Nemrég létrehozva Távoli hozzáférés trójai(RAT), amely a protokollt használja Távirat a felhasználói adatok ellopása egy fertőzött eszközön keresztül. A RAT Pythonban és in Ebben a pillanatban ingyenesen letölthető a kódcsere portálokon ( Github).

A RAT létrehozója azt állítja, hogy a RAT létrehozásának célja kizárólag a RAT számára végzett munka optimalizálása és javítása volt. A szerző hangsúlyozza, hogy a legtöbb RAT fő problémája az, hogy nem használnak titkosítást, és azt kérik, hogy az áldozat eszközén engedélyezzék a porttovábbítást, hogy ellenőrizzék a fertőzött gazdagépeket. A fejlesztő saját RATAtack nevű eszközt kínál, amely a Távirat protokoll támogatja az áldozat és a csatorna létrehozója titkosított csatornáját, és nem igényel porttovábbítást, mivel a Telegram protokoll egyszerű kommunikációs módot biztosít a célponttal anélkül, hogy előbeállítás kikötő.

A RAT a Telegram robotjain keresztül működik

A RATatack megjelenése előtt a RAT felhasználónak létre kell hoznia egy botot a Telegramban, el kell vennie ennek a botnak a tokenjét, és el kell helyeznie a RAT konfigurációs fájljába. Miután a RATAttack áldozata megfertőződött, minden gazdagép csatlakozik a bot csatornájához. A RATAttack tulajdonosa csatlakozhat ugyanahhoz a csatornához, és élvezheti egyszerű utasításokat a RATatack kliensek kezelésére a fertőzött gazdagépeken. A RATAttack jelenlegi verziója szerint a következő parancsok támogatottak:

Piton

/pc_info - Információk lekérése a számítógépről /msg_box - Megjelenít egy szöveget tartalmazó mezőt /pillanatkép - Képet készít a webkameráról /ip_info - Megjeleníti az IP-címet /download_file - Letölti a fájlt /list_dir - Felsorolja az aktuális mappában lévő fájlokat /run_file - Futtatja a /capture_pc fájlt - Képernyőképek az asztalról /keylogs - Keylogger /self_destruct - Elpusztítja magát

RAT interfész a Telegramban

Az alábbiakban felsorolunk néhány RATAttack szolgáltatást, valamint a fejlesztés alatt állókat:

• A keylogger elindítása a célszámítógépen;
• Információk beszerzése a célszámítógépről, nevezetesen: Windows verziók, processzor stb.;
• Információ beszerzése a cél IP-címéről és hozzávetőleges elhelyezkedéséről a térképen;
• Egyéni szöveget tartalmazó üzenetdoboz megjelenítése a célpont számítógépén;
• A célszámítógép összes könyvtárának listája;
• Bármely fájl helyi letöltése a cél számítógépéről a háttérben;
• Helyi fájlok feltöltése a célszámítógépre. Képek küldése, pdf dokumentumok, exe és bármely más fájl a Telegram bothoz;
• Képernyőképek a célpont számítógépéről;
• Bármely fájl végrehajtása a célpont számítógépén.

Fejlesztés alatt álló jellemzők:

• Önmegsemmisítő RAT a célpont számítógépén;
• Pillanatképek a webkameráról (ha rendelkezésre állnak);
• Fájlok törlése a célszámítógépen

A RATAttack be van írva Python 2.7, de a szerző verziót ígért erre Python 3.X.

Egy misztikus „felelősségnyilatkozat” távol tartja a rosszfiúkat

A legtöbb „sötét” fejlesztőhöz hasonlóan, akik kettős célú RAT-ot hoznak létre, a fejlesztő az alkotást nevezte Távoli adminisztrációs eszköz(Távfelügyeleti eszköz). Még akkor is, ha néhány olyan funkció, amelyen jelenleg dolgozik, általában megtalálható rosszindulatú trójaiak. Ezek nem legális távfelügyeleti eszközök, mint pl csapatnézőés mások.

