Remote Access Trojan (تروجان دسترسی از راه دور) بدافزاری است که مهاجم از آن برای به دست آوردن دسترسی های مدیریتی کامل و کنترل از راه دور رایانه مورد نظر استفاده می‌کند. RAT ها اغلب همراه با برنامه‌های ظاهراً قانونی درخواست شده توسط کاربر دانلود می‌شوند یا به عنوان پیوست ایمیل از طریق یک ایمیل فیشینگ به هدف خود ارسال می‌شوند. هنگامی که سیستم میزبان در معرض خطر قرار می‌گیرد، مزاحمان از یک درب پشتی (Backdoor) برای کنترل میزبان استفاده می‌کنند یا ممکن است RAT ها را در سایر رایانه‌های آسیب‌پذیر توزیع کنند و یک بات نت (Botnet) ایجاد کنند.RATها که متعلق به خانواده ویروس های اسب تروجان (Trojan Horse) هستند و به طور خاص طراحی شده‌اند تا خود را به عنوان محتوای قانونی جلوه دهد.

RAT چگونه کار می‌کند؟

یک RAT معمولاً به عنوان یک محموله مخرب با استفاده از کیت‌های بهره برداری مانند Metasploitمستقر می‌شود. پس از نصب، RATبه سرور فرمان و کنترل متصل می‌شود که هکرها آن را کنترل می‌کنند. هکرها با به خطر انداختن یک پورت TCP باز در دستگاه مورد نظر به این ارتباط دست می‌یابند.

RAT همچنین می‌تواند از طریق ایمیل‌های فیشینگ، بسته‌های دانلود یا لینک‌های وب نصب شود. سپس کاربران فریب داده می‌شوند تا فایل‌های مخرب را از طریق تاکتیک‌های مهندسی اجتماعی دانلود کنند، یا پس از دسترسی فیزیکی به دستگاه قربانی، مانند حمله خدمتکار شیطانی (Evil maid attack)، توسط عوامل تهدید نصب می‌شود.

از آنجایی که یک RAT یک درب پشتی (Backdoor) فراهم می‌کند و دسترسی مدیریتی را امکان‌پذیر می‌کند، به نفوذگر اجازه می‌دهد تقریباً هر کاری را روی رایانه مورد نظر انجام دهد، از جمله موارد زیر:

• رفتار کاربر مانند ضربه زدن به کلید را از طریق کی لاگرها (Keyloggers) و نرم افزارهای جاسوسی نظارت کنید.
• به اطلاعات محرمانه مانند شماره کارت اعتباری دسترسی داشته باشید.
• دوربین (Webcam) سیستم را فعال کنید و فیلم ضبط کنید.
• اسکرین شات بگیرید.
• ویروس ها و بدافزارها را توزیع کنید و همچنین باج افزار را راه اندازی کنید.
• درایوها را فرمت کنید.
• فایل هایی را دانلود کنید و فایل های سیستم را حذف یا تغییر دهید.

چرا RAT هایک تهدید هستند؟

شناسایی RAT ممکن است دشوار باشد زیرا معمولاً در لیست برنامه‌ها یا تسک‌های در حال اجرا نشان داده نمی‌شوند. اقداماتی که آنها انجام می‌دهند، می‌تواند مشابه اقدامات برنامه‌های کاربردی قانونی باشد. علاوه‌براین، یک مزاحم اغلب سطح استفاده از منابع را مدیریت می‌کند به طوری که افت عملکرد به کاربر هشدار نمی‌دهد که چیزی اشتباه است.

برخلاف سایر ناقلان تهدید امنیت سایبری، RAT ها حتی پس از حذف از یک سیستم خطرناک هستند. آن‌ها می‌توانند فایل‌ها و هارد دیسک‌ها را تغییر دهند، داده‌ها را تغییر دهند و رمزهای عبور و کدهای کاربر را از طریقKeylogging و عکس‌برداری از صفحه ضبط کنند، که همگی می‌توانند اثرات مخرب طولانی‌مدتی داشته باشند.

موارد زیر برخی از راه‌هایی است که RAT می‌تواند کاربران، سیستم‌ها و سازمان‌ها را به خطر بیندازد :

تلاش برای جاسوسی و باج خواهی با استقرار یک RAT

عوامل تهدید می‌توانند به دوربین گوشی هوشمند و میکروفون قربانی دسترسی پیدا کرده و حریم خصوصی آنها را به خطر بیاندازند. آن‌ها می‌توانند از کاربران و محیط اطرافشان عکس بگیرند تا حملات بیشتری را انجام دهند یا از کاربران باج‌گیری کنند.

کریپتوماینینگ (Cryptomining)

برای عوامل تهدید معمول است که از RAT برای استخراج بیت کوین و سایر ارزهای دیجیتال در رایانه قربانیان استفاده کنند. مهاجمان می‌توانند با پخش کردن RAT ها در دستگاه‌های متعدد، درآمد قابل توجهی به دست آورند.

