Suchen

Im RAT-Labor

Was Risikoanalyse und Penetrationstests leisten

Seite: 3/4

Firmen zum Thema

RATs – der Fuß in der Tür

Remote-Access-Trojaner (kurz RATs) sind vergleichsweise altmodische Backdoor-Schadprogramme. Mit ihnen haben Hacker oder eben ein Penetrationstester quasi den Fuß in der Tür zum System. Selbst erste Post-Exploitation-Schritte lassen sich mit ihnen durchführen.

RATs tauchten in den späten 90ern und frühen 2000er Jahren auf und dienten vermutlich zunächst als Administrations-Tools. Daher kommt der Name „Remote Administrative Tool“. Allerdings waren sie sehr zügig in der Lage, auch Backdoor-Fähigkeiten zu integrieren – mit den entsprechenden Folgen: BO2K, SubSeven und Netbus sind einige der bekannteren Ausprägungen dieser Spezies.

RATs sind umfassend erforscht und gut dokumentiert, Antivirensoftware kann ihre Signaturen erkennen. Trotzdem sollte man RATs nicht außer Acht lassen. Hacker nutzen sie, um ins Zielsystem zu gelangen und anschließend Malware oder APTs (Advanced Persitent Threats) hochzuladen.

Mit Hilfe von RATs kann ein Angreifer bereits eine ganze Menge ausrichten. Er kann beispielsweise Dateien hoch- und herunterladen, Befehle auszuführen, Tastatureingaben erfassen, Screenshots machen und Dateihierarchien untersuchen.

RATs bestehen immer aus zwei Teilen: Der Serverteil steckt in einer Phishing-E-Mail oder ein Angreifer installiert ihn manuell. Der RAT selbst verbirgt sich in einer häufig eingesetzten Software, wie beispielsweise dem Windows Explorer.

Über Fernzugriff wird anschließend zusätzliche Malware hochgeladen und installiert. Dazu werden auch bestimmte Dateimuster untersucht. Angreifer sind dabei allerdings nicht dauerhaft am System angemeldet. Sie kommunizieren lediglich bei Bedarf mit dem RAT-Servermodul.

Überwachungs-Tools, die sich auf ungewöhnliche Aktivitäten konzentrieren, werden RATs also nicht unbedingt bemerken. Raffiniertere Methoden wie Command-and-Control (C2) haben RATs zwar zu einem Gutteil verdrängt, trotzdem kommen sie nach wie vor zum Einsatz. Und an ihnen lässt sich recht gut studieren wie Hacker grundsätzlich vorgehen.

Im RAT-Labor – bedingt zur Nachahmung empfohlen

Professionelle Penetrationstester richten ein eigenes, getrenntes Labor ein, um Malware zu isolieren. Die günstigere Variante für ein eigenes Penetrationstestlabor sind virtuelle Maschinen, die man beispielsweise auf einem MacBook einrichtet. VirtualBox von Oracle eignet sich als virtuelle Containerumgebung auf der Client-Seite.

Als Zielsystem haben wir in unserem Fall ein nicht mehr genutztes Web-Service-Konto mit einem virtuellen Windows Server 2008 eingerichtet. Anschließend heißt es, auf zwielichtigen Webseiten oder sourceforge.net nach RATware suchen, und sie anschließend an den Malware-Filtern von Browser und Laptop vorbei zu schleusen.

(ID:43804028)