I trojan di accesso remoto (RAT) sono malware progettati per consentire a un aggressore di controllare a distanza un computer infetto. Una volta che il RAT è in esecuzione su un sistema compromesso, l'aggressore può inviargli comandi e ricevere dati in risposta.
I RATS possono infettare i computer come qualsiasi altro tipo di malware. Potrebbero essere allegati a un'e-mail, essere ospitati su un sito web dannoso o sfruttare una vulnerabilità in un computer senza patch.
Un RAT è progettato per consentire a un aggressore di controllare a distanza un computer, in modo simile a come il Remote Desktop Protocol (RDP) e TeamViewer possono essere utilizzati per l'accesso remoto o l'amministrazione del sistema. Il RAT creerà un canale di comando e controllo (C2) con il server dell'aggressore, attraverso il quale i comandi possono essere inviati al RAT e i dati possono essere inviati indietro. I RAT hanno di solito una serie di comandi integrati e hanno metodi per nascondere il loro traffico C2 al rilevamento.
I RAT possono essere integrati con funzionalità aggiuntive o progettati in modo modulare per fornire capacità aggiuntive in base alle necessità. Ad esempio, un aggressore potrebbe ottenere un punto d'appoggio utilizzando un RAT e, dopo aver esplorato il sistema infetto utilizzando il RAT, potrebbe decidere di installare un keylogger sulla macchina infetta. Il RAT può avere questa funzionalità incorporata, può essere progettato per scaricare e aggiungere un modulo keylogger all'occorrenza, oppure può scaricare e lanciare un keylogger indipendente.
Attacchi diversi richiedono livelli diversi di accesso a un sistema bersaglio, e la quantità di accesso che un attaccante ottiene determina ciò che può realizzare durante un cyberattacco. Ad esempio, lo sfruttamento di una vulnerabilità SQL injection può consentire solo di rubare i dati dal database vulnerabile, mentre un attacco di phishing riuscito può portare a credenziali compromesse o all'installazione di malware su un sistema compromesso.
Un RAT è pericoloso perché fornisce a un aggressore un livello molto elevato di accesso e controllo su un sistema compromesso. La maggior parte dei RAT è progettata per fornire lo stesso livello di funzionalità degli strumenti legittimi di amministrazione remota del sistema, il che significa che un aggressore può vedere e fare tutto ciò che vuole su una macchina infetta. I RAT non hanno nemmeno le stesse limitazioni degli strumenti di amministrazione del sistema e possono includere la capacità di sfruttare le vulnerabilità e ottenere privilegi aggiuntivi su un sistema infetto per aiutare a raggiungere gli obiettivi dell'attaccante.
Il fatto che un aggressore abbia un elevato livello di controllo sul computer infetto e sulle sue attività, gli consente di raggiungere quasi ogni obiettivo sul sistema infetto e di scaricare e distribuire funzionalità aggiuntive, se necessario, per raggiungere i suoi obiettivi.
I RAT sono progettati per nascondersi sulle macchine infette, fornendo un accesso segreto all'aggressore. Spesso lo realizzano inserendo una funzionalità dannosa in un'applicazione apparentemente legittima. Ad esempio, un videogioco pirata o un'applicazione aziendale possono essere disponibili gratuitamente perché sono stati modificati per includere un malware.
La furtività dei RAT può renderli difficili da proteggere. Alcuni metodi per rilevare e minimizzare l'impatto dei RAT includono:
La protezione contro le infezioni da RAT richiede soluzioni in grado di identificare e bloccare il malware prima che ottenga l'accesso ai sistemi di un'organizzazione. Check Point Harmony Endpoint offre una protezione completa contro i RAT, prevenendo i vettori di infezione più comuni, monitorando le applicazioni alla ricerca di comportamenti sospetti e analizzando il traffico di rete alla ricerca di segni di comunicazioni C2. Per saperne di più su Harmony Endpoint e sulla suite completa di soluzioni Harmony, richieda oggi stesso una demo gratuita.