Kurzbiografie
Remote Access Trojaner sind Programme, die eine verdeckte Überwachung oder die Möglichkeit bieten, unbefugten Zugriff auf einen Opfer-PC zu erhalten. Remote Access Trojaner imitieren oft ein ähnliches Verhalten wie Keylogger-Anwendungen, indem sie das automatische Sammeln von Tastatureingaben, Benutzernamen, Passwörtern, Screenshots, Browserverlauf, E-Mails, Chatverläufen usw. ermöglichen. Remote Access-Trojaner unterscheiden sich von Keyloggern dadurch, dass sie einem Angreifer die Möglichkeit bieten, über speziell konfigurierte Kommunikationsprotokolle, die bei der Erstinfektion des Opfercomputers eingerichtet werden, unbefugten Fernzugriff auf den Opfercomputer zu erlangen. Diese Hintertür in den Opfercomputer kann einem Angreifer uneingeschränkten Zugriff ermöglichen, einschließlich der Möglichkeit, das Benutzerverhalten zu überwachen, Computereinstellungen zu ändern, Dateien zu durchsuchen und zu kopieren, die Bandbreite (Internetverbindung) für mögliche kriminelle Aktivitäten zu nutzen, auf verbundene Systeme zuzugreifen und vieles mehr.
Geschichte
Während die vollständige Geschichte von Remote Access Trojanern unbekannt ist, werden diese Anwendungen seit einigen Jahren verwendet, um Angreifern zu helfen, auf einem Opfer-PC Fuß zu fassen. Zu den bekannten und seit langem etablierten Remote Access Trojanern gehören die Anwendungen SubSeven, Back Orifice und Poison-Ivy. Diese Programme stammen aus der Mitte bis Ende der 1990er Jahre und sind auch heute noch im Einsatz.
Der erfolgreiche Einsatz solcher Anwendungen führte dazu, dass in den darauffolgenden Jahrzehnten eine Reihe von unterschiedlichen Anwendungen produziert wurden. Da sich Sicherheitsunternehmen der Taktik von Remote Access Trojanern bewusst sind, entwickeln Malware-Autoren ihre Produkte ständig weiter, um zu versuchen, die neuesten Erkennungsmechanismen zu umgehen.
Gängige Infektionsmethoden
Remote Access Trojaner können durch eine Reihe von Methoden oder Techniken installiert werden und ähneln dabei anderen Malware-Infektionsvektoren. Speziell gestaltete E-Mail-Anhänge, Web-Links, Download-Pakete oder .torrent-Dateien können als Mechanismus für die Installation der Software verwendet werden. Gezielte Angriffe eines motivierten Angreifers können die gewünschten Ziele durch Social-Engineering-Taktiken oder sogar durch vorübergehenden physischen Zugriff auf den gewünschten Computer zur Installation einer solchen Software verleiten.
Verbundene Familien
Es gibt eine große Anzahl von Remote Access Trojanern. Einige sind bekannter als andere. SubSeven, Back Orifice, ProRat, Turkojan und Poison-Ivy sind etablierte Programme. Andere, wie CyberGate, DarkComet, Optix, Shark und VorteX Rat haben eine geringere Verbreitung und Nutzung. Dies ist nur eine kleine Anzahl bekannter Remote-Access-Trojaner. Eine vollständige Liste wäre sehr umfangreich und würde ständig erweitert werden.
Remediation
Remote-Access-Trojaner sind von Natur aus verdeckt und können eine zufällige Dateinamen-/Pfadstruktur verwenden, um eine Identifizierung der Software zu verhindern. Die Installation und Ausführung von Malwarebytes Anti-Malware und Malwarebytes Anti-Exploit hilft dabei, eine potenzielle Infektion einzudämmen, indem zugehörige Dateien und Registrierungsänderungen entfernt werden und/oder der ursprüngliche Infektionsvektor daran gehindert wird, das System zu kompromittieren.
Folgen
Remote Access Trojaner haben das Potenzial, große Mengen an Informationen über die Benutzer eines infizierten Computers zu sammeln. Wenn Remote-Access-Trojaner auf einem System gefunden werden, sollte davon ausgegangen werden, dass alle persönlichen Informationen (auf die auf dem infizierten Rechner zugegriffen wurde) kompromittiert wurden. Benutzer sollten sofort alle Benutzernamen und Kennwörter von einem sauberen Computer aus aktualisieren und den zuständigen Administrator des Systems über die mögliche Kompromittierung informieren. Überwachen Sie Kreditberichte und Kontoauszüge in den folgenden Monaten sorgfältig, um verdächtige Aktivitäten auf Finanzkonten zu erkennen.
Vermeidung
Wie in allen Fällen sollten Sie niemals auf E-Mail- oder Website-Links von unbekannten Orten klicken oder Software auf Drängen unbekannter Parteien installieren. Die Verwendung einer seriösen Antiviren- und Anti-Malware-Lösung stellt sicher, dass Remote-Access-Trojaner nicht richtig funktionieren können und hilft, das Sammeln von Daten einzudämmen. Sperren Sie öffentliche Computer immer ab, wenn sie nicht benutzt werden, und seien Sie vorsichtig bei E-Mails oder Anrufen, in denen Sie aufgefordert werden, eine Anwendung zu installieren.