遠端存取木馬 (RAT) 是一種惡意軟體,旨在允許攻擊者遠端控制受感染的電腦。一旦 RAT 在遭受入侵的系統上執行,攻擊者就可以將命令傳送給該系統,並接收回應資料。
RATS 可以像任何其他類型的惡意軟體一樣感染電腦。它們可能附加到電子郵件中、託管在惡意網站上或在未打補丁的電腦中利用脆弱性。
RAT 旨在允許攻擊者遠端控制電腦,類似遠端桌面通訊協定 (RDP) 和 TeamViewer 用於遠端存取或系統管理方式。 RAT 將與攻擊者的伺服器設定一個命令與控制 (C2) 通道,該通道可以將命令傳送到 RAT,並且可以傳回資料。 RAT 通常具有一組內置命令,並有隱藏其 C2 流量不受檢測的方法。
RAT 可以隨附其他功能,或以模組化方式設計,以根據需要提供其他功能。 例如,攻擊者可能會使用 RAT 取得足跡,並且在使用 RAT 探索受感染的系統之後,可能會決定要在受感染的機器上安裝鍵盤記錄器。 RAT 可能內置了此功能,可能是設計用於根據需要下載和添加鍵盤記錄器模塊,或者可以下載並啟動獨立的鍵盤記錄器。
不同的攻擊需要對目標系統的不同層級存取,攻擊者獲得的存取量決定他們在網路攻擊期間可以完成什麼。 例如,利用 SQL 注入脆弱性可能只會允許他們從易受攻擊的資料庫中竊取數據,而成功的網路釣魚攻擊可能會導致憑證受損或在受損系統上安裝惡意軟體。
RAT 是危險的,因為它為攻擊者提供非常高水平的存取和控制受入侵的系統。 大多數 RAT 的設計旨在提供與合法的遠端系統管理工具相同等級的功能,這意味著攻擊者可以在受感染的機器上查看並執行任何其想要的操作。 RAT 也缺乏系統管理工具的相同限制,並且可能包括利用脆弱性並在受感染系統上獲得額外權限的能力,以幫助實現攻擊者的目標。
由於攻擊者對受感染的電腦及其活動具有高水平的控制權,因此這使他們能夠在受感染系統上實現幾乎任何目標,並根據需要下載和部署其他功能以實現其目標。
RAT 的設計旨在隱藏自己在受感染的機器上,為攻擊者提供秘密訪問權限。 他們通常透過在看似合法的應用程式上搭載惡意功能來實現這一點。例如,盜版視訊遊戲或商業應用程式可能免費提供,因為它已被修改為包含惡意軟體。
RAT 的隱形性會使它們難以抵禦。 檢測和最小化 RAT 的影響的一些方法包括:
防止 RAT 感染需要能夠在惡意軟體存取組織系統之前識別並阻止惡意軟體的解決方案。Check Point Harmony 端點透過防止常見的感染媒介、監控應用程式的可疑行為以及分析網路流量中的 C2 通訊跡象,提供針對 RAT 的全面保護。要了解有關 Harmony 端點和整套 Harmony 解決方案的更多信息,請立即申請免費演示。