Récemment créé Cheval de Troie d'accès à distance(RAT) qui utilise le protocole Télégramme pour voler des données utilisateur via un appareil infecté. Le RAT est écrit en Python et est actuellement disponible gratuitement en téléchargement sur les portails de partage de code ( GithubGenericName).

Le créateur du RAT affirme que le but de la création du RAT était uniquement d'optimiser et d'améliorer le travail effectué pour le RAT. L'auteur souligne que le principal problème avec la plupart des RAT est qu'ils n'utilisent pas de cryptage et demandent que la redirection de port soit activée sur l'appareil de la victime pour contrôler les hôtes infectés. Le développeur propose son propre outil, appelé RATAtack, qui utilise Protocole de télégramme pour prendre en charge le canal crypté de la victime et du créateur du canal, et ne nécessite pas de transfert de port, car le protocole Telegram fournit une méthode simple de communication avec la cible sans configuration préalable du port.

RAT fonctionne à travers des bots dans Telegram

Avant l'apparition de RATatack, un utilisateur de RAT doit créer un bot dans Telegram, prendre le token de ce bot et le placer dans le fichier de configuration de RAT. Une fois la victime RATAttack infectée, tous les hôtes se connectent au canal du bot. Le propriétaire de RATAttack peut se connecter au même canal et utiliser des instructions simples pour gérer les clients RATatack sur les hôtes infectés. Selon la version actuelle de RATAttack, les commandes suivantes sont prises en charge :

Python

/pc_info - Obtenir des informations sur le PC /msg_box - Affiche une boîte avec du texte /snapshot - Prend une photo de la webcam /ip_info - Affiche l'IP /download_file - Télécharge le fichier /list_dir - Liste les fichiers dans le dossier actuel /run_file - Exécute le fichier /capture_pc - Captures d'écran du bureau /keylogs - Keylogger /self_destruct - Se détruit

Interface RAT dans Telegram

Voici quelques-unes des fonctionnalités de RATAttack, ainsi que celles en cours de développement :

• Lancement du keylogger sur le PC cible ;
• Obtenir des informations sur le PC cible, à savoir : version de Windows, processeur, etc. ;
• Obtenir des informations sur l'adresse IP de la cible et son emplacement approximatif sur la carte ;
• Afficher une boîte de message avec un texte personnalisé sur l'ordinateur de la cible ;
• Liste de tous les répertoires sur l'ordinateur cible ;
• Téléchargement local de n'importe quel fichier depuis l'ordinateur de la cible en arrière-plan ;
• Téléchargement de fichiers locaux sur l'ordinateur cible. Envoi d'images, de pdf, de documents exe et de tout autre fichier au bot Telegram ;
• Captures d'écran de l'ordinateur de la cible ;
• Exécution de n'importe quel fichier sur l'ordinateur de la cible.

Fonctionnalités en développement :

• Autodestruction de RAT sur l'ordinateur de la cible ;
• Instantanés de la webcam (si disponible) ;
• Suppression de fichiers sur l'ordinateur cible

RATattack est écrit en Python 2.7, mais l'auteur a promis une version pour Python 3.X.

Une « clause de non-responsabilité » mystique éloignera les méchants

Comme la plupart des développeurs "sombres" qui créent un RAT à double usage, le développeur a appelé sa création Outil d'administration à distance(Outil d'administration à distance). Même si certaines des fonctionnalités sur lesquelles il travaille actuellement se trouvent généralement dans chevaux de Troie malveillants. Ce ne sont pas des outils d'administration à distance légaux comme visionneuse d'équipe et d'autres.

Le développeur n'a pas non plus oublié de remplir l'ancien numéro et la "disclaimer" obligatoire à la fin de la description Attaque RATA, espérant éviter les conséquences des attaquants en utilisant son code librement disponible pour espionner les conjoints, pirater des entreprises ou surveiller les dissidents. Vraisemblablement, cet outil ne devrait être utilisé que sur des systèmes autorisés. Toute utilisation non autorisée de cet outil sans autorisation est illégal. La question des logiciels à double usage utilisés à des fins légales et criminelles a récemment fait les manchettes.

Un point de vue en faveur des développeurs de la RAT est exprimé dans un article intitulé "Le FBI a arrêté un hacker qui n'a piraté personne", tandis que le journaliste d'Infosec Brian Krebs a avancé un contre-argument sous la forme d'un article intitulé "Crime and le logiciel à double usage n'est pas si nouveau". La lecture de ces deux articles est recommandée pour comprendre pourquoi vous ne devez pas tromper les autorités et les forces de l'ordre en particulier en qualifiant votre logiciel d'outil d'administration à distance contenant des fonctions malveillantes explicites. L'auteur du code a partagé son développement sur GitHub, donc basé sur une mauvaise expérience, ce n'est qu'une question de temps avant de le voir entre les mains de véritables sociétés de logiciels malveillants.

Mise à jour (19 avril 2017, 03:55) : Ritiek Malhotra (@Ritiek) A supprimé son référentiel Github. Sur le github, des forks ont déjà été réalisés. L'utilisateur @mvrozanti a même commencé à étendre la fonctionnalité.

Programmes d'administration à distance(Outils d'administration à distance, en abrégé RAT) sont utilisés pour gérer à distance des postes de travail ou d'autres périphériques informatiques, sont un type de logiciel potentiellement dangereux. Grâce à eux, vous pouvez effectuer presque toutes les actions avec un système distant : transférer des fichiers, surveiller les actions des utilisateurs, effectuer les réglages du système, gérer les fonctions d'entrée/sortie, etc. Le plus souvent, ces programmes se composent de deux parties - un logiciel malveillant sur un ordinateur infecté qui permet d'accéder au système. Il existe cependant des options qui vous permettent de gérer à partir d'un navigateur, pour ceux qui ont besoin d'avoir accès à partir de n'importe quel ordinateur sans programmes préinstallés.

À des fins légales, ils sont utilisés pour accéder aux ressources d'un autre ordinateur (par exemple, contrôler un ordinateur de travail à partir d'un ordinateur personnel) et au support technique à distance pour les utilisateurs peu qualifiés pour résoudre les problèmes techniques.

Cependant, il existe une troisième option illégale - une connexion à distance par un attaquant afin d'obtenir un contrôle total sur l'ordinateur et toutes les possibilités que ce contrôle offre. Cependant, l'arsenal des outils de cheval de Troie RAT ne se limite pas au vol d'informations et à la désactivation d'un ordinateur : la plupart d'entre eux offrent à un pirate la possibilité de « jeter un coup d'œil » dans une webcam, d'écouter des données à partir d'un microphone, de découvrir l'emplacement d'un ordinateur infecté. périphérique (s'il dispose d'un GPS), ils fournissent également un accès au bureau (RDP) et à la ligne de commande, et ce n'est que l'ensemble minimum de fonctionnalités RAT !

Classification des programmes d'administration à distance

RAT (Outils d'administration à distance) - les programmes sont à la fois légaux et illégaux. Au sens juridique, ces programmes sont un excellent outil pour un administrateur système qui peut travailler à distance avec un client. Illégalement, RAT est souvent utilisé par les pirates pour espionner ou collecter des informations sur la victime. Chaque développeur s'efforce d'implémenter son propre ensemble de fonctions disponibles, en fonction des tâches, du segment d'utilisation et des qualifications des utilisateurs, en privilégiant la distribution payante ou gratuite.

Le plus souvent, les programmes d'administration à distance sont divisés en fonction de leur capacité à fonctionner sur différents systèmes d'exploitation - Windows, macOS, Linux, capables de fonctionner avec plusieurs systèmes d'exploitation, donnant accès à partir d'appareils mobiles.

En termes de sécurité, il existe des programmes qui permettent d'accéder avec un mot de passe et ceux qui nécessitent l'autorisation de l'utilisateur d'un ordinateur distant, des systèmes avec des protocoles de cryptage intégrés, la possibilité de filtrer par ID et IP.

Comment sont utilisés les programmes d'administration à distance ?

Les pirates RAT (Remote Administration Tools) utilisent pour espionner une personne ou collecter des informations à son sujet. Dans ce cas, n'importe qui peut devenir une cible : une personnalité politique bien connue, ou une personne ordinaire, dont on veut en savoir plus sur la vie.

Avec un accès physique au serveur, un attaquant peut voler l'ID client et le mot de passe, ou créer les siens. Sur la machine du client, vous pouvez travailler en l'absence du propriétaire, ou encore copier le mot de passe d'accès. Un autre type d'attaque est l'infection par un cheval de Troie enregistreur de frappe ou un autre programme qui vole les mots de passe. Enfin, vous pouvez voler un morceau de papier où le mot de passe est écrit.

