Πληροφορίες σχετικά με εργαλεία απομακρυσμένης διαχείρισης (rats) και τρόποι αφαίρεσης

από Jake Doevan - - Ενημερωμένο | Τύπος: Εργαλεία Απομακρυσμένης Διαχείρισης (RATs)

Ως Εργαλείο Απομακρυσμένης Διαχείρισης (γνωστό και ως RAT, δλδ. Remote Administration Tool) χαρακτηρίζεται οποιοδήποτε πρόγραμμα χρησιμοποιείται από hackers ή άλλους τρίτους για απομακρυσμένες συνδέσεις στο σύστημα-στόχο μέσω του Internet ή μέσω τοπικού δικτύου (local network) με απώτερο σκοπό την εκτέλεση διαφόρων συστημικών διεργασιών. Στην περίπτωση των παρασιτικών RATs, οι διεργασίες είναι παρασκηνιακές, ύποπτες ή ακόμα και κακόβουλες, ενώ εκτελούνται χωρίς τη συνειδητή επίγνωση κι έγκριση του χρήστη-θύματος.

Τα εργαλεία απομακρυσμένης διαχείρισης βασίζονται στη τεχνολογία server-client. Ως server λειτουργεί το σύστημα-στόχος που έχει μολυνθεί, το οποίο σύστημα λαμβάνει εντολές από τον client, δλδ. το απομακρυσμένο σύστημα που ελέγχεται από τους hackers. Το εργαλείο απομακρυσμένης διαχείρισης δουλεύει παρασκηνιακά και σε πολλές περιπτώσεις οι χρήστες δε γνωρίζουν καν την παρουσία αυτού του λογισμικού στο σύστημα του υπολογιστή τους.

Το εργαλείο απομακρυσμένης διαχείρισης (remote administration tool) αποτελεί πολύ σημαντικό όπλο για τους hackers. Μέσω αυτού μπορούν να παρακολουθούν και να υποκλέπτουν τις δραστηριότητες του χρήστη-θύματος, να διαχειρίζονται τα αρχεία του, να εγκαθιστούν κρυφά κι αυθαίρετα λογισμικά, να έχουν πλήρη διαχειριστική πρόσβαση στο σύστημα-στόχο (συμπ. των εφαρμογών και hardware), ακόμα και να προβαίνουν σε αυθαίρετες απενεργοποιήσεις ή επανεκκινήσεις του συστήματος-στόχου.

Τα RATs (remote administration tools) χωρίζονται σε κακόβουλες και νόμιμες εφαρμογές. Τα παρασιτικά RATs (γνωστά και ως remote administration trojans) έχουν πολλά κοινά χαρακτηριστικά με τα backdoors. Ωστόσο, δεν είναι τόσο viral όπως τα backdoors και δε διαθέτουν επιπρόσθετες καταστροφικές λειτουργικές δυνατότητες. Αυτά τα παράσιτα δεν είναι αυτόνομα, δλδ. ελέγχονται πάντα από τον client.

Τα νόμιμα RATs (legitimate remote administration tools) είναι εμπορικού τύπου εφαρμογές που στοχεύουν κυρίως διαχειριστές συστημάτων (system administrators). Ο απώτερος σκοπός τους είναι να επιτύχουν τη συνειδητή έγκριση του χρήστη-θύματος ώστε να μπορέσουν να αποκτήσουν πρόσβαση στο σύστημα-στόχο για επίλυση προβλημάτων συστήματος ή για την επίτευξη απομακρυσμένου ελέγχου. Παρόλα αυτά, τα νόμιμα RATs έχουν τις ίδιες λειτουργικές δυνατότητες με τα αντίστοιχα παρασιτικά RATs. Πρακτικά, αυτό σημαίνει ότι στην περίπτωση που μολυνθεί ένα τέτοιο πρόγραμμα, ο χρήστης θα αντιμετωπίσει πολύ σοβαρά προβλήματα!

Διεργασίες που εκτελούνται μέσω Απομακρυσμένων Εργαλείων Διαχείρισης (RATs)

Όπως αναφέραμε πιο πάνω, τα νόμιμα RATs (remote administration tools) έχουν πολλά κοινά χαρακτηριστικά με τα αντίστοιχα παρασιτικά. Σε κάθε περίπτωση, τα εργαλεία απομακρυσμένης διαχείρισης θέλουν πολύ μεγάλη προσοχή, γιατί, όπως φαίνεται παρακάτω, μπορούν να 'παραδώσουν τα κλειδιά' του συστήματος σε άγνωστους τρίτους, ακόμα και hackers. Έτσι, ένα RAT:

  • Παρέχει τη δυνατότητα σε απομακρυσμένους τρίτους να δημιουργούν, διαγράφουν, μετονομάζουν, αντιγράφουν ή να επεξεργάζονται οποιοδήποτε αρχείο. Ένας hacker μπορεί να χρησιμοποιήσει ένα RAT ακόμα και για την αυθαίρετη εκτέλεση μεγάλου φάσματος εντολών, αυθαίρετες τροποποιήσεις στις παραμέτρους ρυθμίσεων συστήματος, αυθαίρετες τροποποιήσεις σε Windows registry, και φυσικά αποκτάει τη δυνατότητα εκτέλεσης, ελέγχου, και τερματισμού εφαρμογών. Τέλος, μπορεί να εγκαθιστά κρυφά κι αυθαίρετα λογισμικά, τα οποία τις περισσότερες φορές είναι ύποπτα ή ακόμα και κακόβουλα.
  • Παρέχει τη δυνατότητα σε τρίτους να ελέγχουν το hardware, να προβαίνουν σε αυθαίρετες τροποποιήσεις παραμέτρων ρυθμίσεων, να κλείνουν ή να επανεκκινούν τον υπολογιστή χωρίς τη συνειδητή επίγνωση κι έγκριση του χρήστη-θύματος.
  • Παρέχει τη δυνατότητα σε τρίτους να υποκλέπτουν τις δραστηριότητες του χρήστη-θύματος. Έτσι, μπορούν να αποκτήσουν πρόσβαση σε κωδικούς πρόσβασης, προσωπικά στοιχεία σύνδεσης σε λογαριασμούς, απόρρητα προσωπικά έγγραφα, κτλ.
  • Παρέχει τη δυνατότητα ακόμα και Screenshots που μπορούν να παρέχουν πολύτιμες ευαίσθητες πληροφορίες στους hackers. 
  • Επιβραδύνει σημαντικά τις επιδόσεις του συστήματος, όπως πχ. διαδικτυακές ταχύτητες, μειώνει ή καταργεί τα επίπεδα ασφάλειας, κλπ. Συνήθως, αυτοί οι ιοί δημιουργούν επίσης σημαντικές δυσλειτουργίες και αστάθειες στο σύστημα.
  • Έχει τη δυνατότητα να δρα παντελώς απαρατήρητο. Αλλά και στην περίπτωση που εντοπιστεί από το χρήστη-θύμα, η ολοκληρωτική αφαίρεσή του είναι περίπλοκη και πολύ δύσκολη.

Τεχνικές διαδικτυακής εξάπλωσης Εργαλείων Απομακρυσμένης Διαχείρισης (RATs)

Τα εργαλεία απομακρυσμένης διαχείρισης (RATs) διαφέρουν από τους συνηθισμένους ιούς. Τα server μέρη τους πρέπει να εγκατασταθούν στο σύστημα-στόχο, όπως συμβαίνει στις εγκαταστάσεις των κανονικών εφαρμογών. Φυσικά, η εγκατάσταση αυτών των μερών μπορεί να γίνει με ή χωρίς τη συγκατάθεση του χρήστη. Σε γενικές γραμμές, υπάρχουν δυο τρόποι μέσω των οποίων μπορεί ένα RAT να διεισδύσει και να εγκατασταθεί στο σύστημα του υπολογιστή σου:

  • Χειροκίνητη εγκατάσταση. Ένα νόμιμο RAT (legitimate remote administration tool) μπορεί να εγκατασταθεί χειροκίνητα στο σύστημα από τον χρήστη ή, στην περίπτωση ενός παρασιτικού RAT, μπορεί να εγκατασταθεί κρυφά από hacker χωρίς να το γνωρίζει ο χρήστης. 
  • Διείσδυση μέσω άλλων παρασίτων. Πολλές φορές, τα κακόβουλα εργαλεία απομακρυσμένης διαχείρισης μπορούν να εγκατασταθούν στο σύστημα ενός υπολογιστή μέσω άλλων παρασίτων, όπως πχ. ιοί, backdoors ή worms. Ολοένα αυξάνει ο αριθμός των RATs που διεισδύουν μέσω trojans, τα οποία διεισδύουν στο σύστημα μέσω Internet Explorer ActiveX ή μέσω κενών ασφαλείας του web browser. Ο χρήστης επισκεπτόμενος ένα κακόβουλο ιστότοπο μπορεί να εκθέσει το σύστημα του υπολογιστή του σε κακόβουλους κωδικούς (malicious codes). Επίσης, πολλές αναδυόμενες διαφημίσεις τρίτων εμπεριέχουν κακόβουλους συνδέσμους ανακατεύθυνσης. Έτσι, μπορεί να διείσδυσει trojan στο σύστημα. Ένα trojan μπορεί να δρα απαρατήρητο στο παρασκήνιο του συστήματος καθώς δεν εμφανίζεται πουθενά απόδειξη παρουσίας του, όπως πχ. setup wizards, παράθυρα διαλόγων, ή ειδοποιήσεις που να σχετίζονται με το trojan.

Συνοψίζοντας, η παρασιτική έκδοση ενός εργαλείου απομακρυσμένης διαχείρισης (remote administration tool) παρέχει τη δυνατότητα στους hackers να ελέγχουν το μολυσμένο υπολογιστή σα να ήταν ο δικός τους, και φυσικά να το χρησιμοποιήσουν για την επίτευξη πληθώρας κακόβουλων σκοπών. Δυστυχώς, πολλές φορές οι μολυσμένοι υπολογιστές χρησιμοποιούνται στο κυβερνο-έγκλημα εις βάρος άλλων χρηστών, και η εγκληματική δράση μπορεί να δημιουργήσει πληθώρα προβλημάτων, ακόμα και ποινικών διώξεων εις βάρος των ανυποψίαστων χρηστών των οποίων οι υπολογιστές έχουν μολυνθεί από παρασιτικό RAT!

Πρακτικά, όλα τα εργαλεία απομακρυσμένης διαχείρισης (remote administration tools) είναι δύσκολο να εντοπιστούν. Μπορούν να δρουν απαρατήρητα και να καταπατούν ασύστολα το Απόρρητο του χρήστη-θύματος για μήνες χωρίς να γίνονται αντιληπτά. Οι hackers μπορούν να χρησιμοποιήσουν τα RATs για πρόσβαση σε ευαίσθητα/απόρρητα προσωπικά δεδομένα του χρήστη-θύματος, όπως πχ. κωδικούς πρόσβασης, προσωπικά στοιχεία τραπεζικών λογαριασμών και πιστωτικών/χρεωστικών καρτών, προσωπικά έγγραφα κι αρχεία, λίστες επαφών, υποκλοπές διαδικτυακών δραστηριοτήτων και προτιμήσεων, κτλ. 

Οποιοδήποτε εργαλείο απομακρυσμένης διαχείρισης (remote administration tool), αξιόπιστο ή παρασιτικό, μπορεί να χρησιμοποιηθεί για την επίτευξη καταστροφικών κακόβουλων σκοπών. Μάλιστα, στην περίπτωση που οι hackers δεν υποκλέψουν τα δεδομένα που επιθυμούσαν ή κατάφεραν να υποκλέψουν όλα αυτά που ζητούσαν, έχουν τη δυνατότητα, κι έχει συμβεί πολλές φορές, να καταστρέψουν πλήρως το σύστημα-στόχο ώστε να μην αφήσουν τα ίχνη τους! Και μιλάμε για ολοκληρωτική καταστροφή συστήματος στην οποία, εκτός των άλλων, περιλαμβάνονται όλοκληρωτικό format ή πλήρη λειτουργική αχρήστευση των σκληρών δίσκων, δλδ. ολοκληρωτική διαγραφή των αποθηκευμένων αρχείων! Συνήθως, τα RATs στοχεύουν υπολογιστές που τρέχουν με Microsoft Windows OS. Αυτό φυσικά δε σημαίνει ότι δε μπορούν να αποτελέσουν στόχο και οι υπολογιστές που τρέχουν με Mac OS X ή με άλλα λειτουργικά συστήματα.

Χαρακτηριστικά παραδείγματα των πλέον επικίνδυνων RATs

Υπάρχουν χιλιάδες εργαλεία απομακρυσμένης διαχείρισης (remote administration tools) που κυκλοφορούν αυτή τη στιγμή στο διαδίκτυο. Τα παρακάτω παραδείγματα είναι τα πλέον χαρακτηριστικά.

PC Invader. Πρόκειται για κακόβουλο εργαλείο απομακρυσμένης διαχείρισης το οποίο χρησιμοποιείται ευρέως από hackers που επιθυμούν να αποκτήσουν απομακρυσμένη πρόσβαση σε καίριες ρυθμίσεις δικτύου απομακρυσμένων συστημάτων. Το PC Invader είναι ιδιαιτέρως επικίνδυνο και ο απώτερος σκοπός του είναι η αλλαγή καίριων συστημικών ρυθμίσεων. Στοχεύει παραμέτρους που σχετίζονται με IP address, DNS address, όνομα υπολογιστή, προεπιλεγμένο gateway, κτλ. Μπορεί επίσης να προβεί σε αυθαίρετες επανεκκινήσεις ή τερματισμό της λειτουργίας του υπολογιστή.

Back Orifice. Πρόκειται για ένα ιδιαιτέρως κακόφημο και επικίνδυνο εργαλείο απομακρυσμένης διαχείρισης (remote administration tool) που επιτρέπει στους κυβερνο-εγκληματίες να έχουν πλήρη πρόσβαση στις λειτουργίες του συστήματος-στόχου. Θα πρέπει να τονίσουμε ότι έχει μεγάλο εύρος καταστροφικών λειτουργιών και αφήνει το χρήστη-θύμα παντελώς απροστάτευτο. Το Back Orifice μπορεί να χρησιμοποιηθεί από hackers για πρόσβαση και πλήρη έλεγχο σε συστήματα-στόχους παρέχοντας τη δυνατότητα στους hackers να διαχειρίζονται αρχεία, να τρέχουν και να εγκαθιστούν εφαρμογές, να τερματίζουν διεργασίες, να τροποποιούν καίριες συστημικές και δικτυακές ρυθμίσεις, να τραβούν screenshots, να ελέγχουν πλήρως τις hardware συσκευές, κλπ. Τέλος, το συγκεκριμένο εργαλείο απομακρυσμένης διαχείρισης υποστηρίζει plugins και, επομένως, μπορούν να προστεθούν λειτουργίες.

Beast. Πρόκειται για ακόμα ένα ιό που ανήκει στη μεγάλη οικογένεια των RATs. Πίσω από αυτό το παρασιτικό εργαλείο απομακρυσμένης διαχείρισης κρύβεται ο γνωστός hacker, Tataye. Απ' όσα γνωρίζουμε, οι πρώτες εκδόσεις του Beast δρούσαν από τον Απρίλιο 2001 έως το Μάρτιο 2004. Ο ιός είναι γραμμένος σε Delphi και έχει συμπιεστεί με ASPack.

Αφαίρεση RAT από το σύστημα

Η χειροκίνητη αφαίρεση RATs είναι πρακτικά και αποτελεσματικά αδύνατη. Πρόκειται για πολύ περίπλοκα και προηγμένα κακόβουλα λογισμικά που εφαρμόζουν πλήθος παραπλανητικών τακτικών ώστε να είναι πολύ δύσκολος ο εντοπισμός τους, και ακόμα πιο δύσκολη η ολοκληρωτική αφαίρεσή τους.

Ο πλέον αξιόπιστος και αποτελεσματικός τρόπος είναι η χρήση ενός πλήρως ενημερωμένου κι αξιόπιστου λογισμικού ασφάλειας τύπου anti-spyware. Αυτά τα λογισμικά ασφάλειας προσφέρουν ολοκληρωμένη προστασία στο σύστημα σε πραγματικό χρόνο. Επίσης, μέσω σαρώσεων συστήματος, έχουν τη δυνατότητα εντοπισμού σχεδόν όλων των ιών κι ανεπιθύμητων προγραμμάτων/αρχείων και κατόπιν ολοκληρωτικής αφαίρεσής τους. Για δύσκολες καταστάσεις, όπως στην περίπτωση διείσδυσης και μόλυνσης του υπολογιστή από RAT, προτείνουμε την εγκατάσταση και χρήση των εξαιρετικών και πολυδοκιμασμένων λογισμικών ασφάλειας FortectIntego, SpyHunter 5Combo Cleaner.

Ακόμα και οι έμπειροι χρήστες με προηγμένες γνώσεις πληροφορικής και ασφάλειας συστημάτων θα δυσκολευτούν ιδιαιτέρως να αφαιρέσουν ολοκληρωτικά με χειροκίνητο τρόπο το RAT που τυχόν μολύνει τον υπολογιστή τους. Θέλει πολύ μεγάλη προσοχή να μην αφαιρεθούν καίρια συστημικά αρχεία, γιατί μπορεί να προκληθεί σοβαρή αστάθεια και δυσλειτουργία συστήματος.

Στην περίπτωση που διαπιστώσεις ότι ο υπολογιστής σου έχει μολυνθεί από παρασιτικό RAT, μπορείς να επικοινωνήσεις με την ομάδα τεχνικής υποστήριξης του ioys.gr. Απλά, κλίκαρε εδώ Ask Us .

Πρόσφατοι Ιοί που Προστέθηκαν στη Βάση Δεδομένων

Ενημέρωση πληροφοριών: 2017-12-01

Διαβάστε σε άλλες γλώσσες

Αρχεία
Λογισμικό
Σύγκριση