Remote-Access-Trojaner, kurz RATs, gehören zu den gefährlichsten Malware-Arten. Sie können erheblichen Schaden anrichten und kostspielige Datenverluste verursachen. Es ist unerlässlich, sie aktiv zu bekämpfen, da sie nicht nur störend, sondern auch weit verbreitet sind. In diesem Artikel werden wir detailliert erläutern, was RATs sind, wie sie funktionieren und welche Schutzmaßnahmen Sie ergreifen können.
Wir beginnen mit einer Erklärung dessen, was genau eine RAT ist. Wir werden uns nicht in tiefgreifenden technischen Details verlieren, sondern versuchen, auf verständliche Weise zu erklären, wie sie funktionieren und wie sie in Ihr System eindringen können. Wir wollen keine Panik schüren, aber es ist wichtig zu verstehen, dass RATs fast schon als Waffen betrachtet werden können. Tatsächlich wurden einige auch als solche eingesetzt. Danach stellen wir einige der bekanntesten RATs vor, um Ihnen ein besseres Verständnis ihrer Fähigkeiten zu vermitteln. Abschließend werden wir untersuchen, wie man sich mit Intrusion Detection Tools vor RATs schützen kann, und wir stellen einige der besten Tools vor.
Was genau ist eine RAT?
Ein Remote-Access-Trojaner ist eine Art Malware, die es einem Hacker ermöglicht, einen Computer aus der Ferne zu steuern. Der Name selbst gibt Aufschluss darüber: Der Begriff „Trojaner“ bezieht sich auf die Art und Weise, wie die Malware verbreitet wird. Es ist eine Anspielung auf die antike griechische Geschichte des Trojanischen Pferdes, das Odysseus benutzte, um die belagerte Stadt Troja einzunehmen. In Bezug auf Computermalware ist ein Trojaner eine Malware, die sich als etwas anderes ausgibt. Ein Spiel, das Sie herunterladen und installieren, könnte beispielsweise in Wirklichkeit ein Trojaner sein, der Schadcode enthält.
Der „Remote-Access“-Teil des Namens beschreibt die Funktion der Malware. Vereinfacht ausgedrückt, ermöglicht sie dem Urheber den Fernzugriff auf den infizierten Computer. Und sobald dieser Zugriff besteht, sind den Möglichkeiten kaum Grenzen gesetzt. Der Hacker kann das Dateisystem durchsuchen, Bildschirmaktivitäten beobachten, Anmeldeinformationen sammeln oder Dateien verschlüsseln, um Lösegeld zu fordern. Er könnte auch Daten stehlen oder, noch schlimmer, die Daten Ihrer Kunden. Sobald die RAT installiert ist, kann Ihr Computer als Sprungbrett für Angriffe auf andere Computer im lokalen Netzwerk dienen, wodurch die Perimetersicherheit umgangen wird.
Die Geschichte der RATs
RATs existieren leider schon seit über einem Jahrzehnt. Es wird angenommen, dass diese Technologie eine Rolle bei der umfangreichen Plünderung von US-Technologie durch chinesische Hacker im Jahr 2003 spielte. Eine Untersuchung des Pentagons deckte auf, dass Daten von US-Rüstungsunternehmen gestohlen und geheime Entwicklungs- und Testdaten an Standorte in China übertragen wurden.
Vielleicht erinnern Sie sich auch an die Stromausfälle an der Ostküste der Vereinigten Staaten in den Jahren 2003 und 2008. Diese wurden ebenfalls mit China in Verbindung gebracht und scheinen durch RATs ermöglicht worden zu sein. Ein Hacker, der eine RAT in ein System einschleusen kann, kann jede Software nutzen, die den Benutzern des infizierten Systems zur Verfügung steht, oft ohne dass diese es überhaupt bemerken.
RATs als Waffen
Ein böswilliger RAT-Entwickler kann die Kontrolle über Kraftwerke, Telefonnetze, Nuklearanlagen oder Gaspipelines übernehmen. Daher stellen RATs nicht nur ein Risiko für die Unternehmenssicherheit dar. Sie können es auch Nationen ermöglichen, ein feindliches Land anzugreifen. Somit können sie als Waffen betrachtet werden. Hacker auf der ganzen Welt setzen RATs ein, um Unternehmen auszuspionieren und deren Daten und Geld zu stehlen. Inzwischen ist das RAT-Problem für viele Länder, einschließlich der USA, zu einem Thema von nationaler Sicherheit geworden.
