In che modo i RAT accedono ai computer attraverso i router?

5

Ho iniziato a provare ad aumentare la sicurezza di rete a casa mia. Una cosa che mi preoccupa (perché le altre persone della casa scaricano sempre virus che arrivano insieme ai giochi "gratuiti") sono i RAT. Nella mia ignorante comprensione di come funzionano i RAT, in pratica si arriva a scaricare un "server" a cui un "client" si connette tramite una porta che viene aperta sul computer host. Tuttavia, se il mio computer host è dietro un router, sono ancora al sicuro?

    
posta Joshua Terrill 13.07.2015 - 08:26
fonte

3 risposte

8

La comunicazione tra computer va in entrambe le direzioni, quindi possono esserci due casi:

  • Il RAT è un server: questo è il caso per molti strumenti di accesso remoto noti e legittimi, come desktop remoto, VNC ecc ... In questo caso, è necessario consentire il port forwarding sul router per poter accedere al computer.
  • Il RAT è un client: lo strumento proverà a connettersi a un "centro di comando" in cui l'hacker può accettare la connessione in entrata. Quindi il client offre una shell remota. In questo caso, non è necessario il port forwarding sul router.
risposta data 13.07.2015 - 10:32
fonte
6

Solo nei primi giorni dell'hacking i RAT richiedevano la mancanza di firewall per consentire al controller di connettersi. Prendi il famoso esempio di SubSeven: il RAT dovrebbe installare e unirsi a un canale IRC pubblicizzando una porta e un indirizzo IP. Se la vittima era dietro un firewall, la macchina non poteva essere manipolata: l'hacker avrebbe appena avuto un timeout di connessione.

Tuttavia, quei giorni sono finiti da tempo. In questi giorni, i RAT tipicamente utilizzano una connessione client a un server di comando e controllo per agire da intermediario, evitando così la necessità di avere una porta aperta su un server. Tutto ciò di cui hanno bisogno è un accesso senza restrizioni a Internet.

Nel framework Metasploit, meterpreter può essere configurato in modo molto semplice tramite una connessione "reverse_tcp". In pratica, ascolti su alcune porte su Internet e il computer infetto si connette all'hacker.

Se l'accesso a Internet è bloccato sul computer, diciamo solo a http e https e nessun'altra porta, meterpreter può aggirare anche questo. Può essere configurato per riconnettersi al proprio server di controllo utilizzando una sessione ActiveX ben formata su HTTP o HTTPS che potrebbe anche non far scattare alcuni sistemi di rilevamento delle intrusioni. Questa è la punta dell'iceberg nell'offuscare le connessioni di comando e controllo.

Si noti che è possibile impostare una porta in ingresso aperta con un RAT tramite UPnP, ma questo è inaffidabile (poiché molti router non supportano o non hanno UPnP abilitato) e non un metodo comune.

    
risposta data 13.07.2015 - 19:00
fonte
0

Anche se un altro malware infettato dalla rete sulla rete che viene sottoposto a RAT da un utente malintenzionato non può "solo RAT", può comunque tentare di azzerare la macchina per installare lo stesso malware per eseguire l'attività RAT.

Zeus/SpyEye/Citadel etc malware e simili generalmente hanno funzionalità proxy (SOCKS4-5) / RAT / ftp-backconnect come standard e possono "ruotare" il traffico / attacco degli hacker attraverso quelle piattaforme infette per indirizzare il tuo computer.

Quindi .....

1) Install local firewall/AV (the standard measures)
2) Keep your applications! & Operating system up 2 date, its very important to also update your applications while you update your OS. 
3) Only install apps from locations you trust.
4) On a extreme note, stop/uninstall services or applications that you dont use, this reduces your attack surface. 

Buona fortuna.

    
risposta data 27.08.2015 - 16:49
fonte

Leggi altre domande sui tag