Remote Access Trojaner (RAT)

Aus IT-Forensik Wiki

Bei Remote Access Trojanern (Abk. RAT) handelt es sich um eine spezielle Form von Trojanern. Der Einsatz erfolgt dabei i.d.R. gezielt, z.B. bei Advanced Persistent Threats (APTs) oder aber auch in breiteren allgemeinen Angriffen.

Wie für Trojaner oftmals typisch, wird dem Opfer ein scheinbar nützliches Programm bereitgestellt, in dem sich tatsächlich jedoch eine getarnte Malware mit bösartiger Absicht und Zugriff aus der Ferne (Fernadministration) verbirgt.

Die Möglichkeiten, welche sich für den entfernten Angreifer bieten, können vielseitig sein, sind jedoch davon abhängig, mit welchen Rechten der eingeschleuste Schadcode ausgeführt wird. Denkbar ist beispielsweise, dass neben Anzeige des Bildschirminhaltes und Aufzeichnung der Tastatureingaben auch verwendete Peripheriegeräte, wie Webcams oder Mikrofone abgehört werden können. Durch Nachlässigkeit, Unachtsamkeit oder Unwissenheit führt ein Benutzer das scheinbare nützliche Programm mit administrativen Rechten aus. Durch dieses wird dann der entsprechende Schadcode nachgeladen und ausgeführt.

Durch den Einsatz von Remote-Access-Trojanern (RATs), als Untergruppe der klassischen Trojaner, wird durch den Angreifer primär das Ziel verfolgt, eine Hintertür (Backdoor) auf dem System des Opfers einzurichten. Über diese Hintertür strebt ein Angreifer die Fernsteuerung (Remote-Access and Administration) des Opersystems ohne Kenntnis des Eigentümers/Betreibers an. Es wird besonderer Wert darauf gelegt, hierbei möglichst lange oder im besten Falle für immer unerkannt zu bleiben. Sind die Ziele des Angreifers erreicht, so werden oftmals im Anschluss sämtliche Spuren entfernt oder verwischt, damit die verwendete Technik zukünftig nicht durch Heuristiken oder Signaturen erkannt wird.

Einsatzgebiete für Remote-Access-Trojaner (RAT):

  • Botnetze
  • Advanced-Persistent-Threat (APT)
  • Polizeiliche Ermittlungen (z.B. Remote-Forensik)
  • Nachrichtendienstliche Hintergründe
  • Militärische Zwecke
  • Wirtschaftspionage/-sabotage
  • Skript-Kiddies

RATs werden im sog. Client-Server-Modell betrieben, welches durch den Angreifer beherrscht und gesteuert wird. Der Computer des Opfers stellt dabei den Server dar, auf den sich der Angreifers mit seinem zugehörigen Client verbindet. Der Angreifer kann beliebige Kommandos und Befehle an den Server richten und hierdurch aus der Ferne (administrative) Tätigkeiten am System vornehmen, wie als würde diejenige Person unmittelbar davor sitzen. Bekannt ist dieses Modell bereits aus den Botnetzen, in denen sog. Command-and-Control-Server verwendet werden, um die Botclients zu steuern.

Eine Besonderheit von RATs ist, dass deren Eigentümer sehr viel Energie investieren, um möglichst lange unentdeckt bleiben und immer wieder auf das infizierte System zugreifen zu können. Komplexe Remote-Access-Trojaner gehen daher sparsam mit Ressourcen um und heften sich an Prozesse legitimer Programme an.

Die möglichen Schutzmaßnahmen vor gezieltem Einsatz von RATs sind sehr begrenzt und orientieren sich im wesentlichen an den allgemeinen Sicherheitsmaßnahmen, die für die Umsetzung der IT-Schutzziele in der Informationssicherheit, Stand der Technik sind. Da sich RATs vorwiegend der Technik von Client-Server-Modellen bedienen, sollten insbesondere der ein- und ausgehenden Netzwerkverkehr kontinuierlich überwacht und protokolliert werden. Anwendungen, die keinen Zugriff auf das Internet benötigen, sollten zudem für den ausgehenden Netzwerkverkehr blockiert werden.


Weitere Informationen:

https://www.symantec.com/connect/blogs/creepware-who-s-watching-you

https://blog.varonis.de/dnsmessenger-rat/

https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf

https://www.oneconsult.com/de/eine-kurze-geschichte-der-remote-access-trojaner/

https://www.heise.de/security/meldung/l-f-Biologischer-Remote-Access-Trojaner-4092389.html