Ursprünglich von chinesischen Hackern für Industriespionage und Sabotage eingesetzt, hat Russland die Macht von RATs erkannt und sie in sein militärisches Arsenal aufgenommen. Sie sind nun Teil der russischen Angriffsstrategie, die als „hybride Kriegsführung“ bekannt ist. Als Russland 2008 einen Teil Georgiens besetzte, setzte es DDoS-Angriffe ein, um Internetdienste zu blockieren, und RATs, um Informationen zu sammeln, georgische Militärhardware und wichtige Versorgungsunternehmen zu kontrollieren und zu stören.
Einige (un)berühmte RATs
Werfen wir einen Blick auf einige der bekanntesten RATs. Wir wollen sie hier nicht verherrlichen, sondern Ihnen einen Eindruck von ihrer Vielfalt vermitteln.
Back Orifice
Back Orifice ist eine in Amerika entwickelte RAT, die seit 1998 existiert. Sie gilt als der „Urvater“ der RATs. Das ursprüngliche Schema nutzte eine Schwachstelle in Windows 98 aus. Spätere Versionen, die auf neueren Windows-Betriebssystemen liefen, wurden als Back Orifice 2000 und Deep Back Orifice bezeichnet.
Diese RAT kann sich im Betriebssystem verstecken, was sie besonders schwer zu erkennen macht. Heutzutage haben die meisten Antivirensysteme jedoch die ausführbaren Dateien von Back Orifice und das Okklusionsverhalten als Signaturen, auf die sie achten müssen. Ein besonderes Merkmal dieser Software ist, dass sie über eine benutzerfreundliche Konsole verfügt, mit der der Eindringling im infizierten System navigieren und es durchsuchen kann. Nach der Installation kommuniziert dieses Serverprogramm über Standardnetzwerkprotokolle mit der Clientkonsole. Es ist beispielsweise bekannt, dass es die Portnummer 21337 verwendet.
DarkComet
DarkComet wurde 2008 vom französischen Hacker Jean-Pierre Lesueur entwickelt, erregte aber erst 2012 die Aufmerksamkeit der Cybersicherheitscommunity, als entdeckt wurde, dass eine afrikanische Hackergruppe das System nutzte, um die US-Regierung und das Militär anzugreifen.
DarkComet zeichnet sich durch eine einfach zu bedienende Benutzeroberfläche aus, die es Benutzern mit wenig oder keinen technischen Kenntnissen ermöglicht, Hacking-Angriffe durchzuführen. Es ermöglicht das Ausspionieren durch Keylogging, Bildschirmaufzeichnung und das Ernten von Passwörtern. Der steuernde Hacker kann auch die Energiefunktionen eines entfernten Computers bedienen, wodurch ein Computer aus der Ferne ein- oder ausgeschaltet werden kann. Die Netzwerkfunktionen eines infizierten Computers können auch genutzt werden, um den Computer als Proxy-Server zu verwenden und die Identität seines Benutzers bei Angriffen auf andere Computer zu verschleiern. Das DarkComet-Projekt wurde von seinem Entwickler 2014 aufgegeben, als entdeckt wurde, dass es von der syrischen Regierung verwendet wurde, um ihre Bürger auszuspionieren.
Mirage
Mirage ist eine bekannte RAT, die von einer staatlich geförderten chinesischen Hackergruppe verwendet wird. Nach einer sehr aktiven Spionagekampagne von 2009 bis 2015 wurde es still um die Gruppe. Mirage war ab 2012 das Hauptwerkzeug der Gruppe. Die Entdeckung einer Mirage-Variante namens MirageFox im Jahr 2018 deutet darauf hin, dass die Gruppe wieder aktiv sein könnte.
MirageFox wurde im März 2018 entdeckt, als es verwendet wurde, um Auftragnehmer der britischen Regierung auszuspionieren. Die ursprüngliche Mirage-RAT wurde für Angriffe auf eine Ölfirma auf den Philippinen, das taiwanesische Militär, ein kanadisches Energieunternehmen und andere Ziele in Brasilien, Israel, Nigeria und Ägypten eingesetzt.
Diese RAT wird in ein PDF-Dokument eingebettet. Beim Öffnen werden Skripte ausgeführt, die die RAT installieren. Nach der Installation meldet sie sich zunächst mit einem Audit der Fähigkeiten des infizierten Systems beim Command-and-Control-System. Diese Informationen umfassen die CPU-Geschwindigkeit, Speicherkapazität und -auslastung, den Systemnamen und den Benutzernamen.
Schutz vor RATs – Intrusion Detection Tools
Antivirensoftware ist manchmal nutzlos beim Erkennen und Verhindern von RATs. Dies liegt zum Teil an ihrer Natur. Sie verstecken sich als etwas anderes, das völlig legitim erscheint. Aus diesem Grund werden sie oft am besten von Systemen erkannt, die Computer auf abnormales Verhalten analysieren. Solche Systeme werden als Intrusion-Detection-Systeme bezeichnet.
Wir haben den Markt nach den besten Intrusion-Detection-Systemen durchsucht. Unsere Liste enthält eine Mischung aus echten Intrusion-Detection-Systemen und anderer Software, die über eine Intrusion-Detection-Komponente verfügt oder zur Erkennung von Einbruchsversuchen verwendet werden kann. Sie sind in der Regel besser geeignet, Remote-Access-Trojaner zu erkennen als andere Arten von Malware-Schutztools.
1. SolarWinds Threat Monitor – IT Ops Edition (KOSTENLOSE Demo)
SolarWinds ist ein bekannter Name im Bereich der Netzwerkverwaltungstools. Seit rund 20 Jahren bietet das Unternehmen einige der besten Tools für die Netzwerk- und Systemadministration an. Sein Flaggschiffprodukt, der Network Performance Monitor, gehört regelmäßig zu den Top-Tools für die Überwachung der Netzwerkbandbreite. SolarWinds stellt auch hervorragende kostenlose Tools her, die jeweils auf die spezifischen Bedürfnisse von Netzwerkadministratoren zugeschnitten sind. Der Kiwi Syslog Server und der Advanced Subnet Calculator sind zwei gute Beispiele dafür.
Für die netzwerkbasierte Angriffserkennung bietet SolarWinds die Threat Monitor – IT Ops Edition an. Im Gegensatz zu den meisten anderen Tools von SolarWinds handelt es sich hier nicht um eine lokal installierte Software, sondern um einen Cloud-basierten Dienst. Sie abonnieren ihn, konfigurieren ihn und er beginnt, Ihre Umgebung auf Einbruchsversuche und andere Arten von Bedrohungen zu überwachen. Die Threat Monitor – IT Ops Edition kombiniert mehrere Tools. Sie bietet sowohl netzwerk- als auch hostbasierte Intrusion Detection sowie Protokollzentralisierung und -korrelation und Security Information and Event Management (SIEM). Es ist eine sehr umfassende Suite zur Bedrohungsüberwachung.
Die Threat Monitor – IT Ops Edition ist immer auf dem neuesten Stand und erhält kontinuierlich aktualisierte Bedrohungsinformationen aus verschiedenen Quellen, einschließlich IP- und Domain-Reputationsdatenbanken. Sie überwacht sowohl bekannte als auch unbekannte Bedrohungen. Das Tool verfügt über automatisierte, intelligente Reaktionen zur schnellen Behebung von Sicherheitsvorfällen und bietet einige Intrusion-Prevention-ähnliche Funktionen.
Die Warnfunktionen des Produkts sind ziemlich beeindruckend. Es gibt mehrfach konditionierte, kreuzkorrelierte Alarme, die mit der Active-Response-Engine des Tools zusammenarbeiten und dabei helfen, wichtige Ereignisse zu identifizieren und zusammenzufassen. Das Berichtssystem ist genauso gut wie seine Warnmeldungen und kann verwendet werden, um die Einhaltung von Vorschriften zu dokumentieren, indem vorgefertigte Berichtsvorlagen verwendet werden. Alternativ können Sie benutzerdefinierte Berichte erstellen, die genau auf Ihre Geschäftsanforderungen zugeschnitten sind.
Die Preise für die SolarWinds Threat Monitor – IT Ops Edition beginnen bei 4.500 $ für bis zu 25 Knoten mit 10 Tagen Index. Sie können sich an SolarWinds wenden, um ein detailliertes Angebot zu erhalten, das auf Ihre spezifischen Bedürfnisse zugeschnitten ist. Und wenn Sie das Produkt lieber in Aktion sehen möchten, können Sie eine kostenlose Demo von SolarWinds anfordern.
2. SolarWinds Log & Event Manager (kostenlose Testversion)
Lassen Sie sich nicht vom Namen des SolarWinds Log & Event Manager täuschen. Er ist viel mehr als nur ein Log- und Event-Management-System. Viele der erweiterten Funktionen dieses Produkts ordnen es in die Kategorie Security Information and Event Management (SIEM) ein. Andere Merkmale qualifizieren es als Intrusion Detection System und sogar bis zu einem gewissen Grad als Intrusion Prevention System. Dieses Tool bietet beispielsweise Echtzeit-Ereigniskorrelation und Echtzeit-Korrektur.
Der SolarWinds Log & Event Manager bietet die sofortige Erkennung verdächtiger Aktivitäten (eine Intrusion Detection-Funktion) und automatisierte Reaktionen (eine Intrusion Prevention-Funktion). Er kann auch Sicherheitsereignisuntersuchungen und Forensik sowohl zur Schadensminderung als auch zur Compliance-Einhaltung durchführen. Dank seiner prüfungsfähigen Berichterstattung kann das Tool auch verwendet werden, um unter anderem die Einhaltung von HIPAA, PCI-DSS und SOX nachzuweisen. Das Tool verfügt auch über eine Dateiintegritätsüberwachung und eine USB-Geräteüberwachung, was es zu einer viel mehr integrierten Sicherheitsplattform als nur zu einem Log- und Event-Management-System macht.
Die Preise für den SolarWinds Log & Event Manager beginnen bei 4.585 $ für bis zu 30 überwachte Knoten. Lizenzen für bis zu 2.500 Knoten können erworben werden, was das Produkt hochgradig skalierbar macht. Wenn Sie das Produkt testen und selbst sehen möchten, ob es das Richtige für Sie ist, steht eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung.
3. OSSEC
Open Source Security, oder OSSEC, ist das führende Open-Source-Intrusion-Detection-System. Das Produkt gehört Trend Micro, einem der führenden Namen im Bereich IT-Sicherheit und Hersteller einer der besten Antiviren-Suiten. Bei der Installation auf Unix-ähnlichen Betriebssystemen konzentriert sich die Software hauptsächlich auf Protokoll- und Konfigurationsdateien. Sie erstellt Prüfsummen wichtiger Dateien und validiert sie regelmäßig, wobei sie Sie warnt, wenn etwas Ungewöhnliches passiert. Sie überwacht und warnt auch vor jedem abnormalen Versuch, Root-Zugriff zu erlangen. Auf Windows-Hosts überwacht das System auch nicht autorisierte Änderungen an der Registrierung, die ein verräterisches Zeichen für böswillige Aktivitäten sein könnten.
Da es sich um ein hostbasiertes Intrusion Detection System handelt, muss OSSEC auf jedem Computer installiert werden, den Sie schützen möchten. Eine zentrale Konsole konsolidiert jedoch die Informationen von jedem geschützten Computer, um die Verwaltung zu erleichtern. Während die OSSEC-Konsole nur auf Unix-ähnlichen Betriebssystemen läuft, ist ein Agent zum Schutz von Windows-Hosts verfügbar. Jede Erkennung löst eine Warnung aus, die auf der zentralen Konsole angezeigt wird, während Benachrichtigungen auch per E-Mail gesendet werden.
4. Snort
Snort ist wahrscheinlich das bekannteste netzwerkbasierte Open-Source-Intrusion-Detection-System. Es ist jedoch mehr als nur ein Intrusion Detection Tool. Es ist auch ein Paket-Sniffer und ein Paket-Logger und enthält noch einige andere Funktionen. Die Konfiguration des Produkts erinnert an die Konfiguration einer Firewall. Dies geschieht mithilfe von Regeln. Sie können Basisregeln von der Snort-Website herunterladen und sie so verwenden, wie sie sind, oder sie an Ihre spezifischen Bedürfnisse anpassen. Sie können auch Snort-Regeln abonnieren, um die neuesten Regeln automatisch zu beziehen, wenn sie sich weiterentwickeln oder neue Bedrohungen entdeckt werden.
Snort ist sehr gründlich, und selbst seine Grundregeln können eine Vielzahl von Ereignissen wie Stealth-Port-Scans, Pufferüberlaufangriffe, CGI-Angriffe, SMB-Sonden und Betriebssystem-Fingerprinting erkennen. Es gibt praktisch keine Begrenzung für das, was Sie mit diesem Tool erkennen können, und was es erkennt, hängt ausschließlich vom Regelsatz ab, den Sie installieren. Was die Erkennungsmethoden betrifft, so sind einige der grundlegenden Snort-Regeln signaturbasiert, während andere anomaliebasiert sind. Snort kann Ihnen daher das Beste aus beiden Welten bieten.
5. Samhain
Samhain ist ein weiteres bekanntes kostenloses hostbasiertes Intrusion-Detection-System. Seine Hauptfunktionen aus IDS-Sicht sind die Überprüfung der Dateiintegrität und die Überwachung/Analyse von Protokolldateien. Es tut jedoch viel mehr als das. Das Produkt führt Rootkit-Erkennung, Port-Überwachung, Erkennung von ausführbaren Rogue-SUIDs und versteckten Prozessen durch.
Das Tool ist so konzipiert, dass es mehrere Hosts überwachen kann, auf denen verschiedene Betriebssysteme ausgeführt werden, und gleichzeitig eine zentrale Protokollierung und Wartung bietet. Samhain kann jedoch auch als eigenständige Anwendung auf einem einzelnen Computer verwendet werden. Die Software läuft hauptsächlich auf POSIX-Systemen wie Unix, Linux oder OS X. Sie kann auch unter Windows unter Cygwin laufen, einem Paket, das die Ausführung von POSIX-Anwendungen unter Windows ermöglicht, obwohl nur der Überwachungsagent in dieser Konfiguration getestet wurde.
Eines der einzigartigsten Merkmale von Samhain ist sein Stealth-Modus, der es ihm ermöglicht, zu laufen, ohne von potenziellen Angreifern entdeckt zu werden. Es ist bekannt, dass Eindringlinge Erkennungsprozesse schnell beenden, sobald sie ein System betreten, bevor sie entdeckt werden, damit sie unbemerkt bleiben können. Samhain verwendet steganografische Techniken, um seine Prozesse vor anderen zu verbergen. Es schützt auch seine zentralen Protokolldateien und Konfigurationssicherungen mit einem PGP-Schlüssel, um Manipulationen zu verhindern.
6. Suricata
Suricata ist nicht nur ein Intrusion Detection System. Es hat auch einige Intrusion Prevention-Funktionen. Tatsächlich wird es als vollständiges Ökosystem zur Überwachung der Netzwerksicherheit beworben. Einer der größten Vorteile des Tools ist seine Funktionsweise bis auf die Anwendungsebene. Dies macht es zu einem hybriden netzwerk- und hostbasierten System, mit dem das Tool Bedrohungen erkennen kann, die von anderen Tools wahrscheinlich unbemerkt bleiben würden.
Suricata ist ein echtes netzwerkbasiertes Intrusion Detection System, das nicht nur auf der Anwendungsebene arbeitet. Es überwacht niedrigere Netzwerkprotokolle wie TLS, ICMP, TCP und UDP. Das Tool versteht und dekodiert auch übergeordnete Protokolle wie HTTP, FTP oder SMB und kann Einbruchsversuche erkennen, die in ansonsten normalen Anfragen verborgen sind. Das Tool bietet auch Funktionen zur Extraktion von Dateien, mit denen Administratoren jede verdächtige Datei untersuchen können.
Die Anwendungsarchitektur von Suricata ist ziemlich innovativ. Das Tool verteilt seine Arbeitslast auf mehrere Prozessorkerne und Threads, um die beste Leistung zu erzielen. Bei Bedarf kann es sogar einen Teil seiner Verarbeitung auf die Grafikkarte auslagern. Dies ist eine großartige Funktion, wenn Sie das Tool auf Servern verwenden, da deren Grafikkarten normalerweise nicht ausgelastet sind.
7. Bro Network Security Monitor
Der Bro Network Security Monitor ist ein weiteres kostenloses Netzwerk-Intrusion-Detection-System. Das Tool arbeitet in zwei Phasen: Verkehrsprotokollierung und Verkehrsanalyse. Genau wie Suricata arbeitet der Bro Network Security Monitor auf mehreren Schichten bis hin zur Anwendungsschicht. Dies ermöglicht eine bessere Erkennung von verteilten Eindringversuchen. Das Analysemodul des Tools besteht aus zwei Elementen. Das erste Element wird als Ereignismaschine bezeichnet und verfolgt auslösende Ereignisse wie Netzwerk-TCP-Verbindungen oder HTTP-Anforderungen. Die Ereignisse werden dann von Richtlinienskripten, dem zweiten Element, analysiert, die entscheiden, ob ein Alarm ausgelöst und/oder eine Aktion gestartet wird oder nicht. Die Möglichkeit, eine Aktion zu starten, verleiht dem Bro Network Security Monitor eine IPS-ähnliche Funktionalität.
Der Bro Network Security Monitor ermöglicht die Verfolgung von HTTP-, DNS- und FTP-Aktivitäten und überwacht auch den SNMP-Verkehr. Dies ist wichtig, da SNMP häufig zur Netzwerküberwachung verwendet wird, es sich aber nicht um ein sicheres Protokoll handelt. Und da es auch zum Ändern von Konfigurationen verwendet werden kann, könnte es von böswilligen Benutzern ausgenutzt werden. Mit dem Tool können Sie auch Änderungen an der Gerätekonfiguration und SNMP-Traps beobachten. Es kann unter Unix, Linux und OS X installiert werden, ist aber nicht für Windows verfügbar, was vielleicht sein Hauptnachteil ist.