تروجان های از راه دور و دسترسی انها به سیستم ها

پیش‌تر در این ماه، سازمان مدیریت کارمندان آمریکا گزارش داده ‌بود که ۵/۲۱ میلیون شماره‌ی تأمین اجتماعی از شهروندان آمریکایی به همراه سایر اطلاعات حساس آن‌‌ها در جریان دومین رخنه‌ی اطلاعاتی در پایگاه داده‌ی OPM به سرقت رفته ‌است. در پی انتشار این خبر، کاترین آرکولتا، مدیر OPM استعفا داد. گفته می‌شود تروجان دسترسی از راه دور (RAT) سکولا۱ با این حمله مرتبط بوده‌ است.

RAT‌ها بسیار رایج بوده و طراحی شده‌اند تا به حمله‌کننده کمک کنند تا کنترل کامل سامانه‌ی‌ قربانی را به دست بگیرند. آن‌ها می‌توانند برای سرقت اطلاعات حساس، جاسوسی از قربانیان، و کنترل رایانه‌های آلوده از راه‌ دور به کار روند.

حملات RAT عموماً در قالب اسپیرفیشینگ۲ و یا مهندسی اجتماعی۳ صورت می‌گیرند. بیشتر آن‌ها در قالب کدهای باینری‌ هستند که در مراحل بعدی اجرای بدافزار ظاهر می‌شوند.

اگرچه برخی اوقات، RAT‌ها ابزار اصلی حمله‌کنندگان در حملات سایبری محسوب می‌شوند، تشخیص و ردیابی آن‌ها به دلایل زیر کماکان مشکل است:

• آن‌ها پورت‌های قانونی را روی ماشین‌های آلوده باز می‌کنند. به دلیل این‌که این کار معمول است، از نظر محصولات امنیتی به عنوان اشکال شناسایی نمی‌شود.
• آن‌ها از ابزارهای مدیریت از راه دور تجاری و قانونی تقلید می‌کنند.
• آن‌ها از روش‌هایی استفاده می‌کنند که بدافزارهای رایج انجام نمی‌دهند.

 

در زیربه طور مختصر، به تعدادی از RATهای رایج اشاره شده‌است:

 

RAT۱

گفته می‌شود Sakula با حمله‌ی OPM اخیر در ارتباط بوده‌ است. این بدافزار امضا‌شده۴ است، ظاهرش همانند نرم‌افزارهای عادی است، و به حمله‌کننده توانایی مدیریت از راه دور سامانه‌‌ی قربانی را می‌دهد. Sakula به هنگام ارتباط با کارگزار کنترل و فرمان‌دهی (C&C) درخواست‌‌های HTTP را آغاز می‌کند. این بدافزار برای عبور از تصدیق هویت از ابزاری با نام mimkatz استفاده می‌کند که مقدار درهم۵ را به جای متن رمزگذاری‌نشده ارسال می‌کند.

 

RAT۲

گفته می‌شود KjW۰rm با رخنه‌ی اطلاعاتی اخیر ایستگاه‌های تلویزیونی در فرانسه مرتبط است. KjW۰rm با VBS نوشته ‌شده ‌است که تشخیص آن را سخت‌تر هم می‌کند. این تروجان راه ‌گریز امنیتی ایجاد می‌کند که به حمله‌کننده امکان می‌دهد کنترل ماشین را به دست گرفته، اطلاعات را استخراج کرده و آن‌ها را به کارگزار C&C بفرستد.

 

RAT۳

Havex سامانه‌‌‌های کنترل صنعتی (ICS) را هدف قرار می‌دهد. این RAT بسیار پیشرفته بوده و کنترل کامل ماشین قربانی را برای حمله‌کننده فراهم می‌کند. Havex انواع مختلفی دارد. ارتباطات با کارگزار کنترل و فرمان‌دهی‌اش را از طریق HTTP و HTTPS برقرار می‌کند. اثر باقی‌مانده از این بدافزار در ماشین قربانی حداقل مقدار ممکن است.

 

RAT۴

Agent.BTZ/ComRat یکی از مشهورترین RAT‌های موجود است. گفته می‌شود این RAT توسط دولت روسیه و به منظور هدف قراردادن شبکه‌های ICS  در اروپا تهیه شده‌ است. Agent.BTZ  (که با نام Uroburos نیز شناخته می‌شود) از طریق حملات فیشینگ انتشار می‌یابد. به منظور جلوگیری از تحلیل، از رمزنگاری پیشرفته استفاده می‌کند و اطلاعات حساس استخراج‌شده را به کارگزار C&Cاش می‌فرستد.

 

RAT۵

Dark Comet نیز مدیریت جامع روی دستگاه آلوده را امکان‌پذیر می‌کند. اولین‌بار در سال ۲۰۱۱ شناخته شد و هنوز هم هزاران رایانه را آلوده می‌کند. Dark Comet از Crypter برای مخفی‌شدن از ابزارهای ضدبدافزار استفاده می‌کند و کارهای مدیریتی مختلفی را انجام می‌دهد، از جمله: غیرفعال کردن مدیریت وظیفه۶، دیوار آتش و UAC‌ در ویندوز.

 

RAT۶

AlienSpy سامانه‌‌های ‌عامل OS X  اپل را هدف قرار می‌دهد. این سامانه‌‌‌ی عامل تنها از روش‌های سنتی محافظت مانند ضدبدافزار استفاده می‌کند. AlienSpy اطلاعات سامانه‌ را جمع آوری کرده، وب‌کم را فعال کرده،  ارتباطات امن با کارگزار C&C برقرار کرده، و کنترل کامل را روی سامانه‌ی قربانی فراهم می‌کند. این RAT هم‌چنین از روش‌های ضدتحلیل مانند تشخیص حضور ماشین‌های مجازی استفاده می‌کند.

 

RAT۷

Heseber BOT به عنوان بخشی از کارکردش، رایانش شبکه‌ی مجازی (VNC) را پیاده‌سازی می‌کند و از آن‌جا که VNC یک ابزار مدیریت از راه دور قانونی است، این امر مانع از شناسایی آن توسط ضدبدافزار می‌شود. Hesber از VNC برای انتقال پرونده‌ها و در اختیار گرفتن کنترل سامانه‌‌ی قربانی استفاده می‌کند.

 

شناسایی RATها کار بسیار دشواری است چرا که آن‌ها شبیهِ نرم‌افزارهای مدیریت از راه دور مجاز عمل می‌کنند. به همین دلیل روش‌های سنتی محافظت که مبتنی بر امضاهای ایستا هستند در شناسایی انواع RAT‌ها ناتوان‌‌اند. روش کارآمد تشخیصRAT ها نظارت بر فرآیند‌های سامانه‌ی‌است تا فعالیت بدافزارها ردیابی شود.