リモートアクセス型トロイの木馬(RAT)とは何ですか?

リモートアクセス型トロイの木馬(RAT)は、攻撃者が感染したコンピューターをリモートで制御できるように設計されたマルウェアです。 侵害されたシステムでRATが実行されると、攻撃者はRATにコマンドを送信し、それに応じてデータを受信することができます。

2022年度セキュリティレポート Demo エンドポイント RAT Protection

リモートアクセス型トロイの木馬(RAT)とは何ですか?

リモートアクセス型トロイの木馬はどのように機能しますか?

RATSは、他の 種類のマルウェアと同様にコンピューターに感染する可能性があります。 電子メールに添付されていたり、悪意のあるWebサイトでホストされていたり、パッチが適用されていないマシンの脆弱性を悪用したりする可能性があります。

RATは、リモートデスクトッププロトコル(RDP)とTeamViewerをリモートアクセスまたはシステム管理に使用する方法と同様に、攻撃者がコンピューターをリモートで制御できるように設計されています。 RATは、攻撃者のサーバーとコマンド&コントロール(C2)チャネルを設定し、それを介してコマンドをRATに送信し、データを送り返すことができます。 RATには通常、一連の組み込みコマンドがあり、C2トラフィックを検出から隠す方法があります。

RATは、追加機能にバンドルすることも、必要に応じて追加機能を提供するためにモジュール方式で設計することもできます。 たとえば、攻撃者はRATを使用して足場を固め、RATを使用して感染したシステムを探索した後、感染したマシンにキーロガーをインストールすることを決定する可能性があります。 RATは、この機能を内蔵していてもよいし、必要に応じてキーロガーモジュールをダウンロードして追加するように設計されていてもよいし、独立したキーロガーをダウンロードして起動してもよい。

RATの脅威

攻撃が異なれば、標的のシステムへのアクセスレベルも異なり、攻撃者が獲得するアクセスの量によって、 サイバー攻撃中に実行できる内容が決まります。 たとえば、SQLインジェクションの脆弱性を悪用すると、脆弱なデータベースからデータを盗むことしかできなくなりますが、フィッシング攻撃が成功すると、資格情報が侵害されたり、侵害されたシステムにマルウェアがインストールされたりする可能性があります。

RATは、侵害されたシステムに対して非常に高いレベルのアクセスと制御を攻撃者に提供するため、危険です。 ほとんどのRATは、正規のリモートシステム管理ツールと同じレベルの機能を提供するように設計されているため、攻撃者は感染したマシン上で好きなことを何でも見たり、実行したりできます。 また、RATにはシステム管理ツールと同じ制限がなく、脆弱性を悪用し、感染したシステムで追加の権限を取得して攻撃者の目標を達成する機能が含まれる場合があります。

攻撃者は感染したコンピュータとその活動を高度に制御できるため、感染したシステム上のほぼすべての目的を達成し、目標を達成するために必要に応じて追加機能をダウンロードして展開することができます。

リモートアクセス型トロイの木馬から保護する方法

RATは、感染したマシンに身を隠すように設計されており、攻撃者に秘密のアクセスを提供します。 多くの場合、一見正当なアプリケーションに悪意のある機能を便乗させることでこれを実現します。 たとえば、海賊版のビデオゲームやビジネスアプリケーションは、マルウェアを含むように変更されているため、無料で利用できる場合があります。

RATのステルス性により、保護が困難になる可能性があります。 RATの影響を検出して最小限に抑える方法には、次のようなものがあります。

  • 感染ベクトルに焦点を当てる:RATは、他のマルウェアと同様に、ターゲットコンピューターにインストールされて実行される場合にのみ危険です。 アンチフィッシングと安全なブラウジングソリューションを導入し、システムに定期的にパッチを適用することで、RATがそもそもコンピュータに感染しにくくなるため、RATのリスクを減らすことができます。
  • 異常な動作を探す:RATは、通常、正規のアプリケーションを装う トロイの木馬 であり、実際のアプリケーションに追加された悪意のある機能で構成されている可能性があります。 アプリケーションの異常な動作 (メモ帳 .exe によるネットワーク トラフィックの生成など) を監視します。
  • ネットワークトラフィックの監視:RATを使用すると、攻撃者はネットワークを介して感染したコンピューターをリモートで制御し、コマンドを送信して結果を受け取ることができます。これらの通信に関連する可能性のある異常なネットワーク トラフィックを探します。
  • 最小特権の実装: 最小特権の原則では、ユーザー、アプリケーション、システムなどは、ジョブを実行するために必要なアクセスとアクセス許可のみを持つ必要があると述べています。 最小特権を実装して適用すると、攻撃者が RAT を使用して達成できる内容を制限するのに役立ちます。
  • 多要素認証(MFA)の導入:RATは通常、オンラインアカウントのユーザー名とパスワードを盗もうとします。 MFA をデプロイすると、資格情報の侵害の影響を最小限に抑えることができます。

チェック・ポイントでRAT感染を予防

Protecting against RAT infections requires solutions that can identify and block malware before it gains access to an organization’s systems. Check Point Endpoint Security provides comprehensive protection against RATs by preventing common infection vectors, monitoring applications for suspicious behavior, and analyzing network traffic for signs of C2 communications. To learn more about Check Point Endpoint Security and the complete suite of Workspace Security solutions, request a free demo today.