Remote Access Trojans

Remote Access Trojans (RATs)

Pe langa oameni si dispozitive, un alt bun de-alea organizatiei care reprezinta o tina predilcta pentru actorii malitiosi este informatia. Atacatorii incearca sa obtina informatii sensibile sau confidentiale precum:

  • date personale
  • credentiale de acces
  • Informatii despre sistemele hardware, software sau aplicatii
  • informatii bancare
  • spionaj industrial
  • secrete de stat

Cateva lucruri pe care le pot face atacatorii cu aceste informatii sunt:

  • profit financiar de pe urma vanzarii lor pe Dark Web
  • folosirea credentialelor obtinute pentru a lansa un alt atac asupra organizatiei (cel mai adesea ransomware)
  • defaimarea unei organizatii prin publicarea unor informatii confidentiale
  • publicarea pe Internet sau in presa a unor informatii cu caracter foarte important pentru o companie, de exemplu patentul pentru un nou produs inainte ca acesta sa fie lansat oficial
  • dezvaluirea unor secrete de stat cu rolul de a produce tensiuni politice
  • castigarea de reputatie si notorietate

O categorie de uneltle foarte utilizata de atacatori pentru a obtine informatii despre utilizator este reprezentata de Remote Access Trojans sau RATs. Numele este inspirat din mitologia greaca, mai exact din razboiul dintre ahei si cetatea Troia. Asemenea celebrului cal troian, un RAT este un program software care pare legitim si care poate fi folosit fara riscuri, insa, de fapt, este un program cu intentii malitioase asupra dispozitivului, informatiei sau utilizatorului. Un RAT este o unealta foarte versatila care poate ajuta atacatorul in:

  • a fura credentiale de acces (nume de utilizator si parola)
  • a inregistra apasarile de taste ale user-ului
  • a intercepta convorbi audio sau video
  • a face capturi de ecran
  • a contacta un server de CnC (Command and Control) pentru a download-a malware aditional
  • a exfiltra date
  • a colecta date despre sistemul de operare

Adesea, un RAT este folosit pentru a crea un “backdoor” sau o portita de acces pe care atacatorul o poate folosi oricand doreste pentru a accesa sistemul fara a fi descoperit. Fara masurile de securitate potrivite, accesul remote la acel sistem poate dura la infinit. RAT ii va oferi acces atacatorului la nivel de linie de comanda, acesta putand download-a malware suplimentar, putand sterge fisiere local sau din retea sau putand sa pivoteze lateral pentru a infecta alte statii sau pentru a-si escalada privilegii de acces.

Ca orice malware, un RAT ajunge in retea sau pe un anume dispozitiv prin:

  • deschiderea email-urilor cu atasamente malitioase
  • download-uri de software de pe site-uri suspecte
  • folosirea de stick-uri USB infectate gasite “pe undeva”

Atacatorii pot folosi urmatoarele tactici, tehnici si proceduri (TTP) pentru a lansa campanii masive asupra organizatiilor, institutiilor de stat, institutiilor bancare sau asupra furnizorilor de servicii, internet si cloud:

  • utilizarea unor tehnici de persistenta asociate cel mai adesea cu malware-ul de tip fileless (un tip de malware care nu lasa “urme” pe sistemul pe care se afla pentru executa operatiuni strict in memoria RAM)
  • tehnici de deghizare pentru a ascunde infrastructura de CnC folosita in “imprastierea” malware-ului
  • “construirea” malware-ului astfel incat acesta sa poata scapa nedetectat de platformele avansate de securitate ca cele care fac “sandboxing”

Cum se pot proteja organizatiile

Ca orice lucru legat de o amenintare cibernetica, organizatiile trebuie sa adopte o strategie de aparare pe mai multe niveluri cu mai multe contramasuri de securitate. Daca amenintarea reuseste sa treaca de un nivel, nu va putea ajunge direct la victima atacata.

Pentru a impiedica un RAT din a compromite un sistem se poate:

  • implementa o solutie de endpoint protection care poate sa blocheze malware in punctul de intrare, sa detecteze, sa izoleze si sa elimine amenintarile persistente (APT-Advanced Persistent Threat). De asemenea, monitorizarea activitatilor si a procelor suspecte poate ajuta in detectia unui RAT
  • implementarea solutiilor de autentificare de tip multifactor autentificare de tip multifactor (MFA) – astfel, compromiterea credentialelor de acces nu ii ofera atacatorului vreo posibilitate de a conecta pe un sistem
  • monitorizarea traficului din retea pentru a detecta comportamente anormale sau suspecte din partea dispozitivelor conectate sau pentru a inspecta traficul criptat care poate ascunde malware-ul, alaturi de traficul normal de utilizator
  • securizarea email-ului – pe langa protectii de baza ca antispam, antivirus si antimalware, solutiile moderne de securitate a email-ului folosesc tehnici si algoritmi de AI/ML prin care sa combata amenintarile APT si campaniile avansate de phishing

Orice individ, organizatie sau stat poate fi victima unui astfel de atac asupra informatiei detinute. Protectia in fata acestui tip de atac nu poate fi obtinuta decat prin contributia tuturor partilor implicate.

Departamentele IT responsabile de securitatea cibernetica trebuie sa se asigure ca au implementat corect masurile de securitate. Departamentul SOC trebuie sa monitorizeze in mod constant alertele si alarmele generate de sistemele de securitate si sa dispuna de proceduri si” playbook-uri” prin care sa raspunda in fata unei amenintari. Utilizatorii trebuie sa urmeze regulile si indicatiile mentionate in politica de securitate a organizatiei. Managementul de nivel C trebuie sa ajute personalul IT in a aduce la cunostiinta utilizatorilor si a-i incuraja si stimula pe acestia sa adopte un comportament corect din punctul de vedere securitate.

Mihai Dumitrascu, Sr Systems Engineer

Meniu