Ho iniziato a provare ad aumentare la sicurezza di rete a casa mia. Una cosa che mi preoccupa (perché le altre persone della casa scaricano sempre virus che arrivano insieme ai giochi "gratuiti") sono i RAT. Nella mia ignorante comprensione di come funzionano i RAT, in pratica si arriva a scaricare un "server" a cui un "client" si connette tramite una porta che viene aperta sul computer host. Tuttavia, se il mio computer host è dietro un router, sono ancora al sicuro?
La comunicazione tra computer va in entrambe le direzioni, quindi possono esserci due casi:
Solo nei primi giorni dell'hacking i RAT richiedevano la mancanza di firewall per consentire al controller di connettersi. Prendi il famoso esempio di SubSeven: il RAT dovrebbe installare e unirsi a un canale IRC pubblicizzando una porta e un indirizzo IP. Se la vittima era dietro un firewall, la macchina non poteva essere manipolata: l'hacker avrebbe appena avuto un timeout di connessione.
Tuttavia, quei giorni sono finiti da tempo. In questi giorni, i RAT tipicamente utilizzano una connessione client a un server di comando e controllo per agire da intermediario, evitando così la necessità di avere una porta aperta su un server. Tutto ciò di cui hanno bisogno è un accesso senza restrizioni a Internet.
Nel framework Metasploit, meterpreter può essere configurato in modo molto semplice tramite una connessione "reverse_tcp". In pratica, ascolti su alcune porte su Internet e il computer infetto si connette all'hacker.
Se l'accesso a Internet è bloccato sul computer, diciamo solo a http e https e nessun'altra porta, meterpreter può aggirare anche questo. Può essere configurato per riconnettersi al proprio server di controllo utilizzando una sessione ActiveX ben formata su HTTP o HTTPS che potrebbe anche non far scattare alcuni sistemi di rilevamento delle intrusioni. Questa è la punta dell'iceberg nell'offuscare le connessioni di comando e controllo.
Si noti che è possibile impostare una porta in ingresso aperta con un RAT tramite UPnP, ma questo è inaffidabile (poiché molti router non supportano o non hanno UPnP abilitato) e non un metodo comune.
Anche se un altro malware infettato dalla rete sulla rete che viene sottoposto a RAT da un utente malintenzionato non può "solo RAT", può comunque tentare di azzerare la macchina per installare lo stesso malware per eseguire l'attività RAT.
Zeus/SpyEye/Citadel etc malware e simili generalmente hanno funzionalità proxy (SOCKS4-5) / RAT / ftp-backconnect come standard e possono "ruotare" il traffico / attacco degli hacker attraverso quelle piattaforme infette per indirizzare il tuo computer.
Quindi .....
1) Install local firewall/AV (the standard measures)
2) Keep your applications! & Operating system up 2 date, its very important to also update your applications while you update your OS.
3) Only install apps from locations you trust.
4) On a extreme note, stop/uninstall services or applications that you dont use, this reduces your attack surface.
Buona fortuna.
Leggi altre domande sui tag network penetration-test