حملات انکار سرویس توزیع شده (DDoS)

RATهای مستقر در تعداد زیادی از دستگاه‌ها می‌توانند برای انجام یک حمله DDoS با سیل یک سرور هدف با ترافیک جعلی مورد استفاده قرار گیرند. اگرچه یک حمله DDoS ممکن است باعث کاهش عملکرد شود، کاربران معمولاً از اینکه دستگاه‌هایشان برای انجام چنین حملاتی استفاده می‌شود، آگاه نیستند.

ذخیره سازی فایل از راه دور

مجرمان سایبری برای اطمینان از اینکه حساب ها و عملیات آنها توسط مقامات بسته نمی‌شود ممکن است از RAT برای ذخیره کردن محتوای نامشروع در دستگاه قربانی استفاده کنند.

سازش سیستم صنعتی

عوامل تهدید اغلب یک RAT را برای کنترل سیستم های صنعتی در مقیاس بزرگ مانند آب و برق به کار می گیرند. هدف از این حملات سایبری ایجاد آسیب‌های گسترده به ماشین آلات صنعتی و ایجاد اختلال در خدمات حیاتی به مناطق جغرافیایی خاص است.

نحوه محافظت در RAT ها

اقدامات پیشگیرانه زیر می‌تواند به کاهشRAT ها کمک کند:

دستگاه‌ها را قطع کنید:

اولین قدمی که باید پس از شناسایی فعالیت مشکوک یا وجود RAT برداشته شود، قطع اتصال دستگاه‌ها از شبکه است. این کار با قطع ارتباط راه دور RAT نصب شده از مهاجم، از فعالیت‌های مخرب اضافی جلوگیری می‌کند.

آنتی ویروس و فایروال ها را به روز کنید:

نرم افزار آنتی ویروس و فایروال ها را به روز نگه دارید و از دانلود برنامه ها یا باز کردن پیوست هایی که از منبع قابل اعتماد نیستند خودداری کنید. در سطح اداری، پورت های استفاده نشده را مسدود کنید، سرویس های بیکار را خاموش کنید و ترافیک خروجی را نظارت کنید.

احراز هویت چند عاملی را اجرا کنید:

احراز هویت چند عاملی (MFA) یک لایه امنیتی اضافی را ارائه می‌دهد، زیرا قبل از اینکه یک سرویس اجازه دسترسی دهد، به دو یا چند تأیید کننده نیاز است. از آنجایی که اکثر RAT ها سعی در سرقت نام‌های کاربری و رمز عبور دارند، راه‌اندازی و اجرای MFA در کل سازمان یک مکانیسم دفاعی مهم است.

از لینک‌ها و پیوست‌های مشکوک خودداری کنید:

ایمیل‌های فیشینگ کاربران ناآگاه را فریب می‌دهند تا آنها را باز کنند. هنگامی که یک پیوند مخرب یا پیوست باز می‌شود، می‌تواند مخفیانه بدافزارها و RAT ها را در سیستم در معرض خطر توزیع کند. آموزش آگاهی از امنیت باید به همه کاربران داخل یک سازمان ارائه شود تا بتوانند به راحتی ایمیل‌های فیشینگ را شناسایی کرده و از دانلود فایل‌های مخرب و پیوست‌ها خودداری کنند.

آخرین به روز رسانی‌ها را نصب کنید:

یک سیستم عامل (OS) همیشه باید به آخرین نسخه به‌روز باشد، زیرا فایل‌های به روز رسانی‌ها حاوی اصلاحاتی برای آسیب‌پذیری‌ها، سوء استفاده‌ها، باگ‌ها و بدافزارها از جمله RAT است.

از سیستم تشخیص نفوذ استفاده کنید:

یک سیستم تشخیص نفوذ (IDS) برای نظارت بر ترافیک شبکه و برای تشخیص ناهنجاری‌ها یا فعالیت های مشکوک در شبکه استفاده می‌شود. اگرچه بسیاری از RATها برای جلوگیری از شناسایی تکامل یافته‌اند، IDS های خاص و ابزارهای پیشرفته تهدید دائمی (APT) می توانند مفید باشند. زیرا می توانند الگوهای رفتاری غیرعادی مانند عملکرد عجیب صفحه کلید و ماوس یا دستورات خود به خود را تشخیص دهند.

از اصل کمترین امتیاز استفاده کنید:

اصل حداقل امتیاز (POLP) یک مفهوم امنیتی رایانه ای است که حداقل دسترسی به سیستم ها و منابع را به کاربران می دهد. کمترین امتیازی که برای یک شغل لازم است در ابتدا اعطا می‌شود و در صورت نیاز افزایش می‌یابد. دسترسی محدود می‌تواند به عنوان مانعی برای عوامل تهدید کننده از کنترل کامل یک سیستم باشد.