Un autre objet d'influence peut être le canal par lequel le propriétaire de l'ordinateur géré transmet le mot de passe pour la connexion. Les téléphones (SMS ou conversation orale), e-mail, Skype, l'un des messagers sont utilisés pour la transmission, et si le criminel parvient à accéder au canal de transmission, il recevra un mot de passe et la possibilité de contrôler la voiture de quelqu'un d'autre.

Comment sont distribués les programmes d'administration à distance ?

En règle générale, le RAT est entré par un attaquant sur un ordinateur par contact physique. Une méthode tout aussi courante est l'ingénierie sociale. Un pirate informatique peut fournir à la victime RAT (Outils d'administration à distance) en tant que programme intéressant et utile, forçant la victime à l'installer pour elle-même.

En plus des programmes, un pirate peut utiliser des utilitaires préinstallés dans le système d'exploitation qui ne sont pas suffisamment sécurisés, ou qui sont protégés par un mot de passe faible, comme RDP ou Telnet, par exemple.

De plus, un point d'entrée pour un pirate peut être un programme d'administration à distance une fois installé et oublié par l'administrateur système, auquel un pirate peut deviner le mot de passe et prendre le contrôle du PC.

La vulnérabilité suivante est la définition des droits d'accès à un système distant. Vous pouvez autoriser l'accès uniquement à la demande de l'utilisateur, avec certains identifiants et uniquement à partir de certaines adresses IP, mais les utilisateurs choisissent souvent de démarrer automatiquement à partir de n'importe quelle adresse. Ceci est pratique lorsque vous avez besoin d'accéder à une machine derrière laquelle personne n'est assis (par exemple, votre propre ordinateur de travail), mais ouvre en même temps la voie aux criminels.

Et le dernier est le facteur humain. Le plus souvent, l'accès à distance n'est pas utilisé par des pirates externes, mais par leurs propres employés licenciés. Comme mentionné, des dizaines d'ordinateurs peuvent avoir des utilitaires de gestion à distance installés. En conséquence, un ancien employé peut soit infiltrer le système lui-même, soit vendre des informations à des concurrents.

L'installation de programmes d'accès à distance en secret de l'utilisateur peut également être dangereuse. Il se peut qu'il ne se fasse pas du tout passer pour lui-même, tandis que l'attaquant pourra copier les informations nécessaires et perturber le système.

Risques liés à l'utilisation de programmes d'administration à distance

Souvent, l'administration à distance est utilisée pour aider des camarades plus avancés ou des services de support. L'accès est autorisé depuis n'importe quelle adresse IP sans confirmation et un mot de passe faible est utilisé. Même un attaquant novice peut pirater un tel ordinateur.

Il est important d'utiliser des mots de passe uniques et forts pour chaque machine et chaque service, car root:toor ou admin:admin peuvent être rapidement récupérés par un pirate et prendre le contrôle total ou partiel de l'ordinateur, ce qui peut être le point de départ du piratage. toute l'infrastructure de l'entreprise.

Il n'y a pas ici de solution universelle, car toute augmentation de la sécurité, l'introduction de restrictions supplémentaires complique inévitablement, et parfois même rend impossible le travail normal.

Néanmoins, vous ne devez pas autoriser l'accès à distance à ceux qui n'en ont manifestement pas besoin. Il est important de surveiller les outils et programmes réguliers du système d'exploitation installés sur l'ordinateur (ordinateurs), car ils peuvent également être piratés et donner au pirate le contrôle de la machine.

Vous devez installer un bon antivirus sur votre ordinateur (ordinateurs), qui pourra surveiller l'activité des programmes et du trafic, empêchant toute action non autorisée.

Il est très important de la part des services de sécurité de l'information, ainsi que de la part des utilisateurs, de surveiller les programmes installés sur l'ordinateur, ainsi que de contrôler les paramètres des outils standard. De plus, vous devez installer un pare-feu à jour et un programme antivirus fiable qui permet une analyse comportementale. Cette fonctionnalité vous permettra de détecter les programmes d'administration à distance comme des programmes potentiellement dangereux ou malveillants.

Que signifie l'abréviation RAT ?
RAT - rat (anglais). Sous l'acronyme RAT cache une désignation de cheval de Troie qui n'est pas très agréable pour chaque utilisateur, à l'aide de laquelle un attaquant peut accéder à distance à un ordinateur. Beaucoup traduisent à tort cette abréviation par Remote Administration Tool - un outil d'administration à distance, mais en fait l'abréviation RAT signifie Cheval de Troie d'accès à distance- un programme cheval de Troie pour l'accès à distance.

