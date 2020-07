Come funzionano e come difendersi dai malware RAT (Remote Access Trojan), un tipo di software utilizzato dai criminal hacker per monitorare e controllare, in modo illecito, un computer o un’intera rete all’insaputa degli utenti.

Il RAT acronimo di Remote Access Trojan è un tipo di software molto simile ai programmi di accesso remoto legittimi ma che non viene utilizzato per il supporto tecnico quanto piuttosto per monitorare e controllare, in modo illecito, un computer o un’intera rete all’insaputa degli utenti.

Inoltre può risultare difficile rilevare questa tipologia di malware anche perché gli attaccanti spesso usano dei binder per nascondere i payload malevoli in eseguibili regolari e validi, eludendo così i sistemi di protezione e di controllo (antivirus e firewall). Talvolta possono essere necessari, per una rimozione sicura, degli strumenti di rilevamento concepiti ad hoc.

Malware RAT – Modalità di installazione

Dopo il buon esito di un’installazione, avvenuta a seguito di un accesso fisico diretto alla macchina oppure attraverso tecniche di phishing (o spear phishing), un allegato e-mail, un pacchetto software, delle pagine web e annunci pubblicitari compromessi (con tecniche drive by download), l’impianto RAT per ottenere il pieno accesso e controllo del target si basa solitamente su architetture client-server (o anche su modelli più evoluti cloud based):

Una componente trojan installata sulla macchina della vittima che funge da server;

una componente per il controllo remoto, presidiata dell’attaccante che funge da centrale di comando e controllo C2;

la componente trojan stabilisce con la centrale di comando (o più server C2) una connessione diretta utilizzando una opportuna porta TCP predefinita del computer infettato;

La centrale di comando C2, in modo simmetrico, crea una comunicazione remota sul computer della vittima.

Malware RAT – Modalità di funzionamento

A differenza della maggior parte dei malware che sono realizzati per scopi specifici, il RAT una volta stabilita la connessione remota può mettere a disposizione degli attaccanti una vasta gamma di impieghi possibili. Eccone alcuni:

Controllo Webcam . Si possono attivare e controllare webcam e microfoni di un computer;

. Si possono attivare e controllare webcam e microfoni di un computer; Controllo Desktop . È possibile controllare un computer remoto per eseguire azioni arbitrarie e sfruttare la rete target come server proxy per agire in modo anonimo e a scapito delle ignare vittime con tecniche di mascheramento e impersonificazione;

. È possibile controllare un computer remoto per eseguire azioni arbitrarie e sfruttare la rete target come server proxy per agire in modo anonimo e a scapito delle ignare vittime con tecniche di mascheramento e impersonificazione; File Manager . Guadagnando un accesso amministrativo nei computer infettati, i RAT consentono di modificare qualsiasi file, cancellare interi dischi o addirittura inoculare contenuti malevoli (backdoor, worm, spyware);

. Guadagnando un accesso amministrativo nei computer infettati, i RAT consentono di modificare qualsiasi file, cancellare interi dischi o addirittura inoculare contenuti malevoli (backdoor, worm, spyware); Keylogging . Da un computer infetto è possibile ottenere sequenze di tasti e file contenenti informazioni bancarie, password, dati sensibili o conversazioni personali;

. Da un computer infetto è possibile ottenere sequenze di tasti e file contenenti informazioni bancarie, password, dati sensibili o conversazioni personali; Botnet. I criminal hacker possono utilizzare strumenti RAT per assumere il controllo di una rete allo scopo di creare una botnet estesa su migliaia di computer e/o utilizzare le relative risorse per attacchi DDOS, attività criminali di mining (Bitcoin), di hosting file e di torrenting.

RAT – Scenario di attacco

I RAT commercialmente disponibili nei marketplace underground, in pacchetti già pronti e a prezzi non proibitivi (in media $150), rappresentano lo strumento maggiormente adoperato nelle campagne APT (Advanced Persistent Threat) per effettuare ricognizioni, arginare i protocolli di autenticazione, diffondere ulteriori malware e accedere a sistemi sensibili. Ecco uno scenario tipico di attacco:

La ricognizione . Di solito i criminal hacker in una prima fase ricognitiva e di studio del target riescono a ricavare tutte le informazioni utili e a pianificare le fasi successive, attraverso tool o tecniche di social engineering;

. Di solito i criminal hacker in una prima fase ricognitiva e di studio del target riescono a ricavare tutte le informazioni utili e a pianificare le fasi successive, attraverso tool o tecniche di social engineering; l’infiltrazione. Nel punto di partenza dell’attacco, il RAT permette, come testa di ponte, di installare un malware adeguato per colpire sistemi vulnerabili e consentire successivamente l’espansione all’interno della rete bersaglio ed avere il controllo su più dispositivi possibili;

Nel punto di partenza dell’attacco, il RAT permette, come testa di ponte, di installare un malware adeguato per colpire sistemi vulnerabili e consentire successivamente l’espansione all’interno della rete bersaglio ed avere il controllo su più dispositivi possibili; l’espansione. In questa fase il RAT, con funzioni backdoor, trasmette alla centrale di comando tutti i riscontri assunti sullevulnerabilità dei sistemi e dei protocolli utilizzati;

In questa fase il RAT, con funzioni backdoor, trasmette alla centrale di comando tutti i riscontri assunti sullevulnerabilità dei sistemi e dei protocolli utilizzati; l’estrazione. Nell’ultima fase, ma la più importante, l’attacco si concretizza sottraendo ogni tipo di informazione voluta e comunicata al presidio attraverso la componente backdoor preinstallata.

Considerazioni

Sebbene la maggior parte dei browser impedisce download automatici o perlomeno avvisa l’utente quando un sito non è sicuro, nel caso specifico può comunque essere difficile rilevare l’attività RAT. Infatti, queste attività in genere non rallentano i sistemi colpiti né si manifestano ma possono continuare in modo subdolo e segreto per lunghi periodi.

Pertanto sarebbe auspicabile seguire delle buone pratiche generali, anche assimilabili tramite una formazione di security awareness, complementari agli strumenti di protezione in uso che possono aiutare a prevenire tali minacce: