Trojans de acesso remoto (RATs) são malware projetados para permitir que um invasor controle remotamente um computador infectado. Depois que o RAT estiver em execução em um sistema comprometido, o invasor poderá enviar comandos a ele e receber dados de volta em resposta.
Relatório de segurança de 2022 demo Proteção RAT de endpoint
O RATS pode infectar computadores como qualquer outro tipo de malware. Eles podem estar anexados a um e-mail, hospedados em um site malicioso ou explorar uma vulnerabilidade em uma máquina não corrigida.
Um RAT é projetado para permitir que um invasor controle remotamente um computador de forma semelhante à forma como o Remote Desktop Protocol (RDP) e o TeamViewer podem ser usados para acesso remoto ou administração do sistema. O RAT configurará um canal de comando e controle (C2) com o servidor do invasor através do qual os comandos podem ser enviados ao RAT e os dados podem ser enviados de volta. Os RATs geralmente têm um conjunto de comandos integrados e métodos para ocultar o tráfego C2 da detecção.
Os RATs podem ser agrupados com funcionalidades adicionais ou projetados de forma modular para fornecer recursos adicionais conforme necessário. Por exemplo, um invasor pode se firmar usando um RAT e, depois de explorar o sistema infectado usando o RAT, pode decidir que deseja instalar um keylogger na máquina infectada. O RAT pode ter essa funcionalidade integrada, pode ser projetado para baixar e adicionar um módulo de keylogger conforme necessário ou pode baixar e iniciar um keylogger independente.
Diferentes ataques exigem diferentes níveis de acesso a um sistema alvo, e a quantidade de acesso que um invasor obtém determina o que ele pode realizar durante um ataque cibernético. Por exemplo, a exploração de uma vulnerabilidade de injeção de SQL pode apenas permitir o roubo de dados do banco de dados vulnerável, enquanto um ataque de phishing bem-sucedido pode resultar no comprometimento de credenciais ou na instalação de malware em um sistema comprometido.
Um RAT é perigoso porque fornece ao invasor um nível muito alto de acesso e controle sobre um sistema comprometido. A maioria dos RATs são projetados para fornecer o mesmo nível de funcionalidade que ferramentas legítimas de administração remota de sistemas, o que significa que um invasor pode ver e fazer o que quiser em uma máquina infectada. Os RATs também não possuem as mesmas limitações das ferramentas de administração do sistema e podem incluir a capacidade de explorar a vulnerabilidade e obter privilégios adicionais em um sistema infectado para ajudar a atingir os objetivos do invasor.
Devido ao fato de um invasor ter um alto nível de controle sobre o computador infectado e suas atividades, isso permite que ele alcance quase qualquer objetivo no sistema infectado e baixe e implante funcionalidades adicionais conforme necessário para atingir seus objetivos.
Os RATs são projetados para se esconderem em máquinas infectadas, fornecendo acesso secreto a um invasor. Muitas vezes, eles conseguem isso aproveitando funcionalidades maliciosas em um aplicativo aparentemente legítimo. Por exemplo, um videogame ou aplicativo comercial pirata pode estar disponível gratuitamente porque foi modificado para incluir malware.
A furtividade dos RATs pode dificultar sua proteção. Alguns métodos para detectar e minimizar o impacto dos RATs incluem:
A proteção contra infecções de RAT requer soluções que possam identificar e bloquear malware antes que ele obtenha acesso aos sistemas de uma organização. O Check Point Harmony Endpoint fornece proteção abrangente contra RATs, prevenindo vetores de infecção comuns, monitorando o aplicativo em busca de comportamento suspeito e analisando o tráfego de rede em busca de sinais de comunicações C2. Para saber mais sobre o Harmony Endpoint e o conjunto completo de soluções Harmony, solicite uma demo gratuita hoje mesmo.