Anzeige

Trojanisches PferdRemote-Access-Trojaner (kurz RATs) sind vergleichsweise altmodische Backdoor-Schadprogramme. Obwohl sie von raffinierteren Command-and-Control-(C2)-Methoden verdrängt wurden, kommt diese gute alte Malware nach wie vor zum Einsatz. Wenn Sie sich ein Bild davon machen wollen, wie Hacker vorgehen, wenn sie sich Zugang zu einem System verschafft haben, sollten Sie sich RATs genauer ansehen.

Gute alte RATs

RATs tauchten in den späten 1990er/frühen 2000er Jahren auf und sind möglicherweise zunächst als Administrations-Tools verwendet worden – daher kommt ihr anderer Name „Remote Administrative Tool“. Doch sie entwickelten rasch Backdoor-Fähigkeiten und wurden tückischer mit den entsprechenden Folgen.

BO2K, SubSeven und Netbus sind einige der bekannteren Kreaturen, die die RAT-Welt bevölkern. Dieser Microsoft TechNet-Artikel bietet einen guten Überblick zum Thema. RATs sind umfassend erforscht und dokumentiert, und Antiviren-Software kann ihre Signaturen erkennen. Warum also sollte man sich also überhaupt noch mit ihnen beschäftigen?

RATs ermöglichen es Ihnen, Dateien hoch- und herunterzuladen, Befehle auszuführen, Tastatureingaben zu erfassen, Screenshots zu schießen und Dateihierarchien zu untersuchen. Hacker nutzen RATs, um einen Fuß in die Tür des Zielsystems zu bekommen und anschließend andere Malware oder APTs hochzuladen. Ein gutes Beispiel, wenn man wissen will, wie Hacker arbeiten.

Natürlich gibt es formellere Wege, um solche Aktivitäten zu analysieren, zum Beispiel mit Metasploit und einem Programm namens Meterpreter. Die grundlegenden Techniken kann man aber sehr gut zeigen, indem man RATs verwendet und untersucht.

Das RAT-Labor

Professionelle Penetrationstester richten ein eigenes, getrenntes Labor ein, um gefährliche Malware zu isolieren. Die günstigere Variante sind virtuelle Maschinen. Diesen Ansatz habe ich für mein Penetrationstestlabor gewählt, das sich jetzt auf meinem MacBook befindet. Dabei habe ich VirtualBox von Oracle als virtuelle Containerumgebung auf der Client-Seite verwendet. Als Zielsystem habe ich ein altes Amazon Web-Services-Konto genommen, und dort einen virtuellen Windows Server 2008 eingerichtet.

Der schwierigere Teil ist, die Malware auf zwielichtigen Websites zu finden und sich an mehreren Anti-Malware-Filtern von Browsern und Laptops vorbei zu schleichen. Hinweis an die IT-Sicherheit bei Varonis: Unsere Antiviren-Software ist auf dem aktuellen Stand!

Wenn Sie möchten, können Sie auch sourceforge.net nach RATware durchsuchen.

Das RAT-Labyrinth

In der Praxis ist der RAT-Serverteil häufig von Wrappern umgeben, sodass er wie eine gewöhnliche Datei aussieht. Anschließend wird er als Anhang in Phishing-E-Mails verschickt. Diese Methode funktioniert nach wie vor. Eine andere Möglichkeit ist, dass der Hacker ein Passwort errät oder durch Ausprobieren herausfindet und dann den RAT manuell installiert. Sobald der RAT-Server läuft, muss der Angreifer sich in keinem der beiden Fälle formell am System anmelden.

Penetrationstests Teil2Für mein Experiment habe ich eine virtuelle Maschine in meinem Amazon-Konto mit dem Serverteil eines Netbus-RAT infiziert. Dazu habe ich die entsprechende exe-Datei einfach hochgeladen und gestartet. Der Client-Teil war in meiner VirtualBox isoliert.

Wie sieht das Dashboard eines RAT-Client aus? Es enthält einige wichtige RAT-Funktionen (siehe Grafik), mit denen das Zielsystem ausspioniert werden kann. Der Netbus-Dateimanager zeigt die Verzeichnishierarchie des Zielsystems an. Es gibt auch eine Screenshot-Funktion, um dem Opfer quasi über die Schulter zu schauen. Aus reiner Neugier habe ich den Keylogger aktiviert.

Langsam wurde mir klar, dass es schier endlose Möglichkeiten gibt. Wenn der RAT-Serverteil sich beispielsweise auf dem Laptop eines CEO befindet, dann sieht der Angreifer, was in Dokumente, in eine Google-Suchzeile oder in einen internen Anmeldebildschirm eingegeben wird. Keylogger sind mächtige Tools. Laut dem aktuellen Data Breach Investigations Report (DBIR) von Verizon stehen sie auf der Methodenliste bei Angreifern nach wie vor ganz oben.

Begrenzte Möglichkeiten

Man erkennt allerdings auch die Grenzen altmodischer RATs wie Netbus. Um mit dem Serverteil zu kommunizieren, benötigte ich die entsprechende IP-Adresse. Diese Information hatte ich natürlich, schließlich hatte ich den VM-Server selbst eingerichtet. Doch in der realen Welt weiß der Angreifer nicht, wo der Serverteil aus einer Phishing-E-Mail schließlich landet.

Um dieses Problem zu lösen, haben die RAT-Entwickler eine Funktion hinzugefügt, damit der Server eine IRC-Chatsitzung starten oder sogar eine E-Mail mit der IP-Adresse an den Hacker senden kann. Das ist eine Lösung – es gibt noch weitere, die wir uns ansehen werden.

Sie vermuten also, dass ein guter Schutz am Perimeter hilft RATs zu blockieren? Das stimmt: Wenn ich die Firewall-Regeln auf dem Amazon-Server nicht deaktiviert hätte, wäre ich nicht in der Lage gewesen, mit der RAT-Anwendung auf Serverseite zu kommunizieren.

Nehmen wir an, mein RAT wäre auf dem Laptop eines Mitarbeiters gelandet, der sich in einem schlecht geschützten Netzwerk befindet – vielleicht bei einem externen Auftragnehmer eines großen Fortune-500-Unternehmens. Welche Schritte würde ein Angreifer wohl als nächstes unternehmen?

Weitere Informtaionen:

Im nächsten Teil dieser Serie werden einige Tools wie Ncat und Nessus vorgestellt, die Hackern helfen, eine neue Umgebung zu erforschen und auszuspionieren.

Das Hauptproblem für die IT-Sicherheit ist, dass diese Tools eigentlich keine Malware sind und bei Viren- oder Malware-Scans nicht unbedingt einen Alarm auslösen.

http://sites.varonis.com/de/

Das könnte Sie ebenfalls interessieren:

Penetrationstests, Teil 1: Kalkuliertes Risiko


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Malware

Krypto-Miner aufgepasst: Malware KryptoCibule stiehlt Kryptocoins

Kryptowährung erfreut sich als Zahlungsmittel und sogar Investitionsobjekt immer größerer Beliebtheit. Die Einheiten der Währung werden dabei über pure Rechenleistung „geschürft“. Nun ist es Forschern aus dem Hause ESET gelungen, eine bislang…
Ransomware

Die fünf hartnäckigsten Mythen zu Ransomware

Angriffe mit Ransomware sind weltweit auf dem Vormarsch und werden auch künftig nicht nachlassen. Einem kürzlich erschienenen Bericht zufolge ist die Zahl der Lösegeld-Angriffe weltweit im Vergleich zum Vorjahreszeitraum um 50 Prozent gestiegen. Immer noch…
Schwachstelle

Warnung vor kritischer Schwachstelle Zerologon

CVE-2020-1472, besser bekannt als Zerologon, ist eine kritische Schwachstelle in allen derzeit unterstützten Versionen von Microsoft Windows Server (Windows 2008 R2, 2012, 2016, 2019). Es handelt sich um eine Privilegien-Eskalations-Schwachstelle.
DDoS

DDoS-Attacken per Smartphone

ESET hat in diesem Jahr erstmals einen DDoS-Angriff per Mobile-Botnet aufgedeckt. Die Täter attackierten mit infizierten gekaperten Zombie-Smartphones die Webseite.
Malware

Mehr als 27.800 neue Varianten von Emotet im ersten Halbjahr 2020

Im ersten Halbjahr haben Cyberkriminelle das Tempo weiter erhöht und ihren Schadcode in immer kürzeren Abständen mit Packern vor Antiviren-Lösungen versteckt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!