Skrócone biogramy
Trojany zdalnego dostępu to programy, które umożliwiają ukrytą inwigilację lub uzyskanie nieautoryzowanego dostępu do komputera ofiary. Trojany zdalnego dostępu często naśladują zachowanie aplikacji typu keylogger, umożliwiając automatyczne zbieranie naciśnięć klawiszy, nazw użytkowników, haseł, zrzutów ekranu, historii przeglądarek, e-maili, czatów itp. Trojany zdalnego dostępu różnią się od keyloggerów tym, że umożliwiają atakującemu uzyskanie nieautoryzowanego zdalnego dostępu do maszyny ofiary za pośrednictwem specjalnie skonfigurowanych protokołów komunikacyjnych, które są tworzone w momencie pierwszej infekcji komputera ofiary. Taka furtka do komputera ofiary może pozwolić atakującemu na nieograniczony dostęp, w tym możliwość monitorowania zachowania użytkownika, zmiany ustawień komputera, przeglądania i kopiowania plików, wykorzystywania przepustowości (połączenia internetowego) do ewentualnej działalności przestępczej, uzyskiwania dostępu do podłączonych systemów i nie tylko.
Historia
Pomimo że pełna historia trojanów zdalnego dostępu nie jest znana, aplikacje te są używane od wielu lat, aby pomóc atakującym w zdobyciu przyczółka na komputerze ofiary. Do dobrze znanych i od dawna uznanych trojanów zdalnego dostępu należą aplikacje SubSeven, Back Orifice oraz Poison-Ivy. Programy te pochodzą z połowy lub końca lat 90-tych i do dziś można je zobaczyć w użyciu.
Skuteczne wykorzystanie takich aplikacji doprowadziło do powstania wielu różnych aplikacji w kolejnych dekadach. W miarę jak firmy zajmujące się bezpieczeństwem stają się świadome taktyk wykorzystywanych przez trojany zdalnego dostępu, autorzy złośliwego oprogramowania nieustannie rozwijają swoje produkty, próbując zniweczyć najnowsze mechanizmy wykrywania.
Powszechna metoda infekcji
Trojany zdalnego dostępu mogą być instalowane za pomocą wielu metod lub technik i będą podobne do innych wektorów infekcji złośliwym oprogramowaniem. Specjalnie spreparowane załączniki do wiadomości e-mail, odnośniki internetowe, pakiety do pobrania lub pliki .torrent mogą być wykorzystywane jako mechanizm instalacji oprogramowania. Ukierunkowane ataki zmotywowanego napastnika mogą nakłonić pożądany cel do zainstalowania takiego oprogramowania za pomocą taktyki socjotechnicznej lub nawet poprzez tymczasowy fizyczny dostęp do pożądanego komputera.
Rodziny powiązane
Istnieje duża liczba trojanów zdalnego dostępu. Niektóre z nich są bardziej znane niż inne. SubSeven, Back Orifice, ProRat, Turkojan oraz Poison-Ivy to programy o ugruntowanej pozycji. Inne, takie jak CyberGate, DarkComet, Optix, Shark i VorteX Rat mają mniejszą dystrybucję i wykorzystanie. Jest to tylko niewielka liczba znanych trojanów zdalnego dostępu, a pełna lista byłaby dość obszerna i stale by się powiększała.
Usuwanie skutków
Trojany zdalnego dostępu są z natury ukryte i mogą wykorzystywać losową strukturę nazw plików/ścieżek, aby zapobiec identyfikacji oprogramowania. Zainstalowanie i uruchomienie programów Malwarebytes Anti-Malware i Malwarebytes Anti-Exploit pomoże złagodzić potencjalną infekcję poprzez usunięcie powiązanych plików i modyfikacji rejestru i/lub zapobieganie początkowemu wektorowi infekcji, co pozwoli na skompromitowanie systemu.
Pogorszenie
Trojany zdalnego dostępu mają potencjał do zbierania ogromnych ilości informacji o użytkownikach zainfekowanych maszyn. Jeżeli programy typu Remote Access Trojan zostaną wykryte w systemie, należy założyć, że wszelkie informacje osobiste (do których uzyskano dostęp na zainfekowanej maszynie) zostały naruszone. Użytkownicy powinni natychmiast zaktualizować wszystkie nazwy użytkowników i hasła z czystego komputera oraz powiadomić odpowiedniego administratora systemu o potencjalnym zagrożeniu. W ciągu najbliższych miesięcy należy uważnie monitorować raporty kredytowe i wyciągi bankowe, aby wykryć wszelkie podejrzane działania na kontach finansowych.
Unikanie
Jak we wszystkich przypadkach, nigdy nie należy klikać na wiadomości e-mail lub linki stron internetowych z nieznanych lokalizacji ani instalować oprogramowania za namową nieznanych osób. Korzystanie z renomowanego programu antywirusowego i oprogramowania antywirusowego pomoże zapewnić, że trojany zdalnego dostępu nie będą w stanie prawidłowo funkcjonować i pomoże ograniczyć gromadzenie danych. Zawsze zamykaj publiczne komputery, gdy nie są używane, i bądź ostrożny wobec wiadomości e-mail lub telefonów z prośbą o zainstalowanie aplikacji.