Что такое троян для удаленного доступа?
Трояны RATS или удаленного доступа далеко ушли от инструмента для розыгрышей 90-х, которым дети пугали своих друзей.
От простого открытия лотков для компакт-дисков и удаленного управления компьютерами, чтобы напугать своих жертв, он превратился в одно из самых распространенных вредоносных программ в дикой природе.
Вот все, что вам нужно знать об этом трояне и о том, что вы можете сделать с заражением RAT.
Что такое КРЫСА?
Трояны удаленного доступа https://t.co/KShGt5GBhU pic.twitter.com/zdy6yIVELE
– Эрик Вандербург (@evanderburg) 30 октября 2019 г.
RAT – это троянец, тип вредоносного ПО, замаскированного под что-то еще, что нужно жертвам, например, законный файл, программу или приложение. Он обманом заставляет жертв загрузить и затем активировать его, чтобы он мог распространиться в системе.
RAT дает злоумышленникам полный, неограниченный и удаленный доступ к компьютеру жертвы. После активации он может скрываться в системе в течение многих месяцев и оставаться незамеченным. Он подключает устройство жертвы к серверу управления (C&C), контролируемому хакерами.
C&C действует как удаленный хост, который отправляет команды троянцу на компьютере жертвы. Он может записывать все ваши действия на экране, получать доступ и красть PII (личную информацию), такую как номера социального страхования, воровать финансовую информацию, такую как данные кредитной карты, делать снимки экрана, захватить веб-камеру или микрофон, а также записывать или собирать нажатия клавиш.
Помимо предоставления хакеру административного контроля над устройством жертвы, он может использовать его для распространения вредоносного ПО на другие компьютеры. Этот неприятный троянец может делать все это без ведома жертвы.
От шуток для развлечения до киберпреступлений за деньги
Самые старые трояны удаленного доступа, которые я обнаружил в ходе своего исследования, относятся к 1998 году: netbus, y3k, back orifice. # крыса # исследование #AStudyOfRATs pic.twitter.com/prn97oOVDd
– _Veronica_ (@verovaleros) 3 сентября 2017 г.
Крысы существуют уже несколько десятилетий. Первые легитимные инструменты удаленного доступа были созданы в конце 80-х для удаленного управления машинами. Вскоре озорные, хотя и невинные технически подкованные дети использовали его, чтобы подшутить над друзьями. К середине-концу 90-х злоумышленники узнали об этой технологии и начали использовать ее для нанесения ущерба.
В 1998 году шведский программист разработал инструмент удаленного доступа под названием NetBus. Он утверждал, что это было в первую очередь создано для розыгрышей.
Она прославилась через год после своего развития, когда злоумышленники скачали NetBus и использовали его, чтобы посадить 12000 порнографических изображений, в том числе более 3000 детей порнографических материалов, на компьютере профессора закона.
Системные администраторы вскоре обнаружили материал, поэтому профессор потерял работу и был вынужден покинуть страну. И только в 2004 году он был реабилитирован после того, как доказал, что хакеры загрузили материалы на его компьютер с помощью NetBus.
Противоречие NetBus проложило путь для разработки более зловещих троянцев удаленного доступа, таких как пресловутые SubSeven и Back Orifice. К 2000-м годам RAT взорвался разнообразными штаммами, которые на своем пути приобретали все больше и больше особенностей.
Несколько разработчиков RAT в начале 2000-х придумали способ обхода брандмауэров и антивирусных программ, кражи информации и добавления новых атак в свой арсенал. Вскоре после этого киберпреступники, спонсируемые государством, использовали RAT для атак на правительственные организации.
В наши дни крысы бывают самых разных сортов и версий. Некоторые из них, такие как новый ElectroRAT на базе Golang, могут быть нацелены на Windows, macOS и Linux. Он предназначен для нацеливания и осушения кошельков криптовалюты.
Сообщается, что некоторые разработчики вредоносных программ даже пытаются связать RAT с программами-вымогателями, которые могут быть запущены после получения административного доступа к компьютеру. Они могут нанести большой ущерб, и что еще более тревожно, так это то, что они легко доступны и продаются дешево. Согласно исследованиям , RATS продаются на рынке даркнета в среднем всего за 9,47 долларов.
Растет число средств троянских программ удаленного доступа, позволяющих авторам изменять и внедрять код в существующие приложения #GetSmarter pic.twitter.com/pEdGcPreys
– Webroot (@Webroot) 25 июня 2015 г.
Как люди заражаются крысами?
RAT копит вложения в электронные письма, загружаемые пакеты, плагины или торрент-файлы. Они используют социальную инженерию, чтобы побудить жертв щелкнуть ссылку или загрузить файл, который инициирует заражение.
RAT также часто маскируются под законные, часто популярные приложения или программы, размещенные на форумах или сторонних сайтах.
При отправке в виде вложения к фишинговому письму они могут имитировать заказы на покупку и счета-фактуры или любой другой документ, требующий проверки. Как только жертва щелкает файл, похожий на MS-слово, RAT проникает в устройство жертвы и проникает в систему часто без следа.
Остерегайтесь сайтов, которые заявляют, что предлагают популярные приложения и программы по более низким ценам или бесплатно. Убедитесь, что на вашем компьютере установлена обновленная антивирусная программа, сразу же устанавливайте исправления для ОС и избегайте загрузки файловых вложений, особенно от людей, которым вы не доверяете. Если друг пришлет вам вложение, позвоните, чтобы проверить содержимое файла перед его открытием.
Как узнать, есть ли у вас КРЫСА?
4 совета, которым вы можете следовать, чтобы защитить себя от троянов удаленного доступа и других # вредоносных программ https://t.co/lUepPQxVPC #cybersecmonth #CyberSafety pic.twitter.com/Rtz2HcoxtO
– Europol (@Europol) 10 октября 2016 г.
У Европола есть несколько рекомендаций, которые помогут людям определить наличие RAT на своем компьютере. Следите за неизвестными процессами, которые запущены в системе (которые отображаются в диспетчере задач, на вкладке «Процесс» ), а также следите за неизвестными программами, установленными на устройстве. Чтобы проверить последнее, перейдите в настройки вашего устройства (через значок шестеренки), а затем проверьте в разделе « Приложения» или « Приложения и уведомления» .
Вы также можете проверить изменения в своих файлах, например, если некоторые из них были удалены или изменены. Еще один контрольный признак того, что в вашей системе есть RAT, – это необычно медленное интернет-соединение.
Хотя некоторые штаммы RAT чрезвычайно трудно обнаружить, поэтому, если вы не видите ни одного из этих признаков, но все же хотите проверить, вы можете запустить AV-сканирование.
Что делать, если вы заразились
Если ваш компьютер заражен RAT, вы должны предположить, что ваша информация была скомпрометирована.
Вам нужно будет обновить имена пользователей и пароли своих учетных записей, используя чистый компьютер или незараженное устройство. Позвоните в свой банк, чтобы уведомить их о нарушении, и проверьте свои банковские выписки на предмет подозрительных транзакций.
Вы также можете проверить свои кредитные отчеты, если счет уже был открыт на ваше имя.
Чтобы удалить его, вы можете следовать этому подробному руководству по удалению троянских программ . Вы также можете воспользоваться нашим Полным руководством по удалению вредоносных программ .
Крысы: незаметные и опасные
Трояны удаленного доступа незаметны и опасны. Они могут нанести большой ущерб отдельным лицам и организациям.
Хотя это может быть сложно обнаружить, поскольку большинство из них не оставляет следов, существует множество сайтов по сканированию и удалению вирусов, которые могут помочь вам решить эту проблему.