicación en busca de comportamientos sospechosos y analizar el tráfico de la red en busca de signos de comunicaciones C2. Para obtener más información sobre Harmony Endpoint y el conjunto completo de soluciones Harmony, solicite una demostración gratuita hoy.