Remote Access Trojan (RAT)

Korte biografie

Remote Access Trojans zijn programma’s die de mogelijkheid bieden tot heimelijke bewaking of het verkrijgen van ongeoorloofde toegang tot een slachtoffer-pc. Remote Access Trojans bootsen vaak hetzelfde gedrag na van keylogger-toepassingen door de automatische verzameling van toetsaanslagen, gebruikersnamen, wachtwoorden, schermafbeeldingen, browsergeschiedenis, e-mails, chatpartijen, enz. mogelijk te maken. Trojaanse paarden met toegang op afstand verschillen van keyloggers doordat ze de aanvaller in staat stellen om onbevoegde toegang op afstand te krijgen tot de slachtoffercomputer via speciaal geconfigureerde communicatieprotocollen die bij de eerste infectie van de slachtoffercomputer worden ingesteld. Deze achterdeur in de slachtoffermachine kan een aanvaller onbelemmerde toegang verschaffen, inclusief de mogelijkheid om gebruikersgedrag te monitoren, computerinstellingen te wijzigen, bestanden te doorzoeken en te kopiëren, de bandbreedte (internetverbinding) te gebruiken voor mogelijke criminele activiteiten, toegang te krijgen tot aangesloten systemen en meer.

Geschiedenis

Terwijl de volledige geschiedenis van Remote Access Trojans onbekend is, worden deze toepassingen al een aantal jaren gebruikt om aanvallers te helpen voet aan de grond te krijgen op een slachtoffer-pc. Bekende en reeds lang bestaande Trojaanse paarden voor toegang op afstand zijn onder meer de programma’s SubSeven, Back Orifice, en Poison-Ivy. Deze programma’s dateren uit het midden en het einde van de jaren negentig en zijn tot op de dag van vandaag in gebruik.

Het succesvolle gebruik van dergelijke programma’s heeft ertoe geleid dat er in de decennia daarna een aantal verschillende programma’s zijn geproduceerd. Omdat beveiligingsbedrijven zich bewust worden van de tactieken die worden gebruikt door Remote Access Trojans, ontwikkelen malware-auteurs hun producten voortdurend om te proberen de nieuwste detectiemechanismen te dwarsbomen.

Common infectiemethode

Remote Access Trojans kunnen worden geïnstalleerd via een aantal methoden of technieken, en zullen vergelijkbaar zijn met andere malware infectie vectoren. Speciaal aangemaakte e-mailbijlagen, weblinks, downloadpakketten of .torrent-bestanden kunnen worden gebruikt als mechanisme voor de installatie van de software. Gerichte aanvallen door een gemotiveerde aanvaller kunnen de gewenste doelwitten misleiden tot het installeren van dergelijke software via social engineering-tactieken, of zelfs via tijdelijke fysieke toegang tot de gewenste computer.

Gezamenlijke families

Er zijn een groot aantal Remote Access Trojans. Sommige zijn bekender dan andere. SubSeven, Back Orifice, ProRat, Turkojan, en Poison-Ivy zijn gevestigde programma’s. Anderen, zoals CyberGate, DarkComet, Optix, Shark, en VorteX Rat hebben een kleinere verspreiding en gebruik. Dit is slechts een klein aantal bekende Remote Access Trojans, en een volledige lijst zou zeer uitgebreid zijn, en zou voortdurend groeien.

Remediation

Remote Access Trojans zijn heimelijk van aard en kunnen gebruik maken van een gerandomiseerde bestandsnaam/pad structuur om identificatie van de software te voorkomen. Door Malwarebytes Anti-Malware en Malwarebytes Anti-Exploit te installeren en uit te voeren, kunt u een mogelijke infectie beperken door geassocieerde bestanden en registerwijzigingen te verwijderen en/of te voorkomen dat de aanvankelijke infectievector het systeem kan compromitteren.

Aftermath

Remote Access Trojans kunnen grote hoeveelheden informatie verzamelen over gebruikers van een geïnfecteerde machine. Als Trojaanse programma’s voor toegang op afstand op een systeem worden aangetroffen, moet ervan worden uitgegaan dat alle persoonlijke informatie (die op de geïnfecteerde machine is geraadpleegd) is gecompromitteerd. Gebruikers moeten onmiddellijk alle gebruikersnamen en wachtwoorden vanaf een schone computer bijwerken en de beheerder van het systeem op de hoogte brengen van de mogelijke besmetting. Houd kredietrapporten en bankafschriften de komende maanden zorgvuldig in de gaten om verdachte activiteiten op financiële rekeningen te ontdekken.

Vermijding

Zoals in alle gevallen geldt: klik nooit op e-mail of websitelinks van onbekende locaties en installeer nooit software op aandringen van onbekende partijen. Het gebruik van een gerenommeerde antivirus- en antimalware-oplossing zal helpen ervoor te zorgen dat Trojaanse paarden voor externe toegang niet goed kunnen functioneren en zal helpen bij het beperken van het verzamelen van gegevens. Vergrendel openbare computers altijd wanneer ze niet in gebruik zijn, en wees op uw hoede voor e-mails of telefoontjes waarin u wordt gevraagd een toepassing te installeren.