14 сентября 2015

Словарь терминов: RAT

Бизнес

Термин RAT нередко используется в статьях по кибербезопасности, хотя он и не встречается так часто, как троян. Тем не менее, в конце августа Threatpost упомянул различные RAT, по крайней мере, трижды.

RAT – это сокращение от Remote Administration Tool (средства удалённого администрирования или управления). Хотя это объяснение может казаться довольно безобидным, термин RAT, как правило, связан с программным обеспечением, используемым в преступных или зловредных целях. Так что аббревиатура (а в английском слово «rat» обозначает крысу) не лишена смысла.

Вредоносное ПО типа RAT, как правило, устанавливается без ведома жертвы, зачастую в качестве полезной нагрузки трояна, и стремится скрыть свою активность от жертвы, а также от защитного программного обеспечения.


Учуять крысу

Сегодня RAT часто являются компонентами троянов и бэкдоров: их возможности позволяют злоумышленнику во многом контролировать компьютер жертвы, в том числе загружать любые программы (в том числе вредоносные, конечно), пересылать, удалять и переименовывать файлы, форматировать диски, красть пароли и номера кредитных карт и т.д. На самом деле хорошо сработанный RAT позволяет злоумышленнику что угодно делать с машиной, к которой получен физический доступ, что превращает RAT в идеальный инструмент шпионажа. RAT, среди прочего, позволяют записывать аудио и видео (при наличии соответствующих аппаратных средств), делать скриншоты экрана жертвы и дистанционно управлять им, втихую устанавливать приложения, просматривать, удалять и запускать задачи в диспетчере, а также осуществлять веб-серфинг с IP-адреса инфицированного компьютера.

Добавьте сюда возможность «разгона» оборудования вплоть до его необратимого повреждения.

Зарыться в систему

Если в реальном мире грызуны могут сами рыть норы, то их «киберколлегам» требуются уже имеющиеся дыры в безопасности. Ряды последних не ограничиваются изъянами программного обеспечения.

Одна из недавно выявленных кампаний использовала некое очень убедительное фишинговое письмо в сочетании с перегруженными макросами документами Word, для того чтобы подсадить RAT AutoIt и внедрить вредоносную программу.

100

Несмотря на то, что Microsoft отключила макросы по умолчанию 8 лет назад, хакеры недавно начали их использовать снова, используя фишинговые электронные письма, призывающие жертвы включить макросы. Эта кампания является лишь примером такого нападения. После того как макросы задействованы, выполняется атака, и макросы загружают некие двоичные коды и архивы, занося RAT AutoIt.

AutoIt является полностью законным, бесплатным инструментом, который позволяет администраторам в Windows писать скрипты для автоматизации задач. Он может даже присутствовать в белых списках целого ряда компаний. Загружается огромный, на 600 Мб скрипт AutoIt, а вместе с ним приходят антианалитические проверки, дешифратор полезной нагрузки, устанавливается вредоносная программа, и включаются механизмы постоянной работы. Скрипт также инсталлировал другие RAT (Cybergate или NanoCore) или же червя Parite. Подробное описание можно найти здесь.

Среди других недавних находок есть трояны удалённого доступа, названные uWarrior и Jsocket. Последний оказался перелицованным трояном удалённого доступа AlienSpy.

В свою очередь, первый выглядит как монстр Франкенштейна среди RAT, так как весь сшит из различных готовых компонентов, взятых из других вредоносных программ (таких как RAT ctOS). Исследователи говорят, однако, что вредоносная программа «полнофункциональна», и когда дело доходит до эксплуатации, «сочетание методов и пострадавшего кода является новаторским и весьма сложным».

Согласно Threatpost, «вредоносная программа включает в себя два кода старых эксплойтов, дистанционно задействующих ошибки CVE-2012-1856 и CVE-2015-1770. Первый, который поражал MSCOMCTL.OCX в Microsoft Windows Common ещё в 2012 году, по-видимому, вернулся и использует цепочку возврат-ориентированного программирования (ROP), чтобы обойти ASLR»

UWarrior же встраивается в фальсифицированные документы .RTF. А это означает, что фишинг является главным вектором заражения.

Дератизация

Как было сказано выше, RAT часто являются компонентами троянов и бэкдоров, и они попадают в систему «обычными» путями — через фишинговые письма, нашпигованные макросами документы Word, эксплуатируют недостатки программного обеспечения и т.д. Всё это можно предотвратить.

Бизнес-продукты «Лаборатории Касперского» способны обнаруживать и блокировать эти угрозы с помощью изрядного набора защитных технологий, которые включают в себя обнаружение вредоносных программ, поведенческий анализ, оценку системы и уязвимостей, а также инструменты управления патчами. Для получения более подробной информации об этих функциях, пожалуйста, посетите корпоративный сайт «Лаборатории Касперского».