Malware RAT: come funziona il trojan per l’accesso remoto multifunzione

Il RAT acronimo di Remote Access Trojan è un tipo di software molto simile ai programmi di accesso remoto legittimi ma che non viene utilizzato per il supporto tecnico quanto piuttosto per monitorare e controllare, in modo illecito, un computer o un’intera rete all’insaputa degli utenti. 

Inoltre può risultare difficile rilevare questa tipologia di malware anche perché gli attaccanti spesso usano dei binder per nascondere i payload malevoli in eseguibili regolari e validi, eludendo così i sistemi di protezione e di controllo (antivirus e firewall). Talvolta possono essere necessari, per una rimozione sicura, degli strumenti di rilevamento concepiti ad hoc.

Malware RAT – Modalità di installazione

Dopo il buon esito di un’installazione, avvenuta a seguito di un accesso fisico diretto alla macchina oppure attraverso tecniche di phishing (o spear phishing), un allegato e-mail, un pacchetto software, delle pagine web e annunci pubblicitari compromessi (con tecniche drive by download), l’impianto RAT per ottenere il pieno accesso e controllo del target si basa solitamente su architetture client-server (o anche su modelli più evoluti cloud based):

  • Una componente trojan installata sulla macchina della vittima che funge da server;
  • una componente per il controllo remoto, presidiata dell’attaccante che funge da centrale di comando e controllo C2;
  • la componente trojan stabilisce con la centrale di comando (o più server C2) una connessione diretta utilizzando una opportuna porta TCP predefinita del computer infettato; 
  • La centrale di comando C2, in modo simmetrico, crea una comunicazione remota sul computer della vittima.

Malware RAT – Modalità di funzionamento

A differenza della maggior parte dei malware che sono realizzati per scopi specifici, il RAT una volta stabilita la connessione remota può mettere a disposizione degli attaccanti una vasta gamma di impieghi possibili. Eccone alcuni:

  • Controllo Webcam. Si possono attivare e controllare webcam e microfoni di un computer;
  • Controllo Desktop. È possibile controllare un computer remoto per eseguire azioni arbitrarie e sfruttare la rete target come server proxy per agire in modo anonimo e a scapito delle ignare vittime con tecniche di mascheramento e impersonificazione;
  • File Manager. Guadagnando un accesso amministrativo nei computer infettati, i RAT consentono di modificare qualsiasi file, cancellare interi dischi o addirittura inoculare contenuti malevoli (backdoor, worm, spyware);
  • Keylogging. Da un computer infetto è possibile ottenere sequenze di tasti e file contenenti informazioni bancarie, password, dati sensibili o conversazioni personali;
  • Botnet. I criminal hacker possono utilizzare strumenti RAT per assumere il controllo di una rete allo scopo di  creare una botnet estesa su migliaia di computer e/o utilizzare le relative risorse per attacchi DDOS, attività criminali di mining (Bitcoin),  di hosting file e di torrenting. 

RAT – Scenario di attacco

I RAT commercialmente disponibili nei marketplace underground, in pacchetti già pronti e a prezzi non proibitivi (in media $150), rappresentano lo strumento maggiormente adoperato nelle campagne APT (Advanced Persistent Threat) per effettuare ricognizioni, arginare i protocolli di autenticazione, diffondere ulteriori malware e accedere a sistemi sensibili. Ecco uno scenario tipico di attacco:

  • La ricognizione. Di solito i criminal hacker  in una prima fase ricognitiva e di studio del target riescono a ricavare tutte le informazioni utili e a pianificare le fasi successive, attraverso  tool o tecniche di social engineering;
  • l’infiltrazione. Nel punto di partenza dell’attacco, il RAT permette, come testa di ponte, di installare un malware adeguato per colpire sistemi vulnerabili e consentire successivamente l’espansione all’interno della rete bersaglio ed avere il controllo su più dispositivi possibili;
  • l’espansione. In questa fase il RAT, con funzioni backdoor, trasmette alla centrale di comando tutti i riscontri assunti sullevulnerabilità dei sistemi e dei protocolli utilizzati;
  • l’estrazione. Nell’ultima fase, ma la più importante, l’attacco si concretizza sottraendo ogni tipo di informazione voluta e comunicata al presidio attraverso la componente backdoor preinstallata.

Considerazioni

Sebbene la maggior parte dei browser impedisce download automatici o perlomeno avvisa l’utente quando un sito non è sicuro, nel caso specifico può comunque essere difficile rilevare l’attività RAT. Infatti, queste attività in genere non rallentano i sistemi colpiti né si manifestano ma possono continuare in modo subdolo e segreto per lunghi periodi.

Pertanto sarebbe auspicabile seguire delle buone pratiche generali, anche assimilabili tramite una formazione di security awareness, complementari agli strumenti di protezione in uso che possono aiutare a prevenire tali minacce:

  • non scaricare software da fonti non sicure e non affidabili (giochi, applicazioni, file torrent);
  • non aprire allegati e-mail provenienti da potenziali datori di lavoro e mittenti improbabili; 
  • mantenere aggiornati browser e sistemi operativi con le relative patch di sicurezza;
  • mantenere gli antivirus con le firme delle definizioni dei malware aggiornate;
  • diffidare dalle richieste di installazione di applicazioni propinate in modo arbitrario;
  • monitorare la velocità di connessione di rete, poiché l’attività RAT, utilizzando la larghezza di banda della connessione Internet, potrebbe peggiorarne le prestazioni;
  • Utilizzare un task manager per cercare processi sconosciuti, anche se di norma i task imputabili ai RAT non vengono visualizzati tra i processi in esecuzione, e valutarne la rimozione.

Fonte: key4biz.it