Il RAT acronimo di Remote Access Trojan è un tipo di software molto simile ai programmi di accesso remoto legittimi ma che non viene utilizzato per il supporto tecnico quanto piuttosto per monitorare e controllare, in modo illecito, un computer o un’intera rete all’insaputa degli utenti.
Inoltre può risultare difficile rilevare questa tipologia di malware anche perché gli attaccanti spesso usano dei binder per nascondere i payload malevoli in eseguibili regolari e validi, eludendo così i sistemi di protezione e di controllo (antivirus e firewall). Talvolta possono essere necessari, per una rimozione sicura, degli strumenti di rilevamento concepiti ad hoc.
Malware RAT – Modalità di installazione
Dopo il buon esito di un’installazione, avvenuta a seguito di un accesso fisico diretto alla macchina oppure attraverso tecniche di phishing (o spear phishing), un allegato e-mail, un pacchetto software, delle pagine web e annunci pubblicitari compromessi (con tecniche drive by download), l’impianto RAT per ottenere il pieno accesso e controllo del target si basa solitamente su architetture client-server (o anche su modelli più evoluti cloud based):
- Una componente trojan installata sulla macchina della vittima che funge da server;
- una componente per il controllo remoto, presidiata dell’attaccante che funge da centrale di comando e controllo C2;
- la componente trojan stabilisce con la centrale di comando (o più server C2) una connessione diretta utilizzando una opportuna porta TCP predefinita del computer infettato;
- La centrale di comando C2, in modo simmetrico, crea una comunicazione remota sul computer della vittima.
Malware RAT – Modalità di funzionamento
A differenza della maggior parte dei malware che sono realizzati per scopi specifici, il RAT una volta stabilita la connessione remota può mettere a disposizione degli attaccanti una vasta gamma di impieghi possibili. Eccone alcuni:
- Controllo Webcam. Si possono attivare e controllare webcam e microfoni di un computer;
- Controllo Desktop. È possibile controllare un computer remoto per eseguire azioni arbitrarie e sfruttare la rete target come server proxy per agire in modo anonimo e a scapito delle ignare vittime con tecniche di mascheramento e impersonificazione;
- File Manager. Guadagnando un accesso amministrativo nei computer infettati, i RAT consentono di modificare qualsiasi file, cancellare interi dischi o addirittura inoculare contenuti malevoli (backdoor, worm, spyware);
- Keylogging. Da un computer infetto è possibile ottenere sequenze di tasti e file contenenti informazioni bancarie, password, dati sensibili o conversazioni personali;
- Botnet. I criminal hacker possono utilizzare strumenti RAT per assumere il controllo di una rete allo scopo di creare una botnet estesa su migliaia di computer e/o utilizzare le relative risorse per attacchi DDOS, attività criminali di mining (Bitcoin), di hosting file e di torrenting.
RAT – Scenario di attacco
I RAT commercialmente disponibili nei marketplace underground, in pacchetti già pronti e a prezzi non proibitivi (in media $150), rappresentano lo strumento maggiormente adoperato nelle campagne APT (Advanced Persistent Threat) per effettuare ricognizioni, arginare i protocolli di autenticazione, diffondere ulteriori malware e accedere a sistemi sensibili. Ecco uno scenario tipico di attacco:
- La ricognizione. Di solito i criminal hacker in una prima fase ricognitiva e di studio del target riescono a ricavare tutte le informazioni utili e a pianificare le fasi successive, attraverso tool o tecniche di social engineering;
- l’infiltrazione. Nel punto di partenza dell’attacco, il RAT permette, come testa di ponte, di installare un malware adeguato per colpire sistemi vulnerabili e consentire successivamente l’espansione all’interno della rete bersaglio ed avere il controllo su più dispositivi possibili;
- l’espansione. In questa fase il RAT, con funzioni backdoor, trasmette alla centrale di comando tutti i riscontri assunti sullevulnerabilità dei sistemi e dei protocolli utilizzati;
- l’estrazione. Nell’ultima fase, ma la più importante, l’attacco si concretizza sottraendo ogni tipo di informazione voluta e comunicata al presidio attraverso la componente backdoor preinstallata.
Considerazioni
Sebbene la maggior parte dei browser impedisce download automatici o perlomeno avvisa l’utente quando un sito non è sicuro, nel caso specifico può comunque essere difficile rilevare l’attività RAT. Infatti, queste attività in genere non rallentano i sistemi colpiti né si manifestano ma possono continuare in modo subdolo e segreto per lunghi periodi.
Pertanto sarebbe auspicabile seguire delle buone pratiche generali, anche assimilabili tramite una formazione di security awareness, complementari agli strumenti di protezione in uso che possono aiutare a prevenire tali minacce:
- non scaricare software da fonti non sicure e non affidabili (giochi, applicazioni, file torrent);
- non aprire allegati e-mail provenienti da potenziali datori di lavoro e mittenti improbabili;
- mantenere aggiornati browser e sistemi operativi con le relative patch di sicurezza;
- mantenere gli antivirus con le firme delle definizioni dei malware aggiornate;
- diffidare dalle richieste di installazione di applicazioni propinate in modo arbitrario;
- monitorare la velocità di connessione di rete, poiché l’attività RAT, utilizzando la larghezza di banda della connessione Internet, potrebbe peggiorarne le prestazioni;
- Utilizzare un task manager per cercare processi sconosciuti, anche se di norma i task imputabili ai RAT non vengono visualizzati tra i processi in esecuzione, e valutarne la rimozione.