A fejlesztő nem felejtette el teljesíteni a régi számot, és a leírás végén a kötelező "felelősséget" sem RATAttack, remélve, hogy elkerülheti a támadók következményeit azáltal, hogy szabadon elérhető kódjával házastársak után kémked, cégeket hackel, vagy ellenzékieket megfigyelés alatt tart. Feltehetően ezt az eszközt csak engedélyezett rendszereken szabad használni. Ennek az eszköznek az engedély nélküli jogosulatlan használata illegális. A közelmúltban a legális és büntetőjogi célokra használt kettős célú szoftverek ügye került a hírekbe.

A RAT fejlesztőit támogató álláspontot fejezi ki egy cikk "Az FBI letartóztatott egy hackert, aki nem tört fel senkit", míg az Infosec újságírója, Brian Krebs egy "Bűnözés és bűnözés" című cikk formájában terjesztett elő ellenérvet. A kettős célú szoftver nem olyan új. Mindkét cikk elolvasása ajánlott, hogy megértse, miért ne tévessze meg a hatóságokat és a bűnüldözést, különösen azzal, hogy szoftverét távoli felügyeleti eszköznek nevezi, amely kifejezetten rosszindulatú programokat tartalmaz. A kód szerzője a GitHubon osztotta meg fejlesztését, így a rossz tapasztalatok alapján csak idő kérdése, mikor látjuk valódi malware cégek kezében.

Frissítés (2017. április 19. 03:55) : Ritiek Malhotra (@Ritiek) Törölte a Github adattárát. A githubon már készültek a villák. @mvrozanti felhasználó még a funkcionalitás bővítését is megkezdte.

Távoli adminisztrációs programok(Remote Administration Tools, röviden RAT) szokták távirányító a munkaállomások vagy más számítógépes eszközök potenciálisan veszélyes szoftverek. Rajtuk keresztül szinte bármilyen műveletet végrehajthat távoli rendszerrel: fájlok átvitele, felhasználói műveletek figyelése, rendszerbeállítások elvégzése, bemeneti / kimeneti funkciók kezelése stb. Az ilyen programok leggyakrabban két részből állnak - a fertőzött számítógépen lévő rosszindulatú programokból, amelyek hozzáférést biztosítanak a rendszerhez. Vannak azonban olyan lehetőségek, amelyek lehetővé teszik a böngészőből történő kezelést azok számára, akiknek bármilyen számítógépről hozzá kell férniük előre telepített programok nélkül.

Jogi célból egy másik számítógép erőforrásaihoz való hozzáférésre szolgálnak (például innen otthoni számítógép a dolgozó kezelése), valamint távoli technikai támogatás a technikai problémák megoldásában kevéssé képzett felhasználók számára.

Van azonban egy harmadik, illegális lehetőség - távoli kapcsolat támadónak, hogy teljes irányítást szerezzen a számítógép és az irányítás által biztosított összes lehetőség felett. A RAT trójai eszközök arzenálja azonban nem korlátozódik az információk ellopására és a számítógép letiltására: a legtöbb lehetőséget biztosít a hacker számára, hogy „bekukkantson” egy webkamerába, meghallgathassa az adatokat a mikrofonból, megtudja a fertőzött eszköz helyét ( ha van rajta GPS), hozzáférést biztosítanak az asztalhoz (RDP) és a parancs sor, és ez csak a RAT-funkciók minimális készlete!

Távfelügyeleti programok osztályozása

RAT (Remote Administration Tools) – a programok legálisak és illegálisak is. Jogi értelemben ezek a programok kiváló eszközt jelentenek a rendszergazdának, aki távolról is tud dolgozni egy klienssel. Illegálisan a RAT-ot gyakran használják a hackerek kémkedésre vagy az áldozattal kapcsolatos információk gyűjtésére. Minden fejlesztő arra törekszik, hogy a saját rendelkezésre álló funkciókészletét megvalósítsa, a feladatoktól, a felhasználási szegmenstől és a felhasználói minősítésektől függően, a fizetős vagy ingyenes terjesztésre összpontosítva.

