Qualche giorno fa mi sono trovato di fronte a una domanda su come un server RAT può raggiungere il firewall e connettersi al client. Questo era qualcosa a cui non avevo mai pensato prima, quindi ero un po 'perplesso dalla domanda.
Quindi, la domanda è, come precedentemente affermato, in che modo il server RAT può connettersi al client RAT attraverso un firewall. Il client è spesso impostato per ascoltare una porta, piuttosto in alto nella gamma, e per il corretto funzionamento del client è spesso necessario il port forwarding. Questo ha senso; il numero di porta alta non interferirà con altre applicazioni, quindi utilizzarlo dovrebbe essere sicuro e non è aperto di default nella maggior parte dei firewall. Nessun problema qui.
Ora, per il server. Sappiamo che infetta solo il computer della vittima e quindi non può eseguire il port forwarding stesso. Immagino che avere il server che esegue il polling per una connessione possa essere una soluzione, ma sarebbe brutto, inefficiente e visibile (almeno se stai monitorando il tuo traffico). Avere il client invia una richiesta di connessione al server anche se un'altra porta, che è aperta per impostazione predefinita, potrebbe essere un'altra soluzione, ma potrebbe potenzialmente creare problemi con altre applicazioni, il che sarebbe molto negativo dal punto di vista degli hacker.
Quindi come è fatto? In che modo il server RAT raggiunge il firewall per connettersi al client e in che modo il server riceve la richiesta di connessione dal client senza la possibilità di inoltrare le porte utilizzate?