En fait un espion Veuillez vous connecter ou vous inscrire pour voir le lien. Le programme RAT est l'un des logiciels malveillants les plus dangereux qui permet à un attaquant non seulement d'accéder à votre ordinateur, mais également de le contrôler complètement. À l'aide du programme RAT, un attaquant peut installer à distance un enregistreur de frappe ou un autre logiciel malveillant. De plus, avec l'aide de ce programme, un pirate peut infecter des fichiers et faire beaucoup d'autres choses à votre insu.

Comment fonctionne le programme RAT ?
RAT se compose de deux parties : client et serveur. Dans le programme RAT (client) lui-même, qui s'exécute sur l'ordinateur de l'attaquant, un programme serveur est créé et envoyé à la victime. Une fois que la victime a lancé le serveur, un ordinateur distant (hôte) apparaît dans la fenêtre du programme client, auquel vous pouvez vous connecter à distance. Tout .., désormais, l'ordinateur de la victime est sous le contrôle total de l'attaquant.

Caractéristiques du cheval de Troie RAT

• Surveiller l'activité des utilisateurs
• Exécuter des fichiers
• Désactiver et arrêter les services Windows
• Prendre et enregistrer des captures d'écran du bureau
• Lancer la webcam
• Analyser le réseau
• Télécharger et modifier des fichiers
• Et beaucoup plus

Programmes RAT populaires

• Rat SombreComète
• CyberGate
• ProRAT
• Turkojan
• Orifice arrière
• Rat Cerbère
• Filet d'espionnage

Quel est le meilleur programme RAT ?
Le meilleur cheval de Troie RAT aujourd'hui est DarkComet Rat

Comment un cheval de Troie RAT est-il infecté ?
L'infection par le virus RAT se produit à peu près de la même manière que les autres logiciels malveillants via :

• Infection massive sur les sites warez et torrent.
• Scripts (exploits) sur des sites qui téléchargent RAT sur votre ordinateur à votre insu.
• Il convient de noter que, dans la plupart des cas, les infections par des chevaux de Troie RAT ne proviennent pas de masse mais d'une infection ciblée de votre ordinateur par des amis ou des collègues.

Soit dit en passant, les logiciels antivirus ne sont pas toujours en mesure d'empêcher l'infection, certains antivirus ne détectent tout simplement pas un virus, car aujourd'hui personne n'envoie juste un cheval de Troie, aujourd'hui il est pré-crypté.
Comment prévenir l'infection par le cheval de Troie RAT ?

• N'ouvrez pas de fichiers inconnus que vous recevez par courrier.
• Utilisez des navigateurs sécurisés.
• Téléchargez et installez des programmes uniquement à partir du site du développeur.
• Évitez tout contact physique avec l'ordinateur par des étrangers.
• Supprimez l'antivirus et installez un bon pare-feu et un bon renifleur.

Comment savoir si vous avez un cheval de Troie RAT ?
Il n'est pas facile de comprendre que PAT est installé sur votre ordinateur, mais c'est possible. Voici les signes pouvant indiquer la présence d'un cheval de Troie sur votre ordinateur :

• Activité réseau étrange dans le pare-feu, en particulier un trafic sortant élevé.
• L'ordinateur a commencé à ralentir ou la vitesse d'Internet a chuté de manière significative.
• Votre mot de passe de réseau social a été volé. les réseaux ou la messagerie.
• Trafic suspect dans le renifleur

Comment guérir un ordinateur infecté par un cheval de Troie ?
Détecter le cheval de Troie RAT est assez difficile. Vous pouvez télécharger le scanner Pour afficher les liens

Que signifie l'abréviation RAT ?

RAT - rat (anglais). Sous l'acronyme RAT cache une désignation de cheval de Troie qui n'est pas très agréable pour chaque utilisateur, à l'aide de laquelle un attaquant peut accéder à distance à un ordinateur. Beaucoup traduisent à tort cette abréviation par Remote Administration Tool - un outil d'administration à distance, mais en fait, l'abréviation RAT signifie Cheval de Troie d'accès à distance- un programme cheval de Troie pour l'accès à distance.

En fait, RAT est l'un des logiciels malveillants les plus dangereux qui permet à un attaquant non seulement d'accéder à votre ordinateur, mais également de le contrôler complètement. À l'aide du programme RAT, un attaquant peut installer à distance un enregistreur de frappe ou un autre logiciel malveillant. De plus, avec l'aide de ce programme, un pirate peut infecter des fichiers et faire beaucoup d'autres choses à votre insu.

Comment fonctionne le programme RAT ?

RAT se compose de deux parties : client et serveur. Dans le programme RAT (Client) lui-même, qui s'exécute sur l'ordinateur de l'attaquant, un programme serveur est créé et envoyé à la victime. Une fois que la victime a lancé le serveur, un ordinateur distant (hôte) apparaît dans la fenêtre du programme client, auquel vous pouvez vous connecter à distance. Tout .., désormais, l'ordinateur de la victime est sous le contrôle total de l'attaquant.

Caractéristiques du cheval de Troie RAT

• Exécuter des fichiers
• Désactiver et arrêter les services Windows
• Prendre et enregistrer des captures d'écran du bureau
• Analyser le réseau
• Télécharger et modifier des fichiers
• Surveiller, ouvrir et fermer les ports
• Se moquer des théières et bien plus encore

Programmes RAT populaires

• Rat SombreComète
• CyberGate
• ProRAT
• Turkojan
• Orifice arrière
• Rat Cerbère
• Filet d'espionnage

Quel est le meilleur programme RAT ?
Le meilleur cheval de Troie RAT aujourd'hui est DarkComet Rat

Comment un cheval de Troie RAT est-il infecté ?

L'infection par le virus RAT se produit à peu près de la même manière que les autres logiciels malveillants via :

• Infection massive sur les sites warez et torrent.
• Scripts (exploits) sur des sites qui téléchargent RAT sur votre ordinateur à votre insu.
• Il convient de noter que, dans la plupart des cas, les infections par des chevaux de Troie RAT ne proviennent pas de masse mais d'une infection ciblée de votre ordinateur par des amis ou des collègues.

Soit dit en passant, les logiciels antivirus ne sont pas toujours en mesure d'empêcher l'infection, certains antivirus ne détectent tout simplement pas, car aujourd'hui personne n'envoie juste un cheval de Troie, aujourd'hui il est pré-crypté (qu'est-ce qu'une crypte et comment c'est fait, nous dirons dans un autre article).

Comment prévenir l'infection par le cheval de Troie RAT ?

• N'ouvrez pas de fichiers inconnus que vous recevez par courrier.
• Utilisez des navigateurs sécurisés.
• Téléchargez et installez des programmes uniquement à partir du site du développeur.
• Évitez tout contact physique avec l'ordinateur par des étrangers.
• Supprimez l'antivirus en enfer et installez un bon pare-feu et un bon renifleur. Bien sûr, vous pouvez laisser l'antivirus, je comprends l'habitude d'une telle chose... mais vous devez utiliser le pare-feu. Mais si vous apprenez à vous servir d'un renifleur, alors à mes yeux vous deviendrez des utilisateurs avancés, sans cinq minutes d'experts dans le domaine de la sécurité informatique)) !

Comment savoir si vous avez un cheval de Troie RAT ?

Il n'est pas facile de comprendre que PAT est installé sur votre ordinateur, mais c'est possible. Voici les signes pouvant indiquer la présence d'un cheval de Troie sur votre ordinateur :

• Activité réseau étrange dans le pare-feu, en particulier un trafic sortant élevé.
• L'ordinateur a commencé à ralentir ou la vitesse d'Internet a chuté de manière significative.
• Votre mot de passe de réseau social a été volé. les réseaux ou la messagerie.
• Trafic suspect dans

Comment guérir un ordinateur infecté par un cheval de Troie ?

Détecter le cheval de Troie RAT est assez difficile. Vous pouvez télécharger des antivirus gratuits avec des bases de données mises à jour, par exemple, un excellent scanner à mon avis et scanner votre ordinateur. En fait, si vous êtes peu versé dans les ordinateurs, il est plus facile de ne pas chercher une aiguille dans une botte de foin, mais après avoir enregistré des documents importants, formatez l'ordinateur et réinstallez Windows.

Soit dit en passant, en installant un Windows piraté, vous risquez d'être infecté déjà au stade de l'installation. Étant donné que certains des assemblages de gauche qui sont distribués sur le réseau ont déjà cousu des signets, des espions, des virus, des administrateurs cachés, des rms et d'autres beautés. J'ai connu un assistant informatique qui, sans le savoir, a installé l'assembly gauche de Windows, le fameux ZverCD, sur des machines clientes.

Vidéo : Cheval de Troie DarkComet RAT en action