Leggyakrabban a távoli adminisztrációs programokat a munkavégzés lehetősége szerint különböző részekre osztják operációs rendszer– Windows, macOS, Linux, több operációs rendszerrel is használható, mobil eszközökről hozzáférést biztosít.

Biztonsági szempontból különbséget tesznek a jelszóval hozzáférést biztosító és a felhasználói engedélyt igénylő programok között. távoli számítógép, rendszerek beépített titkosítási protokollokkal, ID és IP szerinti szűrési lehetőséggel.

Hogyan használhatók a távfelügyeleti programok?

A RAT (Remote Administration Tools) hackerek egy személy után kémkednek, vagy információkat gyűjtenek róla. Ebben az esetben bárki célponttá válhat: ismert politikus, vagy hétköznapi ember, akinek az életéről valaki többet szeretne tudni.

A kiszolgálóhoz való fizikai hozzáféréssel a támadó ellophatja az ügyfélazonosítót és jelszót, vagy létrehozhatja a sajátját. A kliens gépén dolgozhat a tulajdonos távollétében, vagy újra másolja a hozzáférési jelszót. A támadások másik típusa a keylogger trójai program vagy más, jelszavakat ellopó program általi fertőzés. Végül ellophat egy papírt, ahol a jelszó fel van írva.

Egy másik befolyás tárgya lehet az a csatorna, amelyen keresztül a felügyelt számítógép tulajdonosa továbbítja a kapcsolat jelszavát. A telefonokat átvitelre használják (SMS vagy szóbeli beszélgetés), email, Skype, bármelyik hírnököt, és ha a bűnözőnek sikerül hozzáférnie az átviteli csatornához, akkor megkapja a jelszót és a lehetőséget, hogy irányítsa valaki más autóját.

Hogyan vannak elosztva a távoli adminisztrációs programok?

A RAT-ba általában egy támadó lép be egy számítógépen fizikai érintkezés útján. Hasonlóan elterjedt módszer a social engineering. A hacker érdekes módon RAT-ot (Remote Administration Tools) biztosíthat az áldozatnak, hasznos program, arra kényszerítve az áldozatot, hogy telepítse magának.

A programokon kívül a hacker használhat olyan, az operációs rendszerbe előre telepített segédprogramokat, amelyek nem elég biztonságosak, vagy gyenge jelszóval védettek, mint például az RDP vagy a Telnet.

A hacker belépési pontja lehet a rendszergazda által telepített és elfelejtett távfelügyeleti program is, amelyhez a hacker kitalálhatja a jelszót, és átveheti az irányítást a számítógép felett.

A következő biztonsági rés egy távoli rendszerhez való hozzáférési jogok beállítása. A hozzáférést csak a felhasználó kérésére, bizonyos azonosítókkal és csak bizonyos IP-címekről engedélyezheti, de gyakran a felhasználók bármelyik címről választják az automatikus indítást. Ez akkor kényelmes, ha olyan géphez van szüksége, amely mögött senki sem ül (például a saját munkahelyi számítógépéhez), ugyanakkor megnyitja az utat a bűnözők előtt.

És az utolsó az emberi tényező. A távoli hozzáférést leggyakrabban nem külső hackerek, hanem saját elbocsátott munkatársaik használják. Amint már említettük, több tucat számítógépen lehet távfelügyeleti segédprogram telepítve. Ennek eredményeként egy korábbi alkalmazott vagy saját maga beszivároghat a rendszerbe, vagy eladhat információkat a versenytársaknak.

Veszélyes lehet a távoli elérésű programok titkos telepítése a felhasználó előtt. Előfordulhat, hogy egyáltalán nem adja ki magát, miközben a támadó képes lesz másolni a szükséges információkat és megzavarni a rendszert.

Távoli adminisztrációs programok használatának kockázatai

A távoli adminisztrációt gyakran használják a fejlettebb elvtársak vagy támogató szolgáltatások megsegítésére. A hozzáférés bármely IP-ről jóváhagyás nélkül engedélyezett, és gyenge jelszót használnak. Még egy kezdő támadó is képes feltörni egy ilyen számítógépet.

Fontos, hogy minden géphez és minden szolgáltatáshoz egyedi és erős jelszavakat használjunk, mert a root:toor vagy az admin:admin gyorsan felkaphatja a hackert, és teljes vagy részleges irányítást szerezhet a számítógép felett, amely kiindulópontja lehet a betöréseknek. egy vállalat teljes infrastruktúrája.

Itt nincs univerzális megoldás, mert a biztonság minden növelése, további korlátozások bevezetése elkerülhetetlenül bonyolítja, sőt esetenként ellehetetleníti a normál munkát.

Ennek ellenére ne engedélyezze a távoli hozzáférést azoknak, akiknek nyilvánvalóan nincs szükségük rá. Fontos figyelni a számítógépre (számítógépekre) telepített rendszeres OS eszközöket, programokat, mert ezek is feltörhetők, és a hacker irányítást biztosítanak a gép felett.

Telepíteni kell a számítógép(ek)en jó vírusirtó, amely képes lesz figyelemmel kísérni a programok tevékenységét és a forgalmat, megakadályozva az illetéktelen tevékenységeket.

Nagyon fontos szolgáltatási oldalról információ biztonság, valamint a felhasználók által a számítógépre telepített programok figyelésére, valamint a beállítások ellenőrzésére rendszeres alapok. Ezen kívül telepítenie kell egy naprakész tűzfalat és egy megbízható víruskereső program, amely viselkedéselemzést biztosít. Ez a funkció lehetővé teszi a távoli adminisztrációs programok potenciálisan veszélyes vagy rosszindulatú programként való észlelését.

Mit jelent a RAT rövidítés?
RAT - patkány (angol). A betűszó alatt PATKÁNY minden felhasználó számára nem túl kellemes trójai megjelölést rejt, amelynek segítségével a támadó hozzájuthat távoli hozzáférés a számítógéphez. Sokan ezt a rövidítést tévesen távoli adminisztrációs eszköznek fordítják - egy távoli adminisztrációs eszköznek, de valójában a RAT rövidítés azt jelenti. Távoli hozzáférés trójai- egy trójai program távoli eléréshez.

Tulajdonképpen kém Kérjük, jelentkezzen be vagy regisztráljon a link megtekintéséhez. A RAT az egyik legveszélyesebb rosszindulatú program, amely lehetővé teszi a támadók számára, hogy ne csak hozzáférjenek a számítógépéhez, hanem teljes mértékben irányítsák azt. A RAT program használatával a támadó távolról telepíthet billentyűzetfigyelő vagy más rosszindulatú program. Ezen túlmenően a program segítségével egy hacker megfertőzhet fájlokat és sok más dolgot is megtehet az Ön tudta nélkül.

Hogyan működik a RAT program?
A RAT két részből áll: kliensből és szerverből. Magában a RAT (Client) programban, amely a támadó számítógépén fut, létrejön egy szerverprogram, amelyet elküldenek az áldozatnak. Miután az áldozat elindította a szervert, a kliensprogram ablakában megjelenik egy távoli számítógép (host), amelyhez távolról csatlakozhat. Minden .., mostantól az áldozat számítógépe teljes mértékben a támadó irányítása alatt áll.

