Remote Access Trojaner (RAT): Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K (Hinzufügen von Links, Fehlerkorrektur) |
||
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
Bei Remote Access Trojanern (Abk. RAT) handelt es sich um eine spezielle Form von Trojanern. Der Einsatz erfolgt dabei i.d.R. gezielt, z.B. bei Advanced Persistent Threats (APTs) oder aber auch in breiteren allgemeinen Angriffen. | Bei Remote Access Trojanern (Abk. RAT) handelt es sich um eine spezielle Form von Trojanern. Der Einsatz erfolgt dabei i.d.R. gezielt, z.B. bei Advanced Persistent Threats (APTs) oder aber auch in breiteren allgemeinen Angriffen. | ||
Wie für Trojaner oftmals typisch, wird dem Opfer ein scheinbar nützliches Programm bereitgestellt, in dem sich tatsächlich jedoch eine getarnte Malware mit bösartiger Absicht und Zugriff aus der Ferne ( | Wie für Trojaner oftmals typisch, wird dem Opfer ein scheinbar nützliches Programm bereitgestellt, in dem sich tatsächlich jedoch eine getarnte Malware mit bösartiger Absicht und Zugriff aus der Ferne ('''Fernadministration''') verbirgt. | ||
Die Möglichkeiten, welche sich für den entfernten Angreifer bieten, können vielseitig sein, sind jedoch davon abhängig, mit welchen Rechten der eingeschleuste Schadcode ausgeführt wird. Denkbar ist beispielsweise, dass neben Anzeige des Bildschirminhaltes und Aufzeichnung der Tastatureingaben auch verwendete Peripheriegeräte, wie Webcams oder Mikrofone abgehört werden können. Durch Nachlässigkeit, Unachtsamkeit oder Unwissenheit führt ein Benutzer das scheinbare nützliche Programm mit administrativen Rechten aus. Durch dieses wird dann der entsprechende Schadcode nachgeladen und ausgeführt. | Die Möglichkeiten, welche sich für den entfernten Angreifer bieten, können vielseitig sein, sind jedoch davon abhängig, mit welchen Rechten der eingeschleuste Schadcode ausgeführt wird. Denkbar ist beispielsweise, dass neben Anzeige des Bildschirminhaltes und Aufzeichnung der Tastatureingaben auch verwendete Peripheriegeräte, wie Webcams oder Mikrofone abgehört werden können. Durch Nachlässigkeit, Unachtsamkeit oder Unwissenheit führt ein Benutzer das scheinbare nützliche Programm mit administrativen Rechten aus. Durch dieses wird dann der entsprechende Schadcode nachgeladen und ausgeführt. | ||
Durch den Einsatz von Remote-Access-Trojanern (RATs), als Untergruppe der klassischen Trojaner, wird durch den Angreifer primär das Ziel verfolgt, eine Hintertür ( | Durch den Einsatz von Remote-Access-Trojanern (RATs), als Untergruppe der klassischen Trojaner, wird durch den Angreifer primär das Ziel verfolgt, eine Hintertür ('''Backdoor''') auf dem System des Opfers einzurichten. Über diese Hintertür strebt ein Angreifer die Fernsteuerung ('''Remote-Access and Administration''') des Opersystems ohne Kenntnis des Eigentümers/Betreibers an. Es wird besonderer Wert darauf gelegt, hierbei möglichst lange oder im besten Falle für immer unerkannt zu bleiben. Sind die Ziele des Angreifers erreicht, so werden oftmals im Anschluss sämtliche Spuren entfernt oder verwischt, damit die verwendete Technik zukünftig nicht durch Heuristiken oder Signaturen erkannt wird. | ||
'''Einsatzgebiete für Remote-Access-Trojaner (RAT):''' | '''Einsatzgebiete für Remote-Access-Trojaner (RAT):''' | ||
Zeile 16: | Zeile 16: | ||
* Skript-Kiddies | * Skript-Kiddies | ||
RATs werden im sog. Client-Server-Modell betrieben, welches durch den Angreifer beherrscht und gesteuert wird. Der Computer des Opfers stellt dabei den Server dar, auf den sich der Angreifers mit seinem zugehörigen Client verbindet. Der Angreifer kann beliebige Kommandos und Befehle an den Server richten und hierdurch aus der Ferne (administrative) Tätigkeiten am System vornehmen, wie als würde diejenige Person unmittelbar davor sitzen. Bekannt ist dieses Modell bereits aus den Botnetzen, in denen sog. | RATs werden im sog. Client-Server-Modell betrieben, welches durch den Angreifer beherrscht und gesteuert wird. Der Computer des Opfers stellt dabei den Server dar, auf den sich der Angreifers mit seinem zugehörigen Client verbindet. Der Angreifer kann beliebige Kommandos und Befehle an den Server richten und hierdurch aus der Ferne (administrative) Tätigkeiten am System vornehmen, wie als würde diejenige Person unmittelbar davor sitzen. Bekannt ist dieses Modell bereits aus den Botnetzen, in denen sog. [[Command-and-Control-Server]] verwendet werden, um die Botclients zu steuern. | ||
Eine Besonderheit von RATs ist | Eine Besonderheit von RATs ist, dass deren Eigentümer sehr viel Energie investieren, um möglichst lange unentdeckt bleiben und immer wieder auf das infizierte System zugreifen zu können. Komplexe Remote-Access-Trojaner gehen daher sparsam mit Ressourcen um und heften sich an Prozesse legitimer Programme an. | ||
Die möglichen Schutzmaßnahmen vor gezieltem Einsatz von RATs sind sehr begrenzt und orientieren sich im wesentlichen an den allgemeinen Sicherheitsmaßnahmen, die für die Umsetzung der IT-Schutzziele in der Informationssicherheit, Stand der Technik sind. Da sich RATs vorwiegend der Technik von Client-Server-Modellen bedienen, sollten insbesondere der ein- und ausgehenden Netzwerkverkehr kontinuierlich überwacht und protokolliert werden. Anwendungen, die keinen Zugriff auf das Internet benötigen, sollten zudem für den ausgehenden Netzwerkverkehr blockiert werden. | Die möglichen Schutzmaßnahmen vor gezieltem Einsatz von RATs sind sehr begrenzt und orientieren sich im wesentlichen an den allgemeinen Sicherheitsmaßnahmen, die für die Umsetzung der IT-Schutzziele in der Informationssicherheit, Stand der Technik sind. Da sich RATs vorwiegend der Technik von Client-Server-Modellen bedienen, sollten insbesondere der ein- und ausgehenden Netzwerkverkehr kontinuierlich überwacht und protokolliert werden. Anwendungen, die keinen Zugriff auf das Internet benötigen, sollten zudem für den ausgehenden Netzwerkverkehr blockiert werden. |
Aktuelle Version vom 28. Juli 2021, 18:41 Uhr
Bei Remote Access Trojanern (Abk. RAT) handelt es sich um eine spezielle Form von Trojanern. Der Einsatz erfolgt dabei i.d.R. gezielt, z.B. bei Advanced Persistent Threats (APTs) oder aber auch in breiteren allgemeinen Angriffen.
