Les chevaux de Troie d'accès à distance (RAT) sont des logiciels malveillants conçus pour permettre à un attaquant de contrôler à distance un ordinateur infecté. Une fois que le RAT fonctionne sur un système compromis, l'attaquant peut lui envoyer des commandes et recevoir des données en réponse.
Les RATS peuvent infecter les ordinateurs comme n'importe quel autre type de logiciel malveillant. Ils peuvent être joints à un courrier électronique, être hébergés sur un site web malveillant ou exploiter une vulnérabilité dans une machine non corrigée.
Un RAT est conçu pour permettre à un pirate de contrôler un ordinateur à distance, de la même manière que le protocole de bureau à distance (RDP) et TeamViewer peuvent être utilisés pour l'accès à distance ou l'administration du système. Le RAT établit un canal de commande et de contrôle (C2) avec le serveur de l'attaquant, par lequel des commandes peuvent être envoyées au RAT et des données peuvent être renvoyées. Les RAT disposent généralement d'un ensemble de commandes intégrées et de méthodes permettant de dissimuler leur trafic C2 à la détection.
Les RAT peuvent être regroupés avec des fonctionnalités supplémentaires ou conçus de manière modulaire pour fournir des capacités supplémentaires en fonction des besoins. Par exemple, un attaquant peut prendre pied à l'aide d'un RAT et, après avoir exploré le système infecté à l'aide du RAT, peut décider d'installer un enregistreur de frappe sur la machine infectée. Le RAT peut intégrer cette fonctionnalité, être conçu pour télécharger et ajouter un module keylogger en fonction des besoins, ou encore télécharger et lancer un keylogger indépendant.
Différentes attaques nécessitent différents niveaux d'accès à un système cible, et le niveau d'accès qu'un attaquant obtient détermine ce qu'il peut accomplir au cours d'une cyberattaque. Par exemple, l'exploitation d'une vulnérabilité par injection SQL peut seulement leur permettre de voler des données dans la base de données vulnérable, tandis qu'une attaque par hameçonnage réussie peut entraîner la compromission des informations d'identification ou l'installation d'un logiciel malveillant sur un système compromis.
Un RAT est dangereux parce qu'il permet à un pirate d'accéder à un système compromis et d'en prendre le contrôle. La plupart des RAT sont conçus pour offrir le même niveau de fonctionnalité que les outils légitimes d'administration de systèmes à distance, ce qui signifie qu'un attaquant peut voir et faire tout ce qu'il veut sur une machine infectée. Les RAT n'ont pas les mêmes limitations que les outils d'administration de système et peuvent inclure la capacité d'exploiter la vulnérabilité et d'obtenir des privilèges supplémentaires sur un système infecté pour aider l'attaquant à atteindre ses objectifs.
Le fait qu'un attaquant ait un niveau élevé de contrôle sur l'ordinateur infecté et ses activités lui permet d'atteindre presque n'importe quel objectif sur le système infecté et de télécharger et de déployer des fonctionnalités supplémentaires si nécessaire pour atteindre ses objectifs.
Les RAT sont conçus pour se dissimuler sur les machines infectées, offrant ainsi un accès secret à l'attaquant. Ils y parviennent souvent en intégrant une fonctionnalité malveillante à une application apparemment légitime. Par exemple, un jeu vidéo ou une application commerciale piratés peuvent être disponibles gratuitement parce qu'ils ont été modifiés pour inclure un logiciel malveillant.
La furtivité des RAT peut rendre leur protection difficile. Voici quelques méthodes pour détecter et minimiser l'impact des RATs :
La protection contre les infections par les RAT nécessite des solutions capables d'identifier et de bloquer les logiciels malveillants avant qu'ils n'accèdent aux systèmes d'une organisation. Check Point Harmony Endpoint offre une protection complète contre les RAT en empêchant les vecteurs d'infection courants, en surveillant application pour détecter les comportements suspects et en analysant le trafic réseau pour détecter les signes de communications C2. Pour en savoir plus sur Harmony Endpoint et la suite complète de solutions Harmony, demandez une démonstration gratuite dès aujourd'hui.