A RAT trójai szolgáltatásai

• Figyelje a felhasználói tevékenységet
• Fájlok futtatása
• A Windows szolgáltatások letiltása és leállítása
• Készítsen és mentse az asztali képernyőképeket
• Indítsa el a webkamerát
• Scan Network
• Fájlok letöltése és módosítása
• És még sok más

Népszerű RAT programok

• DarkComet Rat
• CyberGate
• ProRAT
• Turkojan
• Hátsó nyílás
• Cerberus Rat
• Spy Net

Mi a legtöbb a legjobb program PATKÁNY?
A legjobb RAT trójai ma a DarkComet Rat

Hogyan fertőződik meg egy RAT trójai?
A RAT vírussal való fertőzés nagyjából ugyanúgy történik, mint a többi rosszindulatú keresztül:

• Tömeges fertőzés warez és torrent oldalakon.
• Szkriptek (exploitok) olyan webhelyeken, amelyek az Ön tudta nélkül letöltik a RAT-ot a számítógépére.
• Érdemes megjegyezni, hogy a legtöbb esetben a RAT trójai fertőzései nem tömeges, hanem barátok vagy kollégák számítógépének célzott fertőzéséből származnak.

A víruskereső szoftverek egyébként nem mindig képesek megakadályozni a fertőzést, egyes vírusirtó egyszerűen nem észlel vírust, hiszen ma már senki sem küld csak trójaiakat, ma már előre titkosítva van.
Hogyan lehet megelőzni a RAT trójai fertőzést?

• Ne nyissa meg a levélben kapott ismeretlen fájlokat.
• Használjon biztonságos böngészőket.
• Csak a fejlesztő webhelyéről töltsön le és telepítsen programokat.
• Nem engedni fizikai érintkezés idegenek számítógépével.
• Távolítsa el a víruskeresőt, és telepítsen egy jó tűzfalat és egy jó szippantót.

Honnan tudhatod, hogy van-e RAT trójai?
Nem könnyű megérteni, hogy a PAT telepítve van a számítógépén, de lehetséges. Az alábbiakban felsoroljuk azokat a jeleket, amelyek egy trójai jelenlétére utalhatnak a számítógépén:

• furcsa hálózati tevékenység a tűzfalban, különösen a nagy kimenő forgalomnál.
• A számítógép lassulni kezdett, vagy az internet sebessége jelentősen lecsökkent.
• A közösségi média jelszavát ellopták. hálózatok vagy levél.
• Gyanús forgalom szippantásban

Hogyan lehet meggyógyítani a trójai programokkal fertőzött számítógépet?
A RAT trójai felismerése meglehetősen nehéz. Letöltheti a szkennert A linkek megtekintéséhez

Mit jelent a RAT rövidítés?

RAT - patkány (angol). A betűszó alatt PATKÁNY egy nem minden felhasználó számára kellemes trójai megjelölést rejt, amelynek segítségével a támadó távolról hozzáférhet a számítógéphez. Sokan ezt a rövidítést tévesen távoli adminisztrációs eszköznek fordítják - egy távoli adminisztrációs eszköznek, de valójában a RAT rövidítés azt jelenti. Távoli hozzáférés trójai- egy trójai program távoli eléréshez.

Valójában a RAT az egyik legveszélyesebb rosszindulatú program, amely lehetővé teszi a támadók számára, hogy ne csak hozzáférjenek a számítógéphez, hanem teljes ellenőrzést is szerezzenek felette. A RAT program használatával a támadó távolról telepíthet egy keyloggert vagy más rosszindulatú programot. Ezen túlmenően a program segítségével egy hacker megfertőzhet fájlokat és sok más dolgot is megtehet az Ön tudta nélkül.

Hogyan működik a RAT program?

A RAT két részből áll: kliensből és szerverből. Magában a RAT (Client) programban, amely a támadó számítógépén fut, létrejön egy szerverprogram, amelyet elküldenek az áldozatnak. Miután az áldozat elindította a szervert, a kliensprogram ablakában megjelenik egy távoli számítógép (host), amelyhez távolról csatlakozhat. Minden .., mostantól az áldozat számítógépe teljes mértékben a támadó irányítása alatt áll.

