TIP#1292: Co je to RAT (Remote Access Trojan) a jak se proti tomu bránit

Mezi viry a malware patří velmi nepříjemná věc označovanou zkratkou RAT. Ta Znamená Remote Access Trojan, tedy trojský kůň sloužící pro vzdálený přístup. Po zabydlení se v počítači umožní útočníkovi váš počítač ovládat, přistupovat na něj vzdáleně přes Internet. Mimo ovládání samozřejmě i zpřístupní vše co v počítači máte, zpravidla včetně toho co píšete, jak hýbete myší, atd.

Vedle přístup k vašemu počítači RAT získá přístup i ke všemu co se nachází v sítí okolo vašeho počítače, ať už jde o domácí či firemní síť. A protože RAT má přístup ke všemu co na počítači děláte, ta také k službám ke kterým se přihlašujete – sociální sítě, bankovnictví, FTP, síťové služby, atd. Což RAT umožní i být centrem pro další útoky na další počítače.

TIP: Pokud budete chtít vědět více, najděte si názvy jako Back Orifice, DarkComet, Mirage.

Backdoor.DarkComet-Program.WM_.png

Vzdálený přístup a to co umožňují dnešní RAT je samozřejmě něco k čemu slouží programy co nejsou malware ani virus. Pokud máte Raspberry Pi tak velmi pravděpodobně právě pomocí vzdáleného přístupu řešíte správu takového počítače (Jak na Raspberry Pi? Vzdálený přístup).

Běžně se něco takového používá v Linuxu (viz například Jak na vzdálený přístup k ploše v Ubuntu). Hodně se to hodí pro TV Box s Androidem (viz Jak na vzdálený přístup na zařízení s Androidem?) a uplatnění to najde i ve Windows (viz  Jak bezpečně používat TeamViewer (ale i jiné software umožňující vzdálený přístup)).

Na výše uvedeném Back Orifice RAT je zajímavé i to, že původně nevznikl jako čisté malware, stejně jako některé další RAT. Do role malware se tyhle pomůcky dostaly poté, co je někdo pozměnil tak, aby je bylo možné dostat na cizí počítač a udržet je tam, ideálně tak aby se o tom vlastník počítače nedozvěděl a samotné RAT se umělo vyhýbat virům a dalších ochranám.

Novodobé RAT nenapadá jenom počítače, může se zabydlet i na mobilních telefonech.

Jak se bránit RAT? A jak se  zbavit RAT?

Obrana proti RAT je „snadná“ v tom, že jde v zásadě o viry a jejich vstupu do počítače může zabránit antivirové či antimalware software (viz Jak vlastně mohu chytit do počítače virus, malware či adware? A jak ho nechytit?.

Problém nastává v okamžiku nových variant RAT nebo cíleného útoku – tam klasická ochrana hned tak nezabere. Ve firemním prostředí by například mělo být aktivně používáno software pro detekci vniknutí/napadení sítě (Intrusion Detection Tools, IDS) – protože jedině tak lze odhalit, že po síti pobíhá něco, co by nemělo.

TIP: Můžete zkusit OSSEC, Snort, Samhain, Suricata či Bro Network Security Monitor (nově jako Zeek Network Security Monitor).

RAT potřebuje komunikovat s tím, kdo ho ovládá, takže někde po sítí budou pobíhat data co ho ovládají a také data ze samotného RAT. Třeba stahované soubory, které by mělo být možné odhalit.

V řadě případů je možné přítomnost RAT poznat podle běžných příznaků napadení malware – zpomalený počítač, vyšší využití procesoru, přenosy po sítí či Internetu o kterých netušíte proč probíhají. Opravdu špičkové RAT ale něco takového velmi komplikují „ohleduplným“ chováním.

Odstranění? To může být složitější, protože tady jde o virus, který nemá být odstranitelný. Antivirové či antimalware software může a nemusí pomoci, pokud nepomohou ani specializované pomůcky na odstranění konkrétního RAT, tak už jenom klasické smazání počítače a nová instalace.  Tady viz Jak odstranit z Windows malware, adware či bloatware

Reklamy