Strumenti di amministrazione remota e firewall

0

Qualche giorno fa mi sono trovato di fronte a una domanda su come un server RAT può raggiungere il firewall e connettersi al client. Questo era qualcosa a cui non avevo mai pensato prima, quindi ero un po 'perplesso dalla domanda.

Quindi, la domanda è, come precedentemente affermato, in che modo il server RAT può connettersi al client RAT attraverso un firewall. Il client è spesso impostato per ascoltare una porta, piuttosto in alto nella gamma, e per il corretto funzionamento del client è spesso necessario il port forwarding. Questo ha senso; il numero di porta alta non interferirà con altre applicazioni, quindi utilizzarlo dovrebbe essere sicuro e non è aperto di default nella maggior parte dei firewall. Nessun problema qui.

Ora, per il server. Sappiamo che infetta solo il computer della vittima e quindi non può eseguire il port forwarding stesso. Immagino che avere il server che esegue il polling per una connessione possa essere una soluzione, ma sarebbe brutto, inefficiente e visibile (almeno se stai monitorando il tuo traffico). Avere il client invia una richiesta di connessione al server anche se un'altra porta, che è aperta per impostazione predefinita, potrebbe essere un'altra soluzione, ma potrebbe potenzialmente creare problemi con altre applicazioni, il che sarebbe molto negativo dal punto di vista degli hacker.

Quindi come è fatto? In che modo il server RAT raggiunge il firewall per connettersi al client e in che modo il server riceve la richiesta di connessione dal client senza la possibilità di inoltrare le porte utilizzate?

    
posta Psyberion 01.08.2013 - 11:54
fonte

1 risposta

1

Esistono due tipi di kit di amministrazione remota: quelli utilizzati per scopi legittimi dagli amministratori di sistema e quelli utilizzati dal malware per il controllo del PC da un server C & C. Hai usato il tag del malware nella tua domanda quindi presumo che tu voglia conoscere il funzionamento del secondo tipo di RAT che ho menzionato.

Quando il malware infetta la macchina, in genere un piccolo codice di stager contatta il proprio server principale e scarica il resto del codice. Si noti che la connessione viene avviata dal PC della vittima al PC controllato dell'utente malintenzionato. Questa è chiamata connessione inversa consentita dalla maggior parte dei firewall. La connessione viene avviata su quelle porte che hanno un'elevatissima possibilità di essere permesse in uscita, come la porta 80 (HTTP) e la porta 443 (HTTPS). Inoltre, anche un proxy a livello di applicazione che esamina e blocca il traffico non standard sulle porte standard non può bloccare queste connessioni poiché al giorno d'oggi i RAT utilizzano il flusso di connessione SSL standard.

L'unica possibilità di rilevare queste connessioni TCP / HTTP / HTTPS inverse in uscita è attraverso il blocco degli indirizzi IP o DNS dei server C & C. Questo metodo ha solo una ragionevole possibilità di bloccare la connessione e funzionerà solo contro gli attacchi più basilari, dal momento che il malware può utilizzare una varietà di tecniche per nascondere i propri server C & C. Flusso rapido e I servizi nascosti TOR possono essere usati per nascondere il C & C in modo efficace e non possono essere bloccati facilmente.

    
risposta data 01.08.2013 - 14:14
fonte

Leggi altre domande sui tag