A RAT trójai szolgáltatásai

• Fájlok futtatása
• A Windows szolgáltatások letiltása és leállítása
• Készítsen és mentse az asztali képernyőképeket
• Scan Network
• Fájlok letöltése és módosítása
• Monitor, portok megnyitása és bezárása
• Gúnyolódni a teáskannákkal és még sok mással

Népszerű RAT programok

• DarkComet Rat
• CyberGate
• ProRAT
• Turkojan
• Hátsó nyílás
• Cerberus Rat
• Spy Net

Melyik a legjobb RAT program?
A legjobb RAT trójai ma a DarkComet Rat

Hogyan fertőződik meg egy RAT trójai?

A RAT vírussal való fertőzés nagyjából ugyanúgy történik, mint a többi rosszindulatú program, az alábbiak révén:

• Tömeges fertőzés warez és torrent oldalakon.
• Szkriptek (exploitok) olyan webhelyeken, amelyek az Ön tudta nélkül letöltik a RAT-ot a számítógépére.
• Érdemes megjegyezni, hogy a legtöbb esetben a RAT trójai fertőzései nem tömeges, hanem barátok vagy kollégák számítógépének célzott fertőzéséből származnak.

Egyébként a víruskereső szoftverek nem mindig képesek megakadályozni a fertőzést, egyes vírusirtó egyszerűen nem észleli, mivel ma senki sem küld csak trójaiakat, ma már előre titkosítva van (mi a kripta és hogyan történik, megmondjuk egy másik cikkben).

Hogyan lehet megelőzni a RAT trójai fertőzést?

• Ne nyissa meg a levélben kapott ismeretlen fájlokat.
• Használjon biztonságos böngészőket.
• Csak a fejlesztő webhelyéről töltsön le és telepítsen programokat.
• Kerülje el, hogy idegenek fizikailag érintkezzenek a számítógéppel.
• Távolítsa el a vírusirtót a pokolba, és telepítsen egy jó tűzfalat és egy jó szippantót. Természetesen a vírusirtót elhagyhatod, megértem az ilyesmi szokását... de muszáj a tűzfalat használni. De ha megtanulja a szippantó használatát, akkor az én szememben haladó felhasználókká válhat, anélkül, hogy öt percre lenne szakértője a számítógépes biztonság területén))!

Honnan tudhatod, hogy van-e RAT trójai?

Nem könnyű megérteni, hogy a PAT telepítve van a számítógépén, de lehetséges. Az alábbiakban felsoroljuk azokat a jeleket, amelyek egy trójai jelenlétére utalhatnak a számítógépén:

• Furcsa hálózati tevékenység a tűzfalban, különösen a nagy kimenő forgalom.
• A számítógép lassulni kezdett, vagy az internet sebessége jelentősen lecsökkent.
• A közösségi média jelszavát ellopták. hálózatok vagy levél.
• Gyanús forgalom

Hogyan lehet meggyógyítani a trójai programokkal fertőzött számítógépet?

A RAT trójai felismerése meglehetősen nehéz. Letölthető ingyenes vírusirtó frissített adatbázisokkal, például véleményem szerint kiváló szkennerrel, és átvizsgálja a számítógépét. Sőt, aki keveset jártas a számítógépekben, könnyebb nem a tűt keresni a szénakazalban, hanem a fontos dokumentumok mentése után formázza meg a számítógépet, és telepítse újra a Windowst.

Egyébként egy feltört Windows telepítésével már a telepítési szakaszban megfertőződhet. Mivel a hálózaton terjesztett bal összeállítások egy része már varrt könyvjelzőket, kémeket, vírusokat, rejtett rendszergazdákat, RM-eket és egyéb szépségeket. Egyet ismertem számítógépes varázsló aki anélkül, hogy tudta volna, telepítette a bal Windowst építeni, a híres trójai ZverCD

Videó: A DarkComet RAT trójai működés közben