Wie für Trojaner oftmals typisch, wird dem Opfer ein scheinbar nützliches Programm bereitgestellt, in dem sich tatsächlich jedoch eine getarnte Malware mit bösartiger Absicht und Zugriff aus der Ferne (Fernadministration) verbirgt.
Die Möglichkeiten, welche sich für den entfernten Angreifer bieten, können vielseitig sein, sind jedoch davon abhängig, mit welchen Rechten der eingeschleuste Schadcode ausgeführt wird. Denkbar ist beispielsweise, dass neben Anzeige des Bildschirminhaltes und Aufzeichnung der Tastatureingaben auch verwendete Peripheriegeräte, wie Webcams oder Mikrofone abgehört werden können. Durch Nachlässigkeit, Unachtsamkeit oder Unwissenheit führt ein Benutzer das scheinbare nützliche Programm mit administrativen Rechten aus. Durch dieses wird dann der entsprechende Schadcode nachgeladen und ausgeführt.
Durch den Einsatz von Remote-Access-Trojanern (RATs), als Untergruppe der klassischen Trojaner, wird durch den Angreifer primär das Ziel verfolgt, eine Hintertür (Backdoor) auf dem System des Opfers einzurichten. Über diese Hintertür strebt ein Angreifer die Fernsteuerung (Remote-Access and Administration) des Opersystems ohne Kenntnis des Eigentümers/Betreibers an. Es wird besonderer Wert darauf gelegt, hierbei möglichst lange oder im besten Falle für immer unerkannt zu bleiben. Sind die Ziele des Angreifers erreicht, so werden oftmals im Anschluss sämtliche Spuren entfernt oder verwischt, damit die verwendete Technik zukünftig nicht durch Heuristiken oder Signaturen erkannt wird.
Einsatzgebiete für Remote-Access-Trojaner (RAT):
- Botnetze
- Advanced-Persistent-Threat (APT)
- Polizeiliche Ermittlungen (z.B. Remote-Forensik)
- Nachrichtendienstliche Hintergründe
- Militärische Zwecke
- Wirtschaftspionage/-sabotage
- Skript-Kiddies
RATs werden im sog. Client-Server-Modell betrieben, welches durch den Angreifer beherrscht und gesteuert wird. Der Computer des Opfers stellt dabei den Server dar, auf den sich der Angreifers mit seinem zugehörigen Client verbindet. Der Angreifer kann beliebige Kommandos und Befehle an den Server richten und hierdurch aus der Ferne (administrative) Tätigkeiten am System vornehmen, wie als würde diejenige Person unmittelbar davor sitzen. Bekannt ist dieses Modell bereits aus den Botnetzen, in denen sog. Command-and-Control-Server verwendet werden, um die Botclients zu steuern.
Eine Besonderheit von RATs ist, dass deren Eigentümer sehr viel Energie investieren, um möglichst lange unentdeckt bleiben und immer wieder auf das infizierte System zugreifen zu können. Komplexe Remote-Access-Trojaner gehen daher sparsam mit Ressourcen um und heften sich an Prozesse legitimer Programme an.
Die möglichen Schutzmaßnahmen vor gezieltem Einsatz von RATs sind sehr begrenzt und orientieren sich im wesentlichen an den allgemeinen Sicherheitsmaßnahmen, die für die Umsetzung der IT-Schutzziele in der Informationssicherheit, Stand der Technik sind. Da sich RATs vorwiegend der Technik von Client-Server-Modellen bedienen, sollten insbesondere der ein- und ausgehenden Netzwerkverkehr kontinuierlich überwacht und protokolliert werden. Anwendungen, die keinen Zugriff auf das Internet benötigen, sollten zudem für den ausgehenden Netzwerkverkehr blockiert werden.
Weitere Informationen:
https://www.symantec.com/connect/blogs/creepware-who-s-watching-you
https://blog.varonis.de/dnsmessenger-rat/
https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf
https://www.oneconsult.com/de/eine-kurze-geschichte-der-remote-access-trojaner/
https://www.heise.de/security/meldung/l-f-Biologischer-Remote-Access-Trojaner-4092389.html