Remote Access Trojan

Fernzugriff-Trojaner

Eine RAT (Remote Access Trojan) ist eine Malware oder ein bösartiger Code, der den administrativen Zugriff auf ein System ermöglicht. Die Rückblende gilt als der bekannteste historische Fernzugriffstrojaner. Wie sieht RAT - Remote Access Trojan aus? Bei einem Remote Access Trojaner (RAT) handelt es sich um ein Malwareprogramm, das eine Backdoor für die Administrationskontrolle auf dem Zielsystem bereitstellt. Die RATs werden in der Regel im Hintergrundbetrieb von einem vom Benutzer aufgerufenen Progamm ausgelesen.

Ist das Hostsystem einmal gefährdet, nutzt der Angreifer dies, um die RATs auf andere gefährdete Rechner zu übertragen.

Melden Sie sich an. Nennen Sie uns eine Firmen-E-Mail-Adresse. Um fortzufahren, aktivieren Sie einfach das Kontrollkästchen. Um fortzufahren, aktivieren Sie einfach das Kontrollkästchen. Da eine RAT die Verwaltungskontrolle erlaubt, kann der Täter grundsätzlich alles auf dem Zielrechner tun. - Die Überwachung des Nutzerverhaltens erfolgt durch so genannte Key-Logger oder Spionageprogramme.

Der Hintere Blende Rootkit ist eines der besten bekannten Exemplare einer RAT. Die Hackergruppe Cult of the Dead Cow hat die Rückenöffnung aufgesetzt. Ratings können sehr schwierig zu ermitteln sein, da sie normalerweise nicht in der Auflistung der ausgeführten Anwendungen erscheinen. So merkt der Benutzer nicht, dass etwas nicht stimmt.

Du kannst dein Computer vor Raten und Infektionen beschützen. Aktualisieren Sie Ihre Virenschutzsoftware auf dem neuesten Stand und downloaden Sie keine Produkte aus nicht zuverlässigen Quellcodes.

Trojaner mit biologischem Fernzugriff

Warum macht eine Hausratte mit 15.000 EUR? In der Sicherheitsforschung steht der Ausdruck RWT in der Praxis für "Remote Access Trojan" - ein Drojaner, der in ein Sicherheitssystem eingeschmuggelt wird, um es von außerhalb ferngesteuert zu steuern. Völlig anders ist die Situation jedoch, wenn dort die Biovariante nistet (d.h. Rating = English Council; oder auch Rattus rattus).

Aus fast 1,2 Mio. Rubinen (das entspricht etwas mehr als 15.000 Euro) hat sich der fröhliche Nagetier in diesem Falle aus Indien ein knuddeliges Gelege gebaut. Nach dem Eindringen floh die Katze bedauerlicherweise nicht aus ihrem Haus und starb schlussendlich an Durst.

Ein kurzer Überblick über Remote Access Trojaner (RATs)

Zuerst werden die Grundzüge von Schadprogrammen und insbesondere Remote Access-Trojaner ("RATs") kurz vorgestellt. Den Abschluss des Artikels bildet ein Überblick über die aktuellen Trends bei frei zugänglichen Tropen. Die Schäden, die durch Schadsoftware verursacht werden, können auf einen Benutzer, einen Computer oder ein Netz zurückzuführen sein. Bei einem Trojanischen Pferd handelt es sich um ein Anwendungsprogramm, das so tut, als würde es einem rechtmäßigen Ziel dienen, aber unbeachtet weitere schädliche Aktionen durchführt.

Der Unterschied zu anderen Schadprogrammen wie z. B. Computerviren und Worms besteht darin, dass sie sich im Unterschied zu Virusen und Worms nicht selbst verbreiten, sondern von den Handlungen des Computerbenutzers oder eines Aggressors zur Installierung und Verbreitung abhängig sind. Der Begriff des Trojanischen im technischen Kontext ist seit spätestens 1972 bekannt. Der Name stammt von dem Holzpferd, das die Griechinnen und Griechen während der Trojabelagerung aus den Toren Trojas hinausschoben, in seinem Inneren die Griechinnen und Helfer, die nach den Trojanern das verheerende Opfer in ihre Heimatstadt gebracht hatten.

Remote Access Trojaner (RATs) sind eine Teilmenge von Drojanern. Die RATs setzen sich in der Regel nur aus zwei Bestandteilen zusammen: Ein leichter Datenserver wird auf dem zu ferngesteuerten Computer laufen und die an ihn über ein Netz übertragenen Kommandos werden von einem auf dem Computer des Angriffsrechners laufenden Clienten ausgeführt[1, S. 1].

Oder der Kunde kann mehrere Remote-Computer im Netz in Gestalt einer Kommando- und Steuerungsinfrastruktur (auch: Command and Control Server) auslagern. Dabei wird die Server-Komponente auf dem zu fernsteuernden Computer in der Praxis so konzipiert, dass sie so wenig wie möglich entdeckt wird. Normalerweise beginnt er von selbst, wenn der Remote-Computer hochfährt und den Kunden darüber informiert, dass er aktiviert ist[2, S. 8].

Die Clientbenutzer können auf dem Remotecomputer eine Vielzahl von Funktionen durchführen, wie z.B. Hoch- und Herunterladen bzw. Löschen auf dem Remotecomputer, Aufzeichnen von Tastenanschlägen, Diebstahl von Anmeldeinformationen, Start von Programmen. Die Differenz liegt im Kern in der Zweckbestimmung: rechtmäßige Remote-Wartung eigener oder verwalteter Geräte mit Fernwartungstools - oder rechtswidrige, zumindestens rechtswidrige Fernkontrolle von Geräten Dritter mit RATs.

In Delphi [3] erschien im MÃ??rz 1998 die erste Fassung der in Delphi[ 3]. Auf dem zu fernsteuernden Computer muss der Serverteil mit wechselnden Symbolen auf dem Computer mit der dafür benötigten ausführbaren Programmdatei mit dem Namen Patch. exe und SysEdit. exe[5, S. 5] eingerichtet sein. Bei der ersten Inbetriebnahme richtet sich der Bediener als Autostart-Eintrag in der Windows-Registrierungsdatenbank ein.

In neueren Version konnte die Port-Nummer eingestellt werden, standardmäßig lauscht der Bediener auf dem TCP-Port 20034, während der NetBus-Server auf der Maschine des Täters, der Klient, in Gestalt einer graphischen Benutzerschnittstelle arbeitete. Für den Aufbau einer Fernwartungsverbindung musste der Täter die IP-Adresse seines Betroffenen wissen und in den Clienten eintragen - und, falls von den Voreinstellungen verschieden, die Port-Nummer des NetBus-Servers.

Eine effektive Kontrolle mehrerer Computer, wie sie die heutigen RATs anbieten, war mit den ersten NetBus-Versionen nicht möglich. Auf dem entfernten Computer kann das Programm beispielsweise Tastatur-Eingaben mitbestimmen und falsifizieren, Screenshots erzeugen, Programmstarts durchführen, Daten auf der Harddisk anzeigen und downloaden. Fenster 95 und 98, ME und NT 3. 0; ab 1. 70 auch Fenster 2000 und XP.

Später wurde im Rahmen der Untersuchungen klargestellt, dass sein Computer nur ein Zwischenspeicher eines fremden Dritten war. Durch die im Feber 1999 veröffentlichte zweite große Version nahm die Professionalität zu: Als umfassendes Tool zur Remote-Wartung wurde die Software handelsüblich verbreitet und als Spyware für die manuelle Installierung auf dem Computer der zu überwachenden Person ausdrücklich angekündigt.

Zusätzlich zu einer neu gestalteten Benutzeroberfläche bietet die neue Generation 2.0 neue Funktionalitäten wie Webcam-Aufnahmen, einen Chats und eine Benutzeroberfläche für Plug-Ins. Darüber hinaus konnte die neue Variante mehrere Nettobusserver von einem einzigen Clienten aus steuern; der Klient übertrug die Kommandos jedoch sequentiell und nicht gleichzeitig an die entfernten Server[2, S. 9].

Aufgrund des erhöhten Funktionsumfangs und des für die Installierung erforderlichen physikalischen Zugangs war die Server-Komponente auf dem Computer des beobachteten Betroffenen nicht mehr so unscheinbar wie in den ersten beiden Ausbaustufen. Obgleich Nettobus mit der neuen Firmware 2.0 Plug-Ins von Drittanbietern unterstützt, gab es keine Entwickler-Community um die wichtigsten Autoren (im Unterschied zu Back Orifice), die Nettobus um eigene Funktionalitäten erweiter.

Die Rückblende, oft als FO abgekürzt, wurde vom Kult der toten Kuh am I. Aug. 1998 auf der DEFCON IT Security Conference in Las Vegas eingeführt. Die Bezeichnung des Programmes ist eine Beschädigung des 2001 abgekündigten Microsoft-Produkts "BackOffice": "Back Orifice" steht für "butt" und "opening".

Die hintere Öffnung wird als der wohl berühmteste geschichtliche Fernzugriffstrojaner angesehen[3]. Back Orifice setzt sich wie das Programm aus einer Serverkomponente auf dem entfernten Computer und einer Client-Komponente auf dem Computer des Admins oder Angriffs zusammen. In der ersten Fassung war die Microsoft-Betriebssysteme Windows 95 und 98, die Client-Komponente war auch mit Quellcode für Unix[8] zu haben.

Zurück Orifice könnte Daten über den Remote-Computer, die angemeldeten Benutzer mit installierter SW erfassen, Datenkopien, Änderungen, Hoch- und Downloads, Start- und Stoppvorgänge, die Bearbeitung der Registry-Datenbank, das Abrufen gespeicherter Kennwörter, die Ansicht und Aufzeichnung aller Netzwerkkonfigurationen, Bildschirmfotos und Standbilder von verbundenen Webcam..... Les funktiones de RATs étatos d'une authoren de la website Back-Orifice-: "In einem lokalen Netzwerk oder im Internet gibt[Back Orifice] seinem Anwender mehr Kontrolle über die entfernte Windows-Maschine als die Person auf der Tastatur der entfernten Maschine"[8].

Genau wie für Nettobus (in neueren Versionen) könnte Back Orifice durch Plug-Ins von Drittanbietern ergänzt werden. Innerhalb kürzester Zeit haben andere Programmierspezialisten eine Vielzahl von Extensions für Back Orifice entwickelt, die dann auf seiner Webseite direkt publiziert wurden. Back Orifice wurde von den Entwicklern von vornherein als " Proof of Concept " bezeichnet, der die Verwundbarkeit und das Fehlen von Sicherheitsmassnahmen des Microsoft-Betriebssystems Windows 98 verdeutlichen soll.

Andererseits ist es bedenklich, dass auf dem zu fernsteuernden Gesamtsystem Back Orifice ohne Rückführung angebracht ist, dauerhaft als Service betrieben wird, entfernte Rechner über deren Erreichbarkeit informiert und in der Übersichtsdarstellung der ausgeführten Vorgänge versteckt werden kann. Aufgrund der simplen graphischen Benutzerführung war Back Orifice mehrere Jahre lang die RAT der ersten Wahl, obwohl die Programmierer behaupteten, dass es sich um eine Gruppe technischer unerfahrener Hacker, der sogenannten "Script Kiddies", handelte.

Eine typische Attacke mit Back Orifice war ein Phishing-Angriff: Der Täter schickte seinem Betroffenen eine E-Mail mit der ausführbaren Datenbank des Back Orifice Servers im Anhang und täuschte ihn beim Start der Applikation vor. Anschließend hatte der Täter über das Netz die vollständige Verfügungsgewalt über den Computer seines Mitmenschen. In der Hacker-Gruppe Cult of the Dead Cow wurde im Juni 1999 die grundsätzlich revidierte zweite Fassung namens Back Orifice 2000 (kurz BO2k) veröffentlicht und der Quellcode unter einer Open-Source-Lizenz veröffentlicht.

Back Orifice 2000 konnte neben Windows 95 und 98 wie die vorherige Version auch Fernsteuerungssysteme mit Windows NT, 2000, XP und Vista[10] fernbedienen. Das Back Orifice 2000 kann auch mit Plug-Ins wie starken Verschlüsselungsmethoden, alternativen Verbindungsverfahren über IBMP oder einer Scriptsprache namens BOSCRIPT zur Automation von Kunde und Bediener ergänzt werden.

Die Rückblende 2000 war daher bei Verwaltern für die legitime Remote-Wartung von Computern beliebt[11]. Die Hintere Öffnung wurde zum bevorzugten Instrument für Angreifer: Im Jahr 2000 war mehr als ein drittel der in Südkorea amtlich erfassten sicherheitsrelevanten Vorfälle mit ihr verbunden[12, S. 2]. In der ersten Fassung von UnterSeven ( "Unter7 oder Unter7Server") wurde die erste Ausgabe am Samstag, den 27. Januar 1999 von einem Programmierer namens Mobman[1, S. 1] veröffnt.

Sie wurde jedoch vor allem durch die Veröffentlichung der neuen Bonusversion 2.1. 3 bekannt, die am 29. Februar 1999 veröffentlicht wurde. Mandant des Angriffs (Dateiname in der Regel SubSeven.exe), Bediener für den Computer des Betroffenen und ein Tool zur Konfiguration des Bedieners in Gestalt von EditServer.exe. Mithilfe des Konfigurationstools kann der Angriffsteilnehmer beispielsweise den TCP-Port des Servers in der Standardeinstellung 27374 verändern oder den Bediener so einrichten, dass er beim Starten des fernbedienten Computers über die Chat-Protokolle ICQ oder IRC an den Kunden mit seiner momentanen IP-Adresse berichtet.

Darüber hinaus kann der Zugriff auf den Datenserver mit einem Kennwort gesichert werden und die Serverkomponente UnterSeven kann als trojanischer Code in eine seriöse Programmdatei eingesetzt werden. Darüber hinaus übersteigen die Fernbedienungsfunktionen von Subsieben die von Back Orifice[14, S. 3-4]. The RAT Tier wurde 2002 von einem Hersteller namens Bataye in der Programmierungssprache DELPHIF für Microsoft-Betriebssysteme von Windows 95 bis Windows 2000 und XP[15] herausgebracht.

Beim umgekehrten Anschluss setzt sich der Kunde nicht mit dem Datenserver in Verbindung, dessen momentane IP-Adresse er für eine Standard-Verbindung wissen muss. Vielmehr stellt der Datenserver eine Verbindung vom entfernten Computer zum Clienten des Angriffs her; er bestimmt anhand der Namensentscheidung über das Domain Name System (DNS) automatisch die momentane IP-Adresse des Angriffsinhabers. Ziel-Prozesse waren explorer.exe (Windows Explorer), iexplore.exe (Internet Explorer) und msnmsgr.exe (MSN Messenger) oder der System-Prozess winlogon.exe, der die Anmeldung an Windows[17] managt.

Gift Efeu (englisch für Giftefeu) wurde 2005 zum ersten Mal herausgebracht; die amtliche Weiterentwicklung ist seit 2008 ausgesetzt, als die neue 2.3. 3. 3,[18] herauskam, die aufgrund ihrer leichten Bedienbarkeit noch heute von verschiedenen Angriffsgruppen verwendet wird. Das Programm Poison Irvy ist lauffähig unter den Betriebsystemen Windows 2000, XP, 2003, Windows 2000, XP, NT und Vista. Darüber hinaus kann der Zugriff auf den Datenserver mit einem Kennwort gesichert werden.

