Suchen

Im RAT-Labor

Was Risikoanalyse und Penetrationstests leisten

Seite: 4/4

Firmen zum Thema

Was sich im RAT-Labyrinth verbirgt

In der Praxis ist der RAT-Serverteil häufig von sogenannten „Wrappern“ umgeben, so dass er wie eine ganz normale Datei aussieht. Anschließend wird er als Anhang über Phishing-E-Mails verschickt. Diese Methode funktioniert nach wie vor. Der RAT lässt sich auch mittels gestohlener Passwörter manuell einrichten.

In keinem der beiden Fälle muss der Angreifer sich formell am System anmelden wenn der RAT-Server erst einmal läuft. Für unser Experiment haben wir eine virtuelle Maschine auf dem veralteten Web-Konto mit dem Serverteil eines Netbus-RAT infiziert. Dazu lädt man einfach die entsprechende exe-Datei hoch und startet sie. Der Client-Teil war in der VirtualBox isoliert.

Es zeigt einige wichtige RAT-Funktionen, mit denen man das Zielsystem ausspionieren kann. Der Netbus-Dateimanager zeigt die Verzeichnishierarchie des Zielsystems an. Es gibt auch eine Screenshot-Funktion, um dem Opfer quasi über die Schulter zu schauen.

Der Angreifer sieht wie Dokumente bearbeitet werden, was der Benutzer in eine Suchmaschinen-Zeile eingibt oder in einen internen Anmeldebildschirm. Wem das noch nicht reicht, der kann zusätzlich Keylogger installieren. Das macht das Stehlen von PINs, Passwörtern und Anmeldedaten noch ein bisschen leichter.

RATs haben ihre Grenzen

Altgediente RATs wie Netbus haben ihre Grenzen. Um mit dem Serverteil zu kommunizieren, benötigt man die entsprechende IP-Adresse. In unserem Experiment war diese Adresse natürlich bekannt, denn wir haben den VM-Server schließlich selbst eingerichtet.

In einem realen Szenario weiß der Angreifer nicht, wo der Serverteil aus einer Phishing-E-Mail schließlich landet. Um dieses Problem zu lösen, haben RAT-Entwickler beispielsweise eine Funktion hinzugefügt, mit deren Hilfe der Server eine IRC-Chatsitzung starten oder sogar eine E-Mail mit der IP-Adresse an den Hacker senden kann.

Sie vermuten also richtig, dass ein guter Schutz am Perimeter hilft RATs zu blockieren. Wenn wir die Firewall-Regeln auf dem betreffenden Server nicht deaktiviert hätten, wären wir auch nicht in der Lage gewesen, mit der RAT-Anwendung auf Serverseite zu kommunizieren.

Allerdings ist es ja durchaus vorstellebar, dass ein RAT auf einem weniger gut geschützten Laptop eines externen Mitarbeiters landet, und von dort aus das eigentliche Zielsystem anvisiert. Dazu nutzen Hacker nicht selten Tools, die bei Malware- oder Antiviren-Scans nicht auffallen, um das Netzwerk zu durchforsten.

Unser Beispiel hat gezeigt, dass auch vermeintlich veraltete Tools und Methoden noch sehr wohl erfolgreich den Boden für ausgefeilte Angriffe bereiten können. Es gibt also ein breites Spektrum von Risikoanalysen, die ein Penetrationstester durchführen kann, um solche Szenarien im Vorfeld zu entschärfen.

* Andy Green ist technischer Spezialist bei Varonis und produziert Beiträge für das Firmen-Blog.

(ID:43804028)