Erstmalig wird die Präsentation aller fernbedienbaren Bediener in einer Übersichtstabelle mit den wesentlichen Anlageninformationen präsentiert, von der aus auf die Fernwirkfunktionen der jeweiligen Serveranlagen zugegriffen werden kann. Das CyberGate war ein RAT für die Betriebsysteme Windows XP, 2000, 2003, 2000, 2003, 2000, 2003, NT und 7, das ab 2008 gewerblich vertrieben wurde und mit professioneller Weiterentwicklung und Verträglichkeit mit vielen Windows-Versionen[22] gefördert wurde.

Die Fernsteuerung des Rechners erfolgt durch den Kunden über eine verschlüsselte AES-Verbindung mit einer tabellarischen graphischen Bedienoberfläche. Im Jahr 2014 war er einer der drei populärsten kommerziell genutzten Trojaner in Untergrund-Märkten. Auf der Serverseite, dem Remote-Computer, kann DarkComet mehr als 60 verschiedene Aufgaben erfüllen und so, wie in seinen Vorgängerversionen, die vollständige Steuerung des Remote-Computers übernehmen. Der Remote-Computer ist in der Lage.

Die DarkComet-Server laufen unter Windows XP, Vista und 7 und senden alle 20 Sek. ein Rettungszeichen an den DarkComet-Client. Aber auch hier entspricht der Leistungsumfang von DarkComet den Ausführungen des Herstellers Hohn: "Neben der dezenten Einrichtung für den berechtigten Benutzer des Computers kann DarkComet sowohl Programminstallationen, einschließlich Malware-Scanner und Windows-Sicherheitsaktualisierungen, als auch Distributed Denial of Service (DDoS)-Angriffe auf andere Computer durchführen.

DunkelKomet war 2014 einer der drei populärsten kommerziell genutzten Trojaner auf Untergrundmärkten[23, S. 7]. DarkComet ist trotz der unterbrochenen Weiterentwicklung nicht verschwunden: Auch in jüngeren Anschlagswellen wie dem islamischen Terrorangriff auf die "Charlie Hebdo"-Redaktion wurde DarkComet von Verbrechern genutzt, um so viele Computer wie möglich mit dem RAT über Sozial-Engineering in soziale Netzwerke zu infizieren[29].

Zur Zeit der breitesten Verteilung waren mehr als 5000 Computer in über 100 Staaten mit der RAT infiziert[31, S. 17]. Darüber hinaus kann die RAT Facebook-Nachrichten über das Konto des Betroffenen versenden. Der Kriminelle kann sich einen mit Schwarz-Schattierungen infizierten Computer als Teil eines Botnets auf einem integrierten Handelsplatz ausleihen.

Verschiedene einfache Verteilungsfunktionen befallen USB-Sticks, die an Computer angeschlossen sind, versenden Chat-Nachrichten mit angehängter BlackShades-Malware und verbreiten infizierte Daten an File-Sharing-Dienste wie z. B. BitTorrent. In 16 Staaten wurden im Monatsmai 2014 fast hundert Tatverdächtige wegen des Erwerbs von Schwarzabdeckungen und der Infektion ausländischer Computer verhaftet[37]. Nichtsdestotrotz wurde der Vertrieb von Schwarzem Schatten nicht eingestellt: Erst im Frühjahr 2016 war Schwarzes Schatten einer der drei populärsten Trojaner auf Untergrundmärkten[38, S. 15].

Trotz Überfällen auf Developer, Vendoren und Nutzer steigt die Zahl der kommerziell nutzbaren RATs: Während gewerbliche Drojaner 2013 noch 50 bis 250 US-Dollar kosten, sanken die Erlöse 2014 auf 20 bis 50 US-Dollar[23, S. 7]. Im Laufe der Jahre hat sich aus dem missbräuchlichen Einsatz von RAT durch Einzelpersonen und nicht durch Berufs- oder Gelegenheitsverbrecher eine eigene Kultur herausgebildet, wie bereits in diesem Beitrag beschrieben: "Ratter" als Freizeitaktivität ferngesteuert ausländische Computer und überwacht deren Besitzer[39].